Le risque derrière le script malveillant : comment un code caché a capturé des clés privées dans Trust Wallet

Qu’est-ce qu’un script et pourquoi l’extension Chrome de Trust Wallet a subi une attaque par code malveillant ? La mise à jour v2.68, lancée le 24 décembre, contenait une logique JavaScript suspecte conçue pour transmettre des secrets de portefeuille vers des serveurs externes. Les chercheurs ont identifié des références à un fichier nommé “4482.js” dans le paquet affecté, confirmant que le script fonctionnait de manière obfusquée pour échapper à la détection.

La portée de l’incident : De 6 à 7 millions de dollars de pertes confirmées

Trust Wallet a ensuite confirmé qu’environ 7 millions de dollars ont été dérobés lors de l’incident. La société a réagi rapidement, en publiant la version v2.69 le 25 décembre comme mesure de remédiation. Selon les rapports des victimes et des chercheurs, les vols ont commencé à se manifester quelques heures après le lancement de la v2.68, suscitant des alertes publiques sur l’étendue potentielle de la compromission.

La fiche de l’extension sur Chrome Web Store indique environ 1 000 000 d’utilisateurs enregistrés, ce qui établit un plafond théorique pour l’exposition. Cependant, la vulnérabilité pratique dépendait du nombre d’utilisateurs ayant saisi une phrase seed pendant que la version compromise était active dans leurs navigateurs.

Qui était réellement en danger : L’importance de la phrase seed

Les chercheurs ont souligné que le plus grand risque concernait les utilisateurs ayant importé ou saisi une phrase seed après l’installation de la v2.68. Une phrase seed représente la clé maître capable de déverrouiller toutes les adresses actuelles et futures dérivées d’elle, ce qui en fait la cible prioritaire de tout attaquant.

Le script malveillant a été conçu spécifiquement pour capturer ce type de données sensibles. Bien que d’autres composants de l’extension (versions mobiles et autres distributions) n’aient pas été affectés, la version navigateur Chrome a concentré toute l’exposition durant la période vulnérable.

Étapes de récupération : La mise à jour ne suffit pas si votre seed a été exposée

Cette distinction est cruciale pour les utilisateurs. Mettre à jour vers la v2.69 élimine la logique malveillante du script à partir de cette version, mais ne protège pas automatiquement les actifs si la phrase seed a déjà été transmise aux attaquants.

Pour les utilisateurs ayant saisi une seed pendant que la v2.68 était installée, les étapes standard incluent :

• Créer un nouveau portefeuille avec une phrase seed totalement nouvelle
• Transférer tous les fonds vers les nouvelles adresses dérivées
• Révoquer les autorisations de tokens lorsque cela est possible sur la blockchain
• Considérer tout appareil ayant géré la seed comme potentiellement compromis jusqu’à vérification

Ces actions impliquent des coûts opérationnels importants, notamment des frais de gas pour plusieurs transactions inter-chaînes et des risques liés au pont d’actifs durant la période de migration.

Le modèle de confiance des extensions : Un point faible dans la sécurité de l’écosystème

Les extensions de navigateur occupent une position unique et vulnérable : elles peuvent accéder aux mêmes interfaces que les utilisateurs pour vérifier leurs transactions. Des recherches académiques ont montré que des scripts malveillants peuvent échapper aux vérifications automatisées du Chrome Web Store et que l’efficacité des systèmes de détection se dégrade avec le temps à mesure que les attaquants font évoluer leurs tactiques.

Cet incident souligne la nécessité de mettre en place des contrôles d’intégrité de compilation plus robustes, incluant des builds reproductibles, des signatures de clé divisée, et des options de rollback clairement documentées pour les situations d’urgence.

Scénarios d’évolution de l’incident : Projections sur l’étendue finale

Le total des pertes reste variable, soumis à la découverte tardive de victimes et à la reclassification des adresses sur la chaîne. Les chercheurs envisagent plusieurs scénarios pour les 2 à 8 prochaines semaines :

Les variables clés incluent si la capture des secrets s’est limitée uniquement à la saisie de phrases seed durant v2.68, si des voies supplémentaires d’exposition sont identifiées, et la rapidité avec laquelle les domaines imitant le site officiel sont supprimés pour éviter que les utilisateurs ne soient trompés par de fausses solutions.

Réaction du marché et recommandations immédiates

Le prix du Trust Wallet Token (TWT) a clôturé à $0.87, en baisse de 2,24 % en 24 heures, avec un maximum intraday de $0.90 et un minimum de $0.86. Le marché a réagi avec une volatilité modérée, sans tendance claire de valorisation.

Recommandations pour les utilisateurs :

1. Désactivez immédiatement l’extension v2.68 si elle est encore installée
2. Mettez à jour vers v2.69 depuis le Chrome Web Store officiel
3. Vérifiez si vous avez saisi une phrase seed pendant que v2.68 était active — c’est la question cruciale
4. Si oui : migrez vos fonds vers un nouveau portefeuille ; si non : la mise à jour suffit
5. Ignorez toute communication ne provenant pas des canaux officiels de Trust Wallet, car les escrocs tentent d’usurper l’identité de l’équipe lors de la remédiation

Trust Wallet a confirmé son engagement à rembourser tous les utilisateurs affectés et partagera prochainement des instructions détaillées sur le processus de récupération.