ZachXBT signale un problème suspect avec l'extension Trust Wallet alors que des utilisateurs rapportent des fonds vidés

ambcryptoPublié le 2025-12-25Dernière mise à jour le 2025-12-25

Résumé

Des préoccupations de sécurité concernant l'extension de navigateur Trust Wallet ont été signalées le 25 décembre par l'enquêteur blockchain ZachXBT. Une activité suspecte, potentiellement liée à une mise à jour du 24 décembre, pourrait provenir d'une compromission de la chaîne d'approvisionnement. Du code malveillant ajouté dans une mise à jour récente de l'extension serait conçu pour exfiltrer silencieusement les phrases secrètes lors de leur importation, envoyant les données vers un domaine externe. Plusieurs utilisateurs ont signalé des portefeuilles vidés peu après avoir importé leurs phrases, avec des pertes estimées à plus de 2 millions de dollars (non vérifiées). L'incident semble limité à l'extension de navigateur ; les applications mobiles ne seraient pas affectées. Aucune réponse officielle n'a été fournie par Trust Wallet à ce stade. Les enquêteurs mettent en garde contre les conclusions hâtives tout en soulignant la gravité potentielle de cette compromission de la chaîne d'approvisionnement s’elle est confirmée. Il est conseillé aux utilisateurs de ne pas importer de phrases secrètes dans l'extension en attendant plus d'informations.

Des préoccupations de sécurité ont émergé concernant l'extension de navigateur Trust Wallet le 25 décembre, après que l'enquêteur blockchain ZachXBT a signalé une activité suspecte potentiellement liée à une mise à jour récente, déclenchant des avertissements de la part des développeurs et des comptes axés sur la sécurité.

Selon des publications circulant sur X, le problème pourrait provenir d'une compromission présumée de la chaîne d'approvisionnement introduite dans une mise à jour de l'extension de navigateur du 24 décembre.

Un nouveau code ajouté dans l'extension pourrait exfiltrer silencieusement des données sensibles du portefeuille lorsque les utilisateurs importent une phrase de récupération. Les allégations suggèrent que cela a conduit à un vidage immédiat du portefeuille.

Allégations de code malveillant et d'exfiltration de données dans Trust Wallet

Les développeurs examinant l'extension affirment qu'un fichier JavaScript ajouté dans la mise à jour contient une logique déguisée en analytique.

Le code s'activerait spécifiquement lors de l'importation d'une phrase de récupération. Il transmettrait ensuite silencieusement les données liées au portefeuille vers un domaine externe conçu pour ressembler à l'infrastructure officielle de Trust Wallet.

Le domaine référencé dans les rapports aurait été enregistré il y a seulement quelques jours et est depuis hors ligne.

Les chercheurs soutiennent que sa création récente et le timing de la mise à jour de l'extension soulèvent des inquiétudes concernant une attaque coordonnée de la chaîne d'approvisionnement plutôt qu'une usurpation d'identité (phishing) côté utilisateur.

Les utilisateurs rapportent des vidages de portefeuille après des imports de phrases de récupération

Plusieurs utilisateurs ont rapporté que leurs portefeuilles avaient été vidés peu après avoir importé des phrases de récupération dans l'extension de navigateur Trust Wallet.

Des estimations partagées publiquement suggèrent que plus de 2 millions de dollars auraient pu être perdus, bien que ces chiffres n'aient pas été vérifiés de manière indépendante.

Les analystes indiquent que les fonds ont été acheminés via de multiples adresses, un modèle plus souvent associé à une exploitation automatisée qu'à une erreur utilisateur isolée.

La portée semble limitée à l'extension de navigateur

À ce stade, rien n'indique que les applications mobiles de Trust Wallet soient affectées.

Les avertissements circulant en ligne se concentrent spécifiquement sur l'extension de navigateur. C'est là que les mécanismes de mise à jour et les dépendances tierces présentent un risque plus élevé pour la chaîne d'approvisionnement.

Il est conseillé aux utilisateurs de ne pas importer de phrases de récupération dans l'extension de navigateur Trust Wallet jusqu'à ce qu'une clarification supplémentaire soit fournie.

Aucune réponse officielle de Trust Wallet pour le moment

Au moment de la rédaction, Trust Wallet n'a émis aucune réponse publique, clarification ou avis de sécurité concernant ces allégations.

Il n'y a eu ni confirmation ni démenti des allégations, ni aucune annonce concernant une extension, un retour en arrière ou un correctif d'urgence.

Enquête en cours

Les chercheurs ont souligné que la situation fait toujours l'objet d'une enquête active. Aucune conclusion ne devrait être tirée avant que le code de l'extension et l'activité on-chain associée n'aient été entièrement examinés.

Si elle est confirmée, l'incident représenterait une compromission sérieuse de la chaîne d'approvisionnement.

Il s'agit d'une classe d'attaque qui diffère significativement de l'usurpation d'identité (phishing) ou des erreurs côté utilisateur. De plus, elle a historiquement entraîné des pertes rapides et à grande échelle dans l'écosystème crypto.

