Trust Wallet subit une faille de sécurité critique via l'extension Chrome

Une importante faille de sécurité a touché les utilisateurs de Trust Wallet suite à une mise à jour de son extension Chrome. Après le déploiement de la version 2.68.0, des utilisateurs ont signalé que leurs avoirs en cryptomonnaies étaient rapidement drainés — en quelques minutes seulement après avoir saisi leurs phrases de récupération sur l’extension compromise. La faille a affecté les soldes de Bitcoin, Ethereum et BNB, avec des estimations préliminaires évoquant des pertes se chiffrant en millions. Cet incident a ravivé de graves inquiétudes concernant les risques inhérents aux solutions de stockage de cryptomonnaies basées sur le navigateur.

Attaque coordonnée drainant plusieurs portefeuilles

Le chercheur en blockchain ZachXBT a découvert des schémas de transactions suspects révélant la nature organisée de la faille. Après la mise à jour de l’extension, de nombreuses adresses Trust Wallet ont connu des sorties inattendues en succession rapide. Plutôt que des transferts progressifs, les attaquants ont déplacé l’intégralité des fonds en une seule transaction agressive vers des adresses intermédiaires en quelques secondes.

L’analyse de la blockchain a montré un modus operandi clair : les attaquants ciblaient des avoirs spécifiques (Bitcoin, Ethereum et BNB), vidant complètement chaque portefeuille, puis acheminant les fonds volés à travers plusieurs couches d’adresses. La cohérence de ces schémas de transaction sur des dizaines de portefeuilles compromis indique fortement qu’il s’agissait d’une attaque coordonnée et systématique plutôt que d’incidents isolés.

Ce qui rend cette faille particulièrement préoccupante, c’est la rapidité d’exécution. Dès que les utilisateurs ont saisi leurs phrases de récupération dans l’extension malveillante, la compromission était quasi instantanée, laissant peu de temps pour une intervention ou une détection par les systèmes de surveillance.

Pertes estimées à 4,3 millions de dollars et plus

Les données disponibles sur la blockchain permettent de suivre au moins 4,3 millions de dollars en cryptomonnaies transférés des portefeuilles compromis vers des adresses suspectes associées aux attaquants. Cependant, ce chiffre ne concerne que les transactions publiques et incidents rapportés. Les chercheurs en sécurité estiment que l’ampleur réelle de la faille pourrait être bien plus grande, avec des pertes supplémentaires non déclarées par des utilisateurs n’ayant pas encore révélé leur compromission.

ZachXBT a identifié des adresses intermédiaires clés où les fonds volés ont été accumulés avant d’être dispersés davantage. L’analyse a révélé que ces adresses ont retiré des actifs de nombreux portefeuilles compromis et présentaient des signatures de transaction quasiment identiques, renforçant la preuve d’une coordination centralisée derrière l’attaque.

Réponse rapide et mesures de récupération

Conscients de la gravité de la situation, l’équipe de développement de Trust Wallet a agi rapidement pour contenir la faille. Le 26 décembre 2025, ils ont publié une déclaration officielle précisant que la vulnérabilité de sécurité était limitée à la version 2.68.0 de l’extension Chrome. L’équipe a immédiatement conseillé aux utilisateurs de désactiver l’extension compromise et de mettre à jour vers la version 2.69, qui comprenait des correctifs de sécurité cruciaux.

La divulgation officielle a reconnu la gravité de la faille tout en soulignant qu’une enquête active était en cours pour identifier la cause racine et prévenir des incidents similaires. La déploiement rapide du correctif — passant de 2.68.0 à 2.69 — constitue une tentative immédiate de limiter l’exposition supplémentaire.

Cet incident souligne la vulnérabilité persistante inhérente à la gestion de cryptomonnaies via le navigateur. Si les extensions offrent une commodité, elles présentent aussi un surface d’attaque plus grande comparée aux portefeuilles matériels ou aux solutions hors ligne. À mesure que l’industrie des cryptomonnaies mûrit, la faille affectant Trust Wallet rappelle l’importance cruciale d’utiliser plusieurs couches de sécurité et de peser les compromis entre accessibilité et protection lors de la gestion des actifs numériques.