Imaginez ouvrir votre portefeuille crypto un matin et découvrir que des millions ont disparu, sans que vous ayez validé la moindre transaction. C’est exactement ce qui est arrivé à des centaines d’utilisateurs de Trust Wallet fin décembre 2025. Une faille dans l’extension Chrome a permis un vidage massif de fonds, et les soupçons se tournent désormais vers une possible implication interne.
Cette affaire secoue la communauté crypto, d’autant plus que Trust Wallet appartient à Binance, géant du secteur. Les pertes estimées dépassent les 7 millions de dollars, et l’ancien PDG de Binance, Changpeng Zhao, a personnellement promis une compensation intégrale. Mais au-delà du remboursement, c’est la confiance dans les wallets non custodiaux qui est ébranlée.
Un exploit qui soulève de graves questions de sécurité
L’incident concerne spécifiquement la version 2.68 de l’extension browser de Trust Wallet. Sans interaction de l’utilisateur, des transferts non autorisés ont été effectués, vidant complètement certains portefeuilles. Ce qui rend cette attaque particulièrement inquiétante, c’est l’absence totale d’approbation de transaction de la part des victimes.
Le détective on-chain ZachXBT a été le premier à tirer la sonnette d’alarme sur Telegram. Il a rapidement compilé une liste d’adresses touchées et estimé les pertes à plus de 6 millions de dollars initiaux, chiffre qui a grimpé à 7 millions selon les dernières évaluations.
« L’équipe enquête encore sur la manière dont les hackers ont pu soumettre une nouvelle version. »
Changpeng Zhao, ancien PDG de Binance
Trust Wallet a réagi en demandant aux utilisateurs de mettre immédiatement à jour vers la version 2.69 via une procédure manuelle précise. L’entreprise a insisté sur le fait de ne surtout pas ouvrir l’extension tant que la mise à jour n’était pas effectuée, signe de la gravité de la vulnérabilité.
Comment l’attaque a-t-elle pu se produire ?
La méthode exacte reste floue, mais tout pointe vers un compromis au niveau de la publication de l’extension sur le Chrome Web Store. Les attaquants auraient réussi à uploader une version malveillante contenant un code permettant l’exfiltration des clés privées ou la signature automatique de transactions.
Ce qui interpelle la communauté, c’est la nécessité d’un accès privilégié pour soumettre une mise à jour officielle. Normalement, seules les personnes autorisées chez Trust Wallet peuvent publier de nouvelles versions. D’où les soupçons d’une attaque interne ou d’une compromission des identifiants de publication.
Les éléments qui alimentent la thèse de l’insider job
- Seule une personne avec accès au compte développeur pouvait soumettre la version 2.68 malveillante.
- Aucune interaction utilisateur requise pour les transferts, suggérant un accès direct aux clés.
- Les fonds ont été rapidement dispersés via de multiples adresses, signe d’une préparation minutieuse.
- Précédents dans l’industrie : infiltrations par des hackers nord-coréens posant comme employés.
ZachXBT et Arkham Intelligence ont tracé les fonds vers plusieurs wallets. À l’heure actuelle, plus de 2,7 millions de dollars restaient encore dans les portefeuilles des attaquants, prouvant que le mouvement des fonds était toujours en cours.
La réaction de Trust Wallet et la promesse de compensation
Face à la pression croissante des utilisateurs, Trust Wallet est resté relativement discret sur les détails techniques de l’exploit. Aucun post-mortem complet n’a été publié à ce jour, ce qui a frustré de nombreux victimes qui demandent plus de transparence.
Cependant, l’intervention de Changpeng Zhao a changé la donne. Dans un tweet devenu viral, CZ a confirmé que Trust Wallet prendrait en charge l’intégralité des pertes.
« Jusqu’à présent, 7 millions affectés par ce hack. Trust Wallet couvrira tout. »
Changpeng Zhao
Cette annonce a quelque peu calmé les esprits, même si de nombreuses questions restent en suspens. Comment sera organisée la compensation ? Les utilisateurs devront-ils prouver leurs pertes ? Trust Wallet n’a pas encore communiqué de procédure officielle.
Sur le Chrome Web Store, les commentaires négatifs se multiplient. Les notes plongent et les utilisateurs expriment leur colère face au manque apparent de mesures de sécurité robustes pour un produit aussi sensible.
Les implications pour la sécurité des wallets crypto
Cet incident rappelle cruellement que même les wallets les plus populaires ne sont pas à l’abri. Trust Wallet, avec ses millions d’utilisateurs, se positionne comme une solution non custodiale sécurisée. Pourtant, cette affaire montre que les extensions browser représentent un vecteur d’attaque particulièrement dangereux.
Les extensions Chrome ont accès à des permissions étendues et sont souvent ciblées par les malwares. Combinez cela avec une possible compromission interne, et vous obtenez une recette pour un désastre majeur.
Bonnes pratiques à adopter immédiatement
- Désactiver et supprimer toute extension wallet non utilisée.
- Préférer les wallets hardware pour les gros montants.
- Vérifier manuellement les mises à jour via le store officiel.
- Utiliser des seed phrases hors ligne et jamais stockées numériquement.
- Activer la authentification multi-facteurs partout où possible.
De nombreux experts recommandent désormais de limiter l’usage des extensions browser aux petites sommes et de privilégier les applications mobiles ou les wallets hardware pour la conservation à long terme.
Le contexte plus large des attaques dans la crypto
Ce n’est malheureusement pas un cas isolé. L’industrie crypto subit régulièrement des attaques sophistiquées, souvent orchestrées par des groupes étatiques comme les hackers nord-coréens du Lazarus Group.
ZachXBT a précédemment révélé que plus de 25 attaques majeures étaient attribuables à des faux employés infiltrés dans des entreprises crypto. Ces agents posent comme développeurs ou IT pendant des mois avant de frapper.
Dans le cas de Trust Wallet, rien ne prouve encore une telle infiltration, mais la méthode employée – soumission d’une mise à jour officielle malveillante – correspond parfaitement à ce mode opératoire.
Vers une meilleure gouvernance des mises à jour ?
Cet