ZachXBT signale un problème suspect avec l'extension Trust Wallet alors que des utilisateurs rapportent des fonds vidés

ambcryptoPublié le 2025-12-25Dernière mise à jour le 2025-12-25

Résumé

Des préoccupations de sécurité concernant l'extension de navigateur Trust Wallet ont été signalées le 25 décembre par l'enquêteur blockchain ZachXBT. Une activité suspecte, potentiellement liée à une mise à jour du 24 décembre, pourrait provenir d'une compromission de la chaîne d'approvisionnement. Du code malveillant ajouté dans une mise à jour récente de l'extension serait conçu pour exfiltrer silencieusement les phrases secrètes lors de leur importation, envoyant les données vers un domaine externe. Plusieurs utilisateurs ont signalé des portefeuilles vidés peu après avoir importé leurs phrases, avec des pertes estimées à plus de 2 millions de dollars (non vérifiées). L'incident semble limité à l'extension de navigateur ; les applications mobiles ne seraient pas affectées. Aucune réponse officielle n'a été fournie par Trust Wallet à ce stade. Les enquêteurs mettent en garde contre les conclusions hâtives tout en soulignant la gravité potentielle de cette compromission de la chaîne d'approvisionnement s’elle est confirmée. Il est conseillé aux utilisateurs de ne pas importer de phrases secrètes dans l'extension en attendant plus d'informations.

Des préoccupations de sécurité ont émergé concernant l'extension de navigateur Trust Wallet le 25 décembre, après que l'enquêteur blockchain ZachXBT a signalé une activité suspecte potentiellement liée à une mise à jour récente, déclenchant des avertissements de la part des développeurs et des comptes axés sur la sécurité.

Selon des publications circulant sur X, le problème pourrait provenir d'une compromission présumée de la chaîne d'approvisionnement introduite dans une mise à jour de l'extension de navigateur du 24 décembre.

Un nouveau code ajouté dans l'extension pourrait exfiltrer silencieusement des données sensibles du portefeuille lorsque les utilisateurs importent une phrase de récupération. Les allégations suggèrent que cela a conduit à un vidage immédiat du portefeuille.

Allégations de code malveillant et d'exfiltration de données dans Trust Wallet

Les développeurs examinant l'extension affirment qu'un fichier JavaScript ajouté dans la mise à jour contient une logique déguisée en analytique.

Le code s'activerait spécifiquement lors de l'importation d'une phrase de récupération. Il transmettrait ensuite silencieusement les données liées au portefeuille vers un domaine externe conçu pour ressembler à l'infrastructure officielle de Trust Wallet.

Le domaine référencé dans les rapports aurait été enregistré il y a seulement quelques jours et est depuis hors ligne.

Les chercheurs soutiennent que sa création récente et le timing de la mise à jour de l'extension soulèvent des inquiétudes concernant une attaque coordonnée de la chaîne d'approvisionnement plutôt qu'une usurpation d'identité (phishing) côté utilisateur.

Les utilisateurs rapportent des vidages de portefeuille après des imports de phrases de récupération

Plusieurs utilisateurs ont rapporté que leurs portefeuilles avaient été vidés peu après avoir importé des phrases de récupération dans l'extension de navigateur Trust Wallet.

Des estimations partagées publiquement suggèrent que plus de 2 millions de dollars auraient pu être perdus, bien que ces chiffres n'aient pas été vérifiés de manière indépendante.

Les analystes indiquent que les fonds ont été acheminés via de multiples adresses, un modèle plus souvent associé à une exploitation automatisée qu'à une erreur utilisateur isolée.

La portée semble limitée à l'extension de navigateur

À ce stade, rien n'indique que les applications mobiles de Trust Wallet soient affectées.

Les avertissements circulant en ligne se concentrent spécifiquement sur l'extension de navigateur. C'est là que les mécanismes de mise à jour et les dépendances tierces présentent un risque plus élevé pour la chaîne d'approvisionnement.

Il est conseillé aux utilisateurs de ne pas importer de phrases de récupération dans l'extension de navigateur Trust Wallet jusqu'à ce qu'une clarification supplémentaire soit fournie.

