La Mise à jour qui a Vidé les Portefeuilles

Ce qui s'est exactement passé lors de l'incident Trust Wallet

Étape 1 : Une nouvelle mise à jour de l'extension de navigateur a été publiée

Une nouvelle mise à jour de l'extension de navigateur Trust Wallet a été publiée le 24 décembre.

• La mise à jour semblait routinière.

• Aucun avertissement de sécurité majeur ne l'accompagnait.

• Les utilisateurs l'ont installée via le processus de mise à jour habituel.

À ce stade, rien ne semblait suspect.

Étape 2 : Un nouveau code a été ajouté à l'extension

Après la mise à jour, des chercheurs examinant les fichiers de l'extension ont remarqué des changements dans un fichier JavaScript connu sous le nom de 4482.js.

Observation clé :

Cela est important car les portefeuilles de navigateur sont des environnements très sensibles ; toute nouvelle logique sortante présente un risque élevé.

Étape 3 : Le code se faisait passer pour de l'« Analytics »

La logique ajoutée apparaissait comme du code d'analyse ou de télémétrie.

Spécifiquement :

• Il ressemblait à une logique de suivi utilisée par les SDK d'analyse courants.

• Il ne se déclenchait pas tout le temps.

• Il s'activait uniquement dans certaines conditions.

Cette conception le rendait plus difficile à détecter lors de tests occasionnels.

Étape 4 : Condition de déclenchement — Importation d'une seed phrase

La rétro-ingénierie de la communauté suggère que la logique était déclenchée lorsqu'un utilisateur importait une seed phrase dans l'extension.

Pourquoi c'est critique :

• L'importation d'une seed phrase donne au portefeuille un contrôle total.

• C'est un moment unique et de grande valeur.

• Tout code malveillant n'a besoin d'agir qu'une seule fois.

Les utilisateurs qui n'utilisaient que des portefeuilles existants n'ont peut-être pas déclenché ce chemin.

Étape 5 : Les données du portefeuille ont été envoyées à l'extérieur

Lorsque la condition de déclenchement s'est produite, le code aurait envoyé des données vers un point de terminaison externe :

metrics-trustwallet[.]com

Ce qui a déclenché l'alarme :

• Le domaine ressemblait beaucoup à un sous-domaine légitime de Trust Wallet.

• Il n'avait été enregistré que quelques jours auparavant.

• Il n'était pas documenté publiquement.

• Il est passé hors ligne par la suite.

À tout le moins, cela confirme une communication sortante inattendue depuis l'extension du portefeuille.

Étape 6 : Les attaquants ont agi immédiatement

Peu après les importations de seed phrase, les utilisateurs ont signalé :

• Des portefeuilles vidés en quelques minutes.

• Plusieurs actifs déplacés rapidement.

• Aucune interaction utilisateur supplémentaire n'était nécessaire.

Le comportement on-chain a montré :

• Des schémas de transactions automatisés.

• Plusieurs adresses de destination.

• Aucun flux d'approbation de phishing évident.

Cela suggère que les attaquants avaient déjà suffisamment d'accès pour signer des transactions.

Étape 7 : Les fonds ont été consolidés à travers plusieurs adresses

Les actifs volés ont été acheminés via plusieurs portefeuilles contrôlés par les attaquants.

Pourquoi c'est important :

• Cela suggère une coordination ou un script.

• Cela réduit la dépendance à une seule adresse.

• Cela correspond au comportement observé dans les exploits organisés.

Les estimations basées sur les adresses suivies suggèrent que des millions de dollars ont été déplacés, bien que les totaux varient.

Étape 8 : Le domaine est devenu inaccessible

Après l'augmentation de l'attention :

• Le domaine suspect a cessé de répondre.

• Aucune explication publique n'a immédiatement suivi.

• Les captures d'écran et les preuves en cache sont devenues cruciales.

Cela est cohérent avec des attaquants détruisant l'infrastructure une fois exposée.

Étape 9 : La reconnaissance officielle est arrivée plus tard

Trust Wallet a confirmé plus tard :

• Un incident de sécurité a affecté une version spécifique de l'extension de navigateur.

• Les utilisateurs mobiles n'ont pas été affectés.

• Les utilisateurs devraient mettre à niveau ou désactiver l'extension.

Cependant, aucune analyse technique complète n'a été donnée immédiatement pour expliquer :

• Pourquoi le domaine existait.

• Si les seed phrases ont été exposées.

• S'il s'agissait d'un problème interne, tiers ou externe.

Cette lacune a alimenté les spéculations continues.

Ce qui est confirmé

• Une mise à jour de l'extension de navigateur a introduit un nouveau comportement sortant.

• Les utilisateurs ont perdu des fonds peu après l'importation de seed phrases.

• L'incident était limité à une version spécifique.

• Trust Wallet a reconnu un problème de sécurité.

Ce qui est fortement suspecté

• Un problème de chaîne d'approvisionnement ou une injection de code malveillant.

• Des seed phrases ou une capacité de signature exposées.

• La logique d'analyse détournée ou utilisée comme arme.

Ce qui reste inconnu

• Si le code était intentionnellement malveillant ou compromis en amont.

• Combien d'utilisateurs ont été affectés.

• Si d'autres données ont été prises.

• L'attribution exacte des attaquants.

Pourquoi cet incident est important

Ce n'était pas du phishing typique.

Cela met en évidence :

• Le danger des extensions de navigateur.

• Le risque de faire confiance aveuglément aux mises à jour.

• Comment le code d'analyse peut être détourné.

• Pourquoi la manipulation des seed phrases est le moment le plus critique de la sécurité du portefeuille.

Même une vulnérabilité de courte durée peut avoir des conséquences graves.