Confusion concernant la compensation Trust Wallet, difficulté à identifier les véritables victimes｜5 000 cas de demandes frauduleuses détectés

Écart entre demande de compensation et dommages réels mis en évidence

Une problématique inattendue concernant le portefeuille auto-géré « Trust Wallet » a été révélée. Selon une déclaration du PDG de la société, Ewin Chen, le nombre de demandes de compensation suite à le hacking exploitant une extension de navigateur survenue le 25 décembre a atteint environ 5 000, tandis que le nombre de portefeuilles réellement affectés est de 2 596. Cet écart supérieur à deux fois a été signalé par Chen, qui a souligné la possibilité que de nombreuses demandes soient frauduleuses ou en double. Trust Wallet a mis en place un nouveau processus de vérification stricte de la légitimité des dommages afin d’assurer la fiabilité des compensations.

Le montant total estimé des dommages liés à cette violation de sécurité s’élève à environ 7 millions de dollars (environ 11 milliards de yens), et la société a déjà annoncé sa politique de rembourser intégralement les victimes légitimes.

La réalité des dommages : fuite d’actifs par injection de code malveillant

La cause directe de l’incident réside dans l’intégration d’un code malveillant dans la version 2.68 de l’extension Chrome de Trust Wallet. Les attaquants ont exploité cette vulnérabilité pour transférer frauduleusement des cryptomonnaies des utilisateurs. ZachXBT, un chercheur en sécurité des cryptomonnaies, a été le premier à signaler cette anomalie, et la société a immédiatement commencé à prendre des mesures pour limiter l’ampleur des dégâts.

Il est important de noter que ni l’application mobile ni d’autres extensions de navigateur ne sont affectées. La société a publié en urgence la version corrigée 2.69 et a recommandé aux utilisateurs de désactiver l’extension.

Avancement de la procédure de compensation et renforcement de la vérification

Le 27 décembre, Trust Wallet a ouvert un portail officiel pour les demandes de compensation des victimes. Les demandeurs doivent soumettre via un formulaire dédié leur adresse e-mail, adresse de portefeuille, adresse de réception de l’attaquant, et autres informations nécessaires.

Le fondateur de la grande plateforme d’échange mère, Champong Zhao, a déclaré sur X que la société prendrait en charge la totalité des pertes. Par ailleurs, la société met en garde contre les tentatives de phishing visant à profiter de la procédure de compensation et invite à ne pas répondre aux formulaires de demande autres que ceux fournis sur leur site officiel.

Renforcement du processus de vérification : identification des véritables victimes

L’équipe de vérification de Trust Wallet examine actuellement un grand nombre de demandes. Selon Chen, en combinant plusieurs points de données tels que l’historique des transactions, la version de l’extension, et la preuve de propriété du portefeuille, ils peuvent distinguer les victimes légitimes des fausses demandes.

La société a clairement indiqué privilégier la précision de la vérification plutôt que la rapidité de la compensation, et ajuste délibérément le rythme des remboursements pour éviter les paiements frauduleux.

Par ailleurs, une enquête en forensic technique en cours a révélé des traces montrant que les attaquants avaient une connaissance approfondie de la structure du code source de Trust Wallet. Une investigation sur une possible implication interne est également en cours, mais aucune preuve concluante n’a encore été trouvée. La société continue une enquête approfondie avec l’aide d’experts externes.

Vulnérabilité fondamentale des portefeuilles auto-gérés

Cet incident a mis en lumière les risques potentiels liés au concept même de portefeuille auto-géré. En particulier, avec la popularisation des extensions de navigateur, la chaîne d’approvisionnement (supply chain) pour la mise à jour logicielle devient une nouvelle cible d’attaque, ce qui commence à être reconnu dans l’industrie.

Plusieurs acteurs du secteur estiment que, même si l’utilisateur gère ses clés privées, la distribution des applications et la mise à jour logicielle restent dépendantes d’un modèle centralisé. Selon eux, « même dans un portefeuille auto-géré où l’utilisateur détient ses clés, un point unique de défaillance dans la distribution ou la mise à jour peut exister », et ils recommandent d’adopter des méthodes de build reproductibles, de renforcer la vérification de l’intégrité, et de disperser la distribution des mises à jour pour améliorer la fiabilité.

Ce point de vue pousse à une prise de conscience accrue en matière de sécurité dans le marché des portefeuilles auto-gérés.

Les prix sont convertis au taux du moment (1 dollar = 156,24 yens).