Aucune réponse officielle de Trust Wallet pour le moment

Au moment de la rédaction, Trust Wallet n'a émis aucune réponse publique, clarification ou avis de sécurité concernant ces allégations.

Il n'y a eu ni confirmation ni démenti des allégations, ni aucune annonce concernant une extension, un retour en arrière ou un correctif d'urgence.

Enquête en cours

Les chercheurs ont souligné que la situation fait toujours l'objet d'une enquête active. Aucune conclusion ne devrait être tirée avant que le code de l'extension et l'activité on-chain associée n'aient été entièrement examinés.

Si elle est confirmée, l'incident représenterait une compromission sérieuse de la chaîne d'approvisionnement.

Il s'agit d'une classe d'attaque qui diffère significativement de l'usurpation d'identité (phishing) ou des erreurs côté utilisateur. De plus, elle a historiquement entraîné des pertes rapides et à grande échelle dans l'écosystème crypto.

Réflexions finales

  • Les allégations pointent vers un risque potentiellement sérieux pour la chaîne d'approvisionnement affectant les extensions de portefeuille, soulignant comment les mises à jour de code peuvent devenir un vecteur d'attaque critique si elles sont compromises.
  • En l'absence de réponse de Trust Wallet pour le moment, les utilisateurs et les chercheurs doivent compter sur des enquêtes indépendantes alors que l'examen de l'incident se poursuit.

Questions liées

QQuel est l'investigateur à l'origine de l'alerte sur l'extension Trust Wallet ?

AL'investigateur blockchain ZachXBT a signalé des activités suspectes liées à une mise à jour récente de l'extension.

QQuelle action déclencherait le code malveillant dans l'extension selon les rapports ?

ALe code malveillant s'activerait spécifiquement lorsque les utilisateurs importent une phrase de récupération (seed phrase) dans l'extension.

QQuel est le montant estimé des fonds potentiellement volés mentionné dans l'article ?

ALes estimations publiquement partagées suggèrent que plus de 2 millions de dollars auraient été volés, bien que ces chiffres n'aient pas été vérifiés indépendamment.

QLes applications mobiles de Trust Wallet sont-elles concernées par cette alerte ?

ANon, il n'y a aucune indication que les applications mobiles de Trust Wallet soient affectées. Les avertissements concernent spécifiquement l'extension de navigateur.

QTrust Wallet a-t-il publié une réponse officielle à ces allégations au moment de la rédaction de l'article ?

ANon, au moment de la rédaction de l'article, Trust Wallet n'avait émis de réponse publique, de clarification ou d'avis de sécurité concernant ces allégations.

Lectures associées

Si la bulle de l’IA est déjà en train d’éclater, qui restera vraiment ?

L'intelligence artificielle connaît actuellement une bulle spéculative, reconnue par des acteurs comme Ray Dalio, mais parallèlement, son adoption réelle s'accélère. La situation rappelle la bulle internet de 2000 : bien qu'elle ait causé des pertes massives, elle a laissé des infrastructures critiques (câbles sous-marins, large bande) qui ont permis l'essor des géants ultérieurs. Aujourd'hui, des milliers de milliards de dollars sont investis dans l'infrastructure IA (centres de données, GPU, refroidissement, énergie), tandis que les revenus des applications pures restent encore limités. Cependant, le coût du traitement ("token") a chuté de plus de 99,7% depuis 2023. Cette baisse radicale, loin de réduire les dépenses, les a multipliées, car elle débloque une multitude de nouveaux cas d'usage à forte valeur ajoutée (agents autonomes, RAG, analyse de documents, recherche scientifique). C'est le paradoxe de Jevons appliqué à l'IA. Le marché est en phase de purification : les entreprises sans réelle proposition de valeur ou simple "enveloppe" d'API disparaissent. L'évolution profonde se fait en trois temps : 1. Le transfert de valeur des dépenses d'investissement (CapEx, comme les puces) vers les dépenses d'exploitation (OpEx, les applications qui optimisent les processus métiers). 2. La compression des multiples de valorisation, qui sera compensée par la croissance future des bénéfices des entreprises qui intègrent l'IA. 3. L'adoption massive de l'IA dans tous les secteurs (industrie, finance, droit, santé, R&D), où elle devient un outil indispensable, et non plus un gadget. En conclusion, la bulle financière se dégonflera, éliminant la spéculation creuse. Mais l'infrastructure physique et les capacités techniques qui resteront, désormais abordables, alimenteront la transformation de toutes les industries. Comme l'internet après l'an 2000, l'IA est en train de poser les fondations d'une ère où elle sera omniprésente et essentielle. L'agitation de la bulle est passagère, la puissance transformative sous-jacente, elle, est bien réelle.

marsbitIl y a 27 mins

Si la bulle de l’IA est déjà en train d’éclater, qui restera vraiment ?

marsbitIl y a 27 mins

Si la bulle de l'IA éclate déjà, qui restera vraiment ?

**Résumé** L’IA connaît actuellement une bulle spéculative sur les marchés financiers, alimentée par des investissements massifs dans les infrastructures (centres de données, GPU, électricité, refroidissement). Un décalage existe entre ces investissements en capital (CapEx) et les revenus encore modestes des applications. Cependant, cette situation rappelle la bulle Internet de 2000, qui a laissé derrière elle des infrastructures critiques (câbles sous-marins, large bande) ayant permis l'essor ultérieur de géants comme Amazon ou Netflix. L'élément clé est la baisse spectaculaire du coût du « Token » (unité de calcul IA), qui a chuté de plus de 99,7 % en deux ans. Paradoxalement, cela n'a pas réduit les dépenses des entreprises en IA, mais les a accrues (effet Jevons). La baisse des coûts a libéré une demande de masse et permis à l'IA de passer de simples assistants conversationnels à des « agents intelligents » intégrés dans les flux de travail réels (code, médecine, finance, droit, R&D). Le marché est en train de mûrir et la bulle se dégonfle déjà pour les entreprises sans véritable valeur ajoutée («套壳公司» ou entreprises-coquilles). Une correction est en cours, éliminant les acteurs purement spéculatifs. La valeur migrera progressivement des fournisseurs d'infrastructure (vendanges de pelles) vers les couches applicatives qui résolvent des problèmes métiers concrets et optimisent les dépenses opérationnelles (OpEx). En définitive, si la bulle financière éclatera, les avancées fondamentales de la productivité resteront. Les infrastructures construites aujourd'hui deviendront abordables et omniprésentes, permettant à l'IA de s'intégrer dans tous les secteurs, tout comme Internet l'a fait auparavant. L'ère de « l'IA+ » pour toutes les industries est inéluctable.

链捕手Il y a 34 mins

Si la bulle de l'IA éclate déjà, qui restera vraiment ?

链捕手Il y a 34 mins

PDG de Microsoft : À l'ère de l'IA, comment définir le fossé concurrentiel d'une entreprise ?

Le PDG de Microsoft, Satya Nadella, affirme que dans l'ère de l'IA, la compétitivité durable d'une entreprise ne réside pas dans le choix du modèle d'IA le plus puissant, mais dans sa capacité à transformer ses flux de travail, ses connaissances métier, son expertise organisationnelle et l'expérience de ses employés en un système d'apprentissage continu et évolutif. Il appelle cela la construction d'une « boucle d'apprentissage » propriétaire. L'entreprise de l'avenir accumulera deux formes de capital : le capital humain (savoir, jugement, réseau, créativité des employés) et le « Token Capital » (capacités d'IA propres et maîtrisées). Nadella insiste sur le fait que l'IA ne dévalorise pas le capital humain mais le rend plus crucial, notamment pour fixer des objectifs et faire des liens. Sans direction humaine, la puissance de calcul tourne à vide. Le véritable avantage concurrentiel (« fossé ») ne sera pas un modèle spécifique, mais la capacité à préserver et faire croître son savoir-faire organisationnel unique, même en changeant de modèle généraliste. Pour cela, les entreprises doivent créer des systèmes d'évaluation privés, des environnements d'apprentissage par renforcement et des bases de connaissances interrogeables. L'enjeu est la souveraineté économique : éviter un futur où toute la valeur est capturée par quelques modèles d'IA généraux, au détriment des savoirs sectoriels. L'objectif doit être de construire un écosystème de pointe où chaque organisation, chaque secteur et chaque pays peut développer sa propre boucle d'apprentissage, permettant au capital humain et au Token Capital de se renforcer mutuellement et de générer de la valeur au sein de l'entreprise et de sa communauté.