Réflexions finales

  • Les allégations pointent vers un risque potentiellement sérieux pour la chaîne d'approvisionnement affectant les extensions de portefeuille, soulignant comment les mises à jour de code peuvent devenir un vecteur d'attaque critique si elles sont compromises.
  • En l'absence de réponse de Trust Wallet pour le moment, les utilisateurs et les chercheurs doivent compter sur des enquêtes indépendantes alors que l'examen de l'incident se poursuit.

Questions liées

QQuel est l'investigateur à l'origine de l'alerte sur l'extension Trust Wallet ?

AL'investigateur blockchain ZachXBT a signalé des activités suspectes liées à une mise à jour récente de l'extension.

QQuelle action déclencherait le code malveillant dans l'extension selon les rapports ?

ALe code malveillant s'activerait spécifiquement lorsque les utilisateurs importent une phrase de récupération (seed phrase) dans l'extension.

QQuel est le montant estimé des fonds potentiellement volés mentionné dans l'article ?

ALes estimations publiquement partagées suggèrent que plus de 2 millions de dollars auraient été volés, bien que ces chiffres n'aient pas été vérifiés indépendamment.

QLes applications mobiles de Trust Wallet sont-elles concernées par cette alerte ?

ANon, il n'y a aucune indication que les applications mobiles de Trust Wallet soient affectées. Les avertissements concernent spécifiquement l'extension de navigateur.

QTrust Wallet a-t-il publié une réponse officielle à ces allégations au moment de la rédaction de l'article ?

ANon, au moment de la rédaction de l'article, Trust Wallet n'avait émis de réponse publique, de clarification ou d'avis de sécurité concernant ces allégations.

Lectures associées

Le dernier grand acheteur d'Ethereum, combien de temps peut-il encore tenir ?

Dans un marché en baisse, Bitmine, le plus gros acheteur marginal d'ETH, maintient des achats agressifs malgré des pertes latentes de plus de 10 milliards de dollars. Pour financer sa stratégie d'accumulation visant à détenir 5% de l'offre totale d'ETH d'ici fin 2026, la société a émis des actions prioritaires perpétuelles avec un dividende annuel de 9,5%. Bitmine détient environ 5,66 millions d'ETH (coût moyen ~3500$), dont 85% sont mis en jeu, générant des revenus annuels estimés entre 230 et 296 millions de dollars. Ces revenus de staking couvrent pour l'instant les obligations de dividende. Cependant, cette dynamique repose sur la poursuite des achats et le maintien du prix de l'ETH. Si Bitmine atteint son objectif de 5% et ralentit ses acquisitions, la pression vendeuse pourrait s'accentuer, d'autant que les ETF spot d'ETH connaissent des sorties nettes et que certaines grandes institutions réduisent leurs expositions. L'avenir du prix de l'ETH dépendra de l'émergence de nouveaux acheteurs institutionnels pour combler le vide laissé par Bitmine, les perspectives réglementaires (stablecoins, RWA) et les flux de capitaux passifs (indice Russell 1000). En l'absence de reprise du marché, la disparition de ce principal acheteur marginal pourrait entraîner une nouvelle pression à la baisse.

marsbitIl y a 1 h

Le dernier grand acheteur d'Ethereum, combien de temps peut-il encore tenir ?

marsbitIl y a 1 h

Le dernier grand acheteur d'Ethereum, jusqu'à quand pourra-t-il tenir ?

Alors que le marché des crypto-monnaies baisse, Bitcoin et Ethereum atteignent respectivement près de 60 000 $ et 1 500 $. Bitmine, le dernier acheteur majeur et persistant d'Ethereum, maintient des achats agressifs malgré des pertes latentes dépassant 10 milliards de dollars. Pour financer sa stratégie, Bitmine a émis des actions privilégiées perpétuelles rapportant 9,5% de dividendes annuels, levant environ 274 millions de dollars. Bitmine détient actuellement environ 5,66 millions d'ETH, soit plus de 90% de son objectif d'atteindre 5% de l'offre totale. Près de 85% de ses ETH sont mis en jeu (staking), générant un revenu annuel estimé entre 230 et 296 millions de dollars. Cependant, son prix d'acquisition moyen est d'environ 3 500 $, alors que l'ETH se négocie autour de 1 650 $, entraînant des pertes importantes. Le modèle de Bitmine repose sur l'utilisation des revenus du staking pour couvrir les dividendes. Pourtant, avec un rendement de staking de 3-4%, il ne pourra pas soutenir indéfiniment des dividendes de 9,5% si les émissions d'actions privilégiées augmentent. Une hausse du prix de l'ETH est donc essentielle pour la pérennité de ce modèle. Si Bitmine atteint son objectif de 5% et cesse d'acheter, la question se pose de savoir qui soutiendra le prix de l'ETH. Les ETF sur ETH connaissent des sorties de fonds nettes, et certaines institutions traditionnelles réduisent leur exposition. Les besoins d'achat institutionnels liés aux stablecoins ou aux actifs tokenisés (RWA) sont lents à se matérialiser. Les scénarios pour l'avenir d'ETH varient : une poursuite des achats de Bitmine pourrait maintenir un support, tandis qu'un ralentissement pourrait faire chuter le prix vers 1 000 $. Un scénario optimiste inclut l'inclusion dans l'indice Russell 1000 et une adoption réglementaire favorable. Finalement, la durabilité de la stratégie de Bitmine et l'émergence d'un nouvel acheteur marginal sont cruciales pour le prix d'Ethereum.

链捕手Il y a 2 h

Le dernier grand acheteur d'Ethereum, jusqu'à quand pourra-t-il tenir ?

链捕手Il y a 2 h

La vente institutionnelle de Bitcoin dépasse désormais de 460 % la production des mineurs

Les ventes institutionnelles de Bitcoin ont atteint un niveau record, représentant 464% de la production quotidienne des mineurs, selon l'indicateur "Net Institutional Buying". Alors que les institutions accumulaient durant la hausse d'avril-mai, la tendance s'est inversée avec le récent repli du marché, les fonds ETF étant les principaux vendeurs. Dans le même temps, les entreprises détentrices (DAT) continuent d'acheter. Malgré cette forte pression de vente, le prix du Bitcoin se négocie autour de 62 300 dollars après être brièvement tombé sous les 61 000 dollars.

bitcoinistIl y a 2 h

La vente institutionnelle de Bitcoin dépasse désormais de 460 % la production des mineurs

bitcoinistIl y a 2 h

Les hausses de taux ne sont pas un tueur de technologies, le BPA l'est : Stratégie d'élimination des actifs faibles et de conservation des forts après le recul de la tendance IA

**Résumé de l'article** La correction brutale du 5 juin sur les marchés technologiques (NASDAQ -4,18%, indice des semi-conducteurs Philadelphie -10%) a été déclenchée par de fortes données sur l'emploi américain, ravivant les craintes de hausse des taux. Cependant, l'auteur soutient que le véritable danger pour la bulle technologique n'est pas la politique de la Fed, mais la concurrence féroce dans le secteur et l'**échec des entreprises à concrétiser leurs bénéfices (EPS)**. En s'appuyant sur des comparaisons historiques (ex: bulle Internet de 1999), l'article montre que les actions technologiques peuvent surperformer pendant les cycles de hausse des taux si leur EPS continue d'être révisé à la hausse. La phase actuelle du commerce de l'IA est décrite comme une période de **"validation et de recentrage"**, où les investisseurs doivent "conserver les actifs solides et éliminer les faibles". **Stratégie proposée :** Il ne faut pas abandonner le thème technologique, mais être sélectif. * **Conserver/Renforcer** les actifs leaders ayant une **visibilité élevée des commandes**, des marges stables, de fortes liquidités et des révisions positives de l'EPS (ex: chaîne d'approvisionnement des serveurs IA, modules optiques, circuits imprimés, packaging avancé). * **Réduire/Éviter** les actifs à forte volatilité basés sur des récits futurs sans preuve de profitabilité (ex: certaines actions quantiques, spatiales, de puces conceptuelles). L'ajustement actuel est considéré comme une opportunité ("le bus revient vous chercher") pour acquérir des actifs de qualité, à condition que les bénéfices se matérialisent. Les prochains points de contrôle seront les résultats du Q2 et les guides des entreprises technologiques.

marsbitIl y a 2 h

Les hausses de taux ne sont pas un tueur de technologies, le BPA l'est : Stratégie d'élimination des actifs faibles et de conservation des forts après le recul de la tendance IA

marsbitIl y a 2 h

La loi CLARITY rencontre un nouvel obstacle suite à l'effondrement de l'accord sur l'éthique lors des négociations au Sénat

La loi CLARITY, un projet de loi américain sur la structure du marché des crypto-monnaies, a rencontré un nouvel obstacle lors de négociations bipartites au Sénat, avec l'effondrement d'un accord préliminaire sur les questions éthiques. Après une réunion de mardi, les démocrates se sont dits déçus du retrait par les républicains d'une disposition clé qui aurait permis aux procureurs généraux des États de poursuivre le ministère de la Justice en cas de manquement à certaines exigences éthiques. En réponse, les républicains ont proposé de limiter ce pouvoir d'exécution au seul procureur général, une proposition qualifiée de volte-face par les démocrates. Un autre obstacle majeur au passage du texte réside dans les inquiétudes persistantes des groupes d'application de la loi. Ceux-ci craignent que certaines dispositions, notamment celles de la section *Blockchain Regulatory Certainty Act*, ne limitent leur capacité à enquêter et à poursuivre les activités criminelles utilisant la blockchain. Pour tenter de résoudre ce point, une réunion est prévue entre la Maison Blanche, des représentants d'associations de forces de l'ordre et des membres du Congrès. Enfin, le soutien de certains sénateurs démocrates décisifs, comme Mark Warner et Catherine Cortez Masto, est conditionné à la prise en compte satisfaisante de ces préoccupations éthiques et liées à l'application de la loi. Le groupe bipartite doit se réunir à nouveau jeudi pour tenter de sortir de l'impasse.

bitcoinistIl y a 3 h

La loi CLARITY rencontre un nouvel obstacle suite à l'effondrement de l'accord sur l'éthique lors des négociations au Sénat

bitcoinistIl y a 3 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow