Les utilisateurs signalent des pertes après la mise à jour de l'extension Trust Wallet

• L'extension Trust Wallet version 2.68 est liée à une suspicion de compromission de la chaîne d'approvisionnement après une mise à jour du 24 décembre.
• Les utilisateurs ont signalé des vidages de portefeuille après l'importation de phrases de récupération ; pertes estimées à plus de 6 millions de dollars.
• Trust Wallet a confirmé le problème et conseille de mettre à jour vers la version 2.69 ; les applications mobiles ne sont pas affectées.

Des problèmes de sécurité sont apparus autour de l'extension de navigateur Trust Wallet suite à des signalements liés à une récente mise à jour concernant un accès non autorisé potentiel et des vidages de portefeuille, suscitant des alertes de la part de chercheurs blockchain et de développeurs axés sur la sécurité. L'incident a attiré l'attention sur la version 2.68 de l'extension, confirmée ultérieurement par Trust Wallet.

Le problème est survenu après des notifications de l'enquêteur blockchain ZachXBT, qui a signalé avoir reçu des messages de centaines d'utilisateurs affirmant que les soldes de leurs portefeuilles avaient diminué après l'importation de phrases de récupération dans l'extension de navigateur.

Selon des analyses techniques publiées par des développeurs, la mise à jour de l'extension pour navigateur publiée le 24 décembre pourrait avoir conduit à l'injection de code malveillant par le biais d'une suspicion de compromission de la chaîne d'approvisionnement.

Les chercheurs examinant la mise à jour affirment qu'un fichier JavaScript récemment ajouté a été intégré à l'extension et apparemment déguisé en fonctionnalité analytique. Il est rapporté que le fichier ne s'activait que lors de l'importation d'une phrase de récupération, après quoi il transmettait des données sensibles liées au portefeuille vers un domaine externe conçu avec l'infrastructure officielle Trust Wallet.

Indicateurs d'une possible compromission de la chaîne d'approvisionnement

Le domaine externe mentionné dans les rapports a été enregistré quelques jours seulement avant l'incident et est ensuite passé hors ligne. Les analystes ont noté que la création récente du domaine combinée au moment de la mise à jour a soulevé des inquiétudes quant au fait que l'incident pourrait être le résultat d'une attaque coordonnée sur la chaîne d'approvisionnement, plutôt que de tentatives de phishing isolées ou d'erreurs d'utilisateur.

Une analyse on-chain, à laquelle se réfèrent les chercheurs de la communauté, a montré que les fonds compromis transitaient par plusieurs adresses. Selon eux, ce schéma est souvent associé à des méthodes d'exploitation automatisées. Des estimations publiques publiées en ligne suggéraient que les pertes pourraient dépasser 6 millions de dollars, bien que ces chiffres n'aient pas été confirmés de manière indépendante.

Trust Wallet confirme l'étendue et apporte des correctifs

Plus tard, le 25 décembre, Trust Wallet a confirmé que l'incident de sécurité était limité à l'extension de navigateur version 2.68. Dans une déclaration, l'entreprise a recommandé aux utilisateurs de désactiver immédiatement cette version et de mettre à jour vers la version 2.69, qui, selon eux, contient un correctif. Trust Wallet a ajouté qu'aucune autre version d'extensions de navigateur ni aucune de ses applications mobiles n'ont été affectées.

L'entreprise a également déclaré que son service d'assistance a commencé à contacter les utilisateurs affectés et enquête sur l'incident. Aucun détail sur la cause technique ou une éventuelle compensation n'a été fourni.

Lié : Trust Wallet rétablit les soldes après une panne de synchronisation des données ; les fonds sont en sécurité