marsbitIl y a 1 h

PDG de Microsoft : À l'ère de l'IA, comment définir le fossé concurrentiel d'une entreprise ?

marsbitIl y a 1 h

L'ETF n'est qu'un ticket d'entrée : la véritable institutionnalisation du Bitcoin se produit là où vous ne la voyez pas

L'article souligne que si les ETF Bitcoin ont capté l'attention en offrant un moyen régulé de détenir du bitcoin, la véritable institutionnalisation se produit ailleurs, de manière moins visible. Il décrit comment le bitcoin est désormais utilisé comme « primitif financier », une ressource fondamentale sur laquelle se construit un écosystème financier plus large. Les exemples incluent : une compagnie d'assurance des Barbades utilisant le bitcoin comme réserve de capital ; des prêts adossés à du bitcoin, dont un lot de 1,88 milliard de dollars noté BBB- par S&P ; et des réseaux de règlement institutionnels comme Atlas d'Anchorage Digital. Ces utilisations transforment le bitcoin en collatéral pour des activités telles que le financement, les transactions sur dérivés et les produits structurés, similaires aux obligations d'État ou à l'or. Le test de résistance de février 2026, lors d'une baisse des prix, a démontré la robustesse de ce système (liquidations automatiques fonctionnelles), mais aussi son risque de spirale de vente en cas de stress extrême. En conclusion, le rôle le plus durable du bitcoin dans la finance institutionnelle pourrait être son intégration silencieuse dans les mécanismes de garantie et de règlement, bien au-delà de la simple spéculation via les ETF.

marsbitIl y a 1 h

L'ETF n'est qu'un ticket d'entrée : la véritable institutionnalisation du Bitcoin se produit là où vous ne la voyez pas

marsbitIl y a 1 h

Réponse des cofondateurs de ZEC à la faille Orchard : aucune trace de vol pour le moment, le pool Orchard sera mis sous séquestre

Les cofondateurs de Zcash répondent à la vulnérabilité découverte dans le module Orchard. Bien que l'exploitation de cette faille semble peu probable (en raison de sa haute complexité technique, de la réponse rapide des équipes et de l'absence de trace de vol), elle soulève plusieurs questions cruciales pour les utilisateurs. Premièrement, les actifs légitimes détenus dans Orchard devraient pouvoir être récupérés, à condition que la faille n'ait jamais été exploitée. Dans le cas contraire, une sortie anticipée de jetons frauduleux pourrait affecter les retraits. Deuxièmement, à cause de cette vulnérabilité, les utilisateurs ne peuvent actuellement pas vérifier de manière autonome que la masse monétaire totale de ZEC n'a pas été artificiellement augmentée. Cette capacité de vérification, essentielle à la confiance, sera rétablie grâce à la future mise à niveau Ironwood. Celle-ci gèlera définitivement le pool Orchard, n'autorisant que la sortie des actifs initialement déposés, garantissant ainsi qu'aucune création illicite de jetons ne pourra persister. Enfin, des audits approfondis menés par plusieurs équipes, assistés par des outils d'IA avancés, n'ont pour l'instant détecté aucune autre vulnérabilité de contrefaçon similaire dans le protocole. En résumé, bien que la situation semble contenue et que des mesures correctives sont en cours, la mise à niveau à venir est essentielle pour restaurer la pleine capacité des utilisateurs à auditer la supply de ZEC de manière indépendante.

Foresight NewsIl y a 1 h

Réponse des cofondateurs de ZEC à la faille Orchard : aucune trace de vol pour le moment, le pool Orchard sera mis sous séquestre

Foresight NewsIl y a 1 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow