Un script caché détecté en train de récolter des clés privées alors que Trust Wallet lance une alerte d’urgence pour les utilisateurs de Chrome

Trust Wallet a conseillé aux utilisateurs de désactiver la version 2.68 de son extension Chrome après que l'entreprise a reconnu un incident de sécurité et publié la version 2.69 le 25 décembre, suite à des signalements de vidage de portefeuilles liés à la mise à jour du 24 décembre.

Selon les victimes et les chercheurs, les vols ont commencé à être signalés peu de temps après le déploiement de la version 2.68. Les premiers décomptes publics estiment les pertes entre 6 et 7 millions de dollars, voire plus, sur plusieurs blockchains.

La fiche de l’extension Trust Wallet sur le Chrome Web Store indique que la version 2.69 a été “mise à jour : 25 décembre 2025”, ancrant la chronologie du correctif à la date où l’incident s’est répandu.

La même fiche indique environ 1 000 000 d’utilisateurs. Cela fixe un plafond maximal d’exposition potentielle.

L’exposition réelle dépend du nombre de personnes ayant installé la version 2.68 et saisi des données sensibles pendant son utilisation.

Les recommandations de Trust Wallet se sont concentrées sur la version de l’extension pour navigateur. La source a indiqué que les utilisateurs mobiles et les autres versions de l’extension n’étaient pas affectés.

Les rapports à ce jour se sont concentrés sur une action utilisateur spécifique pendant la fenêtre 2.68.

Les chercheurs signalent des risques accrus liés à la mise à jour de l’extension pour navigateur Trust Wallet

Les chercheurs et les traqueurs d’incidents ont identifié le risque le plus élevé pour les utilisateurs ayant importé ou saisi une phrase de récupération après avoir installé la version affectée. Une phrase de récupération permet de débloquer les adresses actuelles et futures dérivées de celle-ci.

La source a également rapporté que les chercheurs ayant examiné le paquet 2.68 ont repéré une logique suspecte dans un fichier JavaScript, notamment des références à un fichier nommé “4482.js”.

Ils ont indiqué que cette logique pouvait transmettre les secrets du portefeuille à un hôte externe. Les chercheurs ont également averti que les indicateurs techniques étaient encore en cours de compilation au moment de la publication de leurs conclusions.

La même couverture a mis en garde contre des arnaques secondaires, dont des domaines “correctifs” imitant l’original. Ces pièges tentent de tromper les utilisateurs afin qu’ils remettent leurs phrases de récupération sous prétexte de résolution du problème.

Pour les utilisateurs, la différence entre mettre à jour et corriger est cruciale.

Mettre à jour vers la version 2.69 peut supprimer les comportements malveillants ou dangereux suspectés de l’extension à l’avenir. Cela ne protège pas automatiquement les actifs si une phrase de récupération ou une clé privée a déjà été compromise.

Dans ce cas, les étapes standards de réponse à incident incluent le transfert des fonds vers de nouvelles adresses créées à partir d’une nouvelle phrase de récupération. Les utilisateurs doivent également vérifier et révoquer les autorisations de jetons lorsque cela est possible.

Tout système ayant manipulé la phrase doit être considéré comme suspect jusqu’à ce qu’il soit réinstallé ou vérifié comme sain.

Ces actions peuvent être coûteuses à mettre en œuvre pour les utilisateurs particuliers. Elles nécessitent de rétablir ses positions sur différentes blockchains et applications.

Dans certains cas, cela oblige également à choisir entre rapidité et précision lorsque les coûts de gaz et les risques de pontage font partie du processus de récupération.

Cet épisode met également en lumière le modèle de confiance des extensions de navigateur.

Les extensions se situent à une jonction sensible entre les applications web et les flux de signature

Toute compromission peut cibler les mêmes entrées sur lesquelles les utilisateurs comptent pour vérifier une transaction.

La recherche académique sur la détection des extensions du Chrome Web Store a décrit comment des extensions malveillantes ou compromises peuvent échapper à la revue automatisée. Elle a également montré comment la détection peut se dégrader à mesure que les tactiques des attaquants évoluent.

