#钱包安全威胁 Après avoir examiné l'incident de vulnérabilité de la version 2.68 de Trust Wallet, j'ai passé en revue les données de sécurité des portefeuilles plug-in, et la conclusion est la suivante : les pertes massives directement causées par des vulnérabilités officielles ne sont en réalité pas très fréquentes.

Le vol de six millions de dollars est effectivement choquant, mais en élargissant la perspective temporelle, les pertes dues aux vulnérabilités du code central de produits principaux comme MetaMask, Phantom, Rabby, etc., représentent une part bien inférieure à la destruction causée par des logiciels frauduleux et du phishing. Les données de Chainalysis pour 2025 illustrent bien ce problème — les incidents de vol anormaux des utilisateurs de MetaMask ont explosé, et la cause ne réside pas dans le portefeuille lui-même mais dans des extensions malveillantes.

Cela met en évidence deux réalités :

Premièrement, la répartition des risques n’est pas uniforme. Le marché des portefeuilles plug-in est très concentré (Trust Wallet détient 35%), et un grand nombre d’utilisateurs (17 millions d’utilisateurs actifs mensuels) en font une cible privilégiée pour les hackers, car il est moins coûteux de créer de faux logiciels et de faire du phishing que de trouver une vulnérabilité officielle.

Deuxièmement, la logique de défense doit être ajustée. Il vaut mieux couper activement l’entrée des faux que d’attendre que l’officiel corrige la vulnérabilité — la barrière du Chrome Web Store peut résoudre 80% du problème. Du côté de l’utilisateur, il faut adopter de bonnes habitudes : ne pas télécharger depuis des sources tierces, vérifier régulièrement la version du plugin, surveiller les activités anormales du portefeuille.

La sécurité des fonds reste finalement la responsabilité de l’utilisateur. La responsabilité des fournisseurs de plugins est claire, mais la plupart des vulnérabilités de protection proviennent souvent du côté de l’utilisateur.