Trust Wallet a confirmé qu'environ 7 millions de dollars ont été impactés par un incident de sécurité affectant son extension de navigateur.
Ils se sont engagés à rembourser intégralement tous les utilisateurs touchés alors qu'ils travaillent à finaliser les mesures de correction.
Dans une mise à jour publiée le 26 décembre, Trust Wallet a déclaré que l'incident était limité à la version 2.68 de l'extension de navigateur. Ils ont confirmé les avertissements antérieurs d'enquêteurs blockchain et de chercheurs en sécurité.
La société a souligné que les utilisateurs exclusivement mobiles et toutes les autres versions de l'extension n'ont pas été affectés.
« Nous avons confirmé qu'environ 7 millions de dollars ont été impactés et nous veillerons à ce que tous les utilisateurs affectés soient remboursés », a déclaré Trust Wallet, ajoutant que le soutien aux utilisateurs touchés est sa « priorité absolue ».
La société a déclaré qu'elle finalisait activement le processus de remboursement et partagera bientôt de nouvelles instructions avec les utilisateurs concernés.
L'incident de Trust Wallet limité à la version 2.68 de l'extension
Trust Wallet avait précédemment révélé que le problème provenait d'un incident de sécurité affectant la version 2.68 de son extension pour Chrome.
Les utilisateurs utilisant cette version ont été invités à désactiver immédiatement l'extension et à passer à la version 2.69, que la société a décrite comme une version sécurisée.
L'incident a attiré l'attention après que l'enquêteur blockchain ZachXBT a signalé une activité suspecte, des rapports ultérieurs suggérant que des portefeuilles ont été vidés peu après que les utilisateurs aient importé des phrases de récupération dans l'extension.
Des développeurs spécialisés en sécurité ont ensuite affirmé qu'une mise à jour récente aurait pu introduire un comportement malveillant, soulevant des inquiétudes quant à une compromission potentielle de la chaîne d'approvisionnement.
Trust Wallet n'a pas divulgué de détails techniques sur la cause racine mais a réitéré que l'impact était limité à une seule version de l'extension.
Il est conseillé aux utilisateurs de Trust Wallet de désactiver l'extension affectée
Dans des conseils de suivi, Trust Wallet a demandé aux utilisateurs de l'extension de navigateur v2.68 d'éviter d'ouvrir l'extension, de la désactiver via les paramètres d'extension de Chrome et de mettre à jour manuellement vers la version 2.69.
La société a mis en garde les utilisateurs contre toute interaction avec des messages ou des instructions ne provenant pas de ses canaux officiels, avertissant des arnaques secondaires potentielles qui pourraient exploiter la situation.
La société a également confirmé qu'elle continuait à enquêter sur l'incident et fournira de nouvelles mises à jour au fur et à mesure que le processus de remboursement sera finalisé.
Implications plus larges sur la sécurité
Bien que le problème semble avoir été contenu, l'incident a renouvelé l'examen minutieux de la sécurité des extensions de navigateur et des risques liés à la chaîne d'approvisionnement dans les portefeuilles crypto, en particulier lorsque les mises à jour peuvent introduire des vulnérabilités à grande échelle.
Trust Wallet a déclaré qu'elle continuera à communiquer avec les utilisateurs au fur et à mesure que de plus amples informations seront disponibles, qualifiant l'incident comme l'un des événements de sécurité les plus significatifs liés aux portefeuilles divulgués pendant la période de fin d'année.
Réflexions finales
- La confirmation et l'engagement de remboursement de Trust Wallet apportent de la clarté sur l'incident, mais l'impact de 7 millions de dollars souligne la rapidité avec laquelle les vulnérabilités des extensions de navigateur peuvent se transformer en pertes à grande échelle.
- Cet épisode met en lumière les risques continus de la chaîne d'approvisionnement dans les logiciels de portefeuilles crypto, renforçant l'importance des mises à jour rapides, d'une gestion prudente des clés et d'une communication claire lors des incidents de sécurité.