Selon un article arXiv sur la détection supervisée par apprentissage automatique des extensions malveillantes, la “dérive de concept” et l’évolution des comportements peuvent réduire l’efficacité des approches statiques. Ce point devient plus concret lorsqu’une mise à jour d’extension de portefeuille est suspectée de récolter des secrets via une logique côté client obscurcie.

Les prochaines communications de Trust Wallet définiront les limites de la suite de l’affaire.

Un rapport d’incident du fournisseur détaillant la cause racine, publiant des indicateurs vérifiés (domaines, empreintes, identifiants de paquets) et clarifiant l’étendue aiderait les fournisseurs de portefeuilles, les plateformes d’échange et les équipes de sécurité à développer des contrôles ciblés et des instructions pour les utilisateurs.

À défaut, les totaux d’incidents restent généralement instables. Les signalements de victimes peuvent arriver tard, le regroupement on-chain peut être affiné, et les enquêteurs peuvent encore déterminer si différents voleurs partagent la même infrastructure ou sont des imitateurs opportunistes.

Les marchés des jetons ont réagi à la nouvelle par des mouvements, mais pas par une revalorisation unidirectionnelle.

Les derniers chiffres cités pour le Trust Wallet Token (TWT) montrent un dernier prix de 0,83487 $, en hausse de 0,01 $ (+0,02 %) par rapport à la clôture précédente. Les chiffres indiquent un pic intrajournalier à 0,8483 $ et un creux à 0,767355 $.

Le bilan des pertes reste en évolution. Le meilleur repère disponible est la fourchette de 6 à plus de 7 millions de dollars rapportée dans les 48 à 72 premières heures après la diffusion de la version 2.68.

Cette fourchette peut encore évoluer pour des raisons courantes dans les enquêtes sur les vols

Ces raisons incluent le signalement tardif des victimes, la reclassification des adresses et une meilleure visibilité sur les swaps cross-chain et les itinéraires de sortie.

Une fourchette prévisionnelle pratique pour les deux à huit prochaines semaines peut être définie selon des scénarios liés à des variables mesurables. Parmi celles-ci : si la faille s’est limitée à l’entrée de la phrase de récupération sur la version 2.68, si d’autres vecteurs de compromission sont confirmés, et à quelle vitesse les pièges “correctifs” sont éliminés.

L’incident survient dans un contexte de surveillance accrue sur la façon dont les logiciels crypto destinés au grand public gèrent les secrets sur des appareils à usage général.

Les signalements de vols en 2025 ont été suffisamment importants pour attirer l’attention des politiques et des plateformes.

Les incidents liés à la distribution logicielle renforcent également les appels à des contrôles d’intégrité des builds, notamment les builds reproductibles, la signature à clés multiples et des options de retour arrière plus claires lorsqu’un correctif d’urgence est nécessaire.

Pour les extensions de portefeuille, la conséquence pratique à court terme est plus simple. Les utilisateurs doivent déterminer s’ils ont jamais saisi une phrase de récupération pendant que la version 2.68 était installée, car cette seule action détermine si la mise à niveau suffit ou s’ils doivent changer de secrets et déplacer leurs fonds.

Les recommandations de Trust Wallet restent de désactiver l’extension 2.68 et de passer à la 2.69 via le Chrome Web Store.

Les utilisateurs ayant importé ou saisi une phrase de récupération tout en utilisant la 2.68 doivent considérer cette phrase comme compromise et migrer leurs actifs vers un nouveau portefeuille.

Trust Wallet a désormais confirmé qu’environ 7 millions de dollars ont été impactés lors de l’incident lié à l’extension Chrome v2.68 et qu’il remboursera tous les utilisateurs affectés.

Dans un communiqué publié sur X, l’entreprise a indiqué finaliser le processus de remboursement et partagera bientôt les instructions concernant les prochaines étapes. Trust Wallet a également exhorté les utilisateurs à ne pas interagir avec des messages ne provenant pas de ses canaux officiels, avertissant que des fraudeurs pourraient tenter d’usurper l’identité de l’équipe pendant la résolution du problème.

L’article Script caché détecté récoltant des clés privées : Trust Wallet publie un avertissement d’urgence pour les utilisateurs Chrome est apparu en premier sur CryptoSlate.