Trust Wallet vient d’être piraté à Noël, 7 millions de dollars vidés

Trust Wallet a confirmé un piratage qui a conduit à la fuite de millions de dollars de fonds utilisateurs.

Ce qui semblait initialement être des pertes éparses de portefeuille s’est rapidement durci en quelque chose de bien plus grave : une compromission confirmée de la chaîne d’approvisionnement de l’extension officielle du navigateur Chrome de Trust Wallet.

Le hack du portefeuille de fonds de Noël

L’incident remonte au 24 décembre 2025, lorsque Trust Wallet a publié la version 2.68.0 de son extension Chrome.

La première grande alerte publique est venue de l’enquêteur en chaîne ZachXBT, qui a lié les décharges de portefeuille directement à la mise à jour v2.68 alors que les fonds étaient encore en mouvement. Ses avertissements ont permis de présenter l’incident comme une compromission d’extension plutôt qu’une erreur au niveau utilisateur.

Dans de nombreux cas, les portefeuilles étaient vidés en quelques minutes après l’importation d’une phrase de départ ou l’accès à un portefeuille existant via l’extension.

Le 26 décembre, la situation était plus claire, et Trust Wallet a publiquement confirmé que seule l’extension navigateur version 2.68 était affectée.

Bien que les utilisateurs mobiles n’aient pas été affectés, la société a conseillé à tous les utilisateurs de l’extension de désactiver immédiatement la version 2.68 et de passer à la version 2.69 via le Chrome Web Store officiel.

Ce qui a vraiment mal tourné

Les chercheurs et les enquêteurs en chaîne ont décrit l’exploit comme une attaque directe de la chaîne d’approvisionnement, et non comme un phishing et non une erreur utilisateur.

Selon plusieurs analyses publiées, l’extension compromise contenait une charge utile JavaScript malveillante intégrée dans ce qui semblait être du code analytique courant.

Le script, souvent référencé comme un fichier similaire à « 4482.js », se faisait apparemment passer pour une intégration à la PostHog. Sa fonction était simple et dévastatrice.

Lorsque les utilisateurs entraient ou accèdaient à leur phrase de récupération, les données étaient silencieusement exfiltrées vers une infrastructure contrôlée par les attaquants en utilisant des domaines ressemblant étroitement à des terminaux légitimes de métriques Trust Wallet.

Une fois que les attaquants avaient la phrase de départ, aucune interaction supplémentaire n’était nécessaire. Il n’y avait pas d’approbations à tromper ni de transactions à signer.

Le portefeuille pourrait être restauré ailleurs et vidé de toutes les blockchains supportées.

C’est exactement ce que les enquêteurs ont observé, avec des balayages rapides multi-chaînes affectant Bitcoin, les réseaux EVM, Solana et BNB Chain.

L’argent est suivi vers les services d’échange instantané et les CEX

Alors que certains rapports indiquaient environ 2,8 millions de dollars de drains confirmés, d’autres suivaient plus de 4 millions de dollars passant par des services identifiés. Trust Wallet a cependant confirmé que l’impact total s’élevait à environ 7 millions de dollars.

CZ, fondateur de Binance, dont la société a acquis Trust Wallet en 2018, a également déclaré que les pertes s’élevaient à environ 7 millions de dollars et a confirmé que les utilisateurs seraient remboursés.

CZ a également mis en lumière le problème le plus inconfortable soulevé par l’incident : comment une version malveillante a pu atteindre le Chrome Web Store sous une marque de portefeuille officielle.

L’analyse on-chain révèle que les fonds volés sont transférés rapidement, une part importante étant acheminée via des services d’échange instantané et des plateformes centralisées.

Les trackers publics ont cité des flux vers des services tels que ChangeNOW et FixedFloat, ainsi que vers des plateformes comme KuCoin et HTX.

Alors que les enquêtes se poursuivent, Trust Wallet a averti les utilisateurs d’ignorer tout message ne provenant pas des canaux officiels de Trust Wallet.