Trust Wallet a signalé unedentde sécurité, coïncidant avec l'une de ses dernières mises à jour. Le chercheur on-chain ZachXBT adentun détournement de plus de 6 millions de dollars.
Trust Wallet a annoncé unedentde sécurité, liée uniquement à la version 2.68 de son extension de navigateur. L'éditeur du portefeuille a averti les utilisateurs de désactiver l'extension et de passer à la version 2.69. Les utilisateurs mobiles ne sont pas concernés.
Nous avonsdentunedent de sécurité affectant uniquement la version 2.68 de l'extension de navigateur Trust Wallet. Les utilisateurs de la version 2.68 sont invités à la désactiver et à passer à la version 2.69.
Veuillez consulter le lien officiel du Chrome Web Store ici : https://t.co/V3vMq31TKb
Remarque : Utilisateurs mobiles uniquement…
— Trust Wallet (@TrustWallet) 25 décembre 2025
Récemment, Trust Wallet a gagné en popularité après l'ajout de marchés de prédiction. Auparavant, ce portefeuille servait de plateforme unique pour toutes les activités Web3.
Binance, Changpeng « CZ » Zhao, a immédiatement réagi à l'dent, annonçant que tous les utilisateurs seraient indemnisés. L'équipe de Trust Wallet poursuit son enquête afin de comprendre comment les pirates ont pu soumettre une version défectueuse à l'App Store, pour téléchargement sous la marque officielle du portefeuille.
L'attaque de la chaîne d'approvisionnement fait toujours l'objet d'une enquête. Le vidage initial des portefeuilles a été constaté peu après la mise à jour du 24 décembre. L'exploitation de la faille s'est poursuivie pendant plusieurs jours avant que ZachXBT ne remarque les sorties de fonds inhabituelles.
Au départ, les utilisateurs étaient invités à ne pas utiliser l'extension, tout en récupérant leurs fonds via les versions de bureau ou mobile. Les problèmes sont apparus uniquement lors de la saisie de clés privées dans l'extension défectueuse.
Cette attaque survient alors que les attaques contre les cryptomonnaies ralentissent, les projets renforçant leur sécurité. Récemment, Binance Wallet a également dû faire face à une vague d' empoisonnement d'adresses, les attaques se déplaçant des plateformes vers les détenteurs privés.
ZachXBT découvre des adresses Trust Wallet affectées
Le chercheur spécialisé dans la blockchain, ZachXBT, adentdes portefeuilles Ethereum, Bitcoinet Solana affectés par cette faille.
D'après ses données, des centaines de portefeuilles ont été touchés. Trust Wallet a annoncé que les pertes seront indemnisées. Plus de 6 millions de dollars en cryptomonnaies ont été dérobés suite à l'exploitation de la vulnérabilité des portefeuilles. ZachXBT n'a pas précisé si la faille a compromis les clés privées elles-mêmes, mais les utilisateurs pourraient devoir créer de nouveaux portefeuilles.
Certaines adresses affectées ont perdu de petites quantités de BTC après des années de détention. Sur Ethereum, le pirate a regroupé les jetons dans plusieurs adresses. Par la suite, certains portefeuilles Trust Wallet utilisés par le pirate ont transféré les fonds vers des plateformes d'échange. Le pirate a utilisé ChangeNOW, FixedFloat, ainsi que des plateformes réputées comme KuCoin et HTX.
La plupart des portefeuilles de destination ont été signalés. Certaines adresses ne contiennent que quelques centaines de dollars, tandis que d'autres ont accumulé jusqu'à 49 000 $. Au final, le vol est estimé à 6,77 millions de dollars, dont environ 2,35 millions restent disponibles sur l'ensemble des adresses après les transferts et les échanges de fonds.
hameçonnage redirigeant les nouveaux téléchargements
L'infrastructure des portefeuilles numériques s'est avérée être l'un des éléments les plus fiables de l'utilisation des cryptomonnaies. Les cas de compromission de portefeuilles ou de clés privées sont rares, et surviennent généralement suite à une infiltration interne.
L'exploit de Trust Wallet consistait à injecter une redirection cachée dans la version compromise. La technologie des clés privées reste fiable tant qu'elle n'est pas exposée à l'application malveillante.
La redirection malveillante crée une version frauduleuse de Trust Wallet. Il est fortement déconseillé aux utilisateurs de saisir leurs phrases de récupération privées pour activer d'anciens portefeuilles. Même les portefeuilles nouvellement créés à partir de cette version défectueuse peuvent être compromis et entraîner des pertes de fonds.
