Trust Wallet a ouvert un portail officiel de réclamations pour indemniser les utilisateurs touchés par une mise à jour compromise de son extension Chrome. L’incident a causé environ 7 millions de dollars de pertes en crypto.
Un portail de réclamations pour contenir l’incendie lié au portefeuille crypto
Après l’incident de sécurité lié à son extension chrome, Trust Wallet veut reprendre la main sur la narration et sur le support. Les victimes de ce piratage doivent passer par le support officiel pour bénéficier d’un remboursement des fonds volés. De ce fait, ils doivent fournir des éléments précis comme l’adresse du wallet, l’adresse de réception de l’attaquant, le hash de transaction, le pays.
La plateforme annonce un traitement au cas par cas. Pas de promesse de remboursement automatique. En effet, les dossiers sont vérifiés manuellement, ce qui ralentit, mais réduit aussi le risque d’un second drame. Il pourrait s’agit d’une vague d’arnaques post-hack qui siphonnent les victimes une deuxième fois. Dans ce genre de crise, les faux formulaires circulent souvent plus vite que les correctifs.
Changpeng Zhao a indiqué que les pertes vérifiées seraient prises en charge, ce qui place l’incident dans une catégorie particulière, celle où l’image compte autant que la technique. En effet, Trust Wallet appartient à Binance depuis 2018, et l’effet de halo joue dans les deux sens.
Ce qui s’est passé dans l’extension Chrome, sans détour
Le problème vient d’une version précise, l’extension Chrome 2.68, publiée le 24 décembre. En effet, une mise à jour a été effectuée, puis des portefeuilles crypto ont été vidés. Beaucoup d’utilisateurs ont découvert la faille avec retard, au moment où ils avaient déjà ouvert l’extension ou interagissaient déjà avec leurs clés.
Selon la direction de Trust Wallet, l’attaque intervient après la fuite d’une clé API du Chrome Web Store. En clair, il ne s’agit pas seulement d’une faille dans le code. Mais d’un problème de chaîne de publication. En effet, c’est une porte dérobée dans le processus de livraison, qui a permis de diffuser une version modifiée.
Les analyses de chercheurs en sécurité décrivent un code injecté qui pouvait exfiltrer des informations ultra sensibles, dont la phrase de récupération au moment où l’utilisateur l’importait ou déverrouillait le wallet crypto. Trust Wallet a publié un correctif via la version 2.69 dès le 25 décembre. La PDG Eowyn Chen a aussi évoqué une fenêtre de risque plus forte pour certains utilisateurs connectés avant le 26 décembre à 11h UTC.
L’extension de navigateur, c’est la porte d’entrée parfaite pour la DeFi. Rapide, pratique, toujours à portée de clic. Mais c’est aussi un endroit exposé : le navigateur parle à tout. Aux sites, aux scripts, aux mises à jour silencieuses. On y gagne en fluidité, on y perd en isolement.
Dans cet incident, les pertes confirmées concernent plusieurs réseaux, dont BTC, ETH, BNB et SOL. Une partie des fonds aurait transité par des services et des plateformes centralisées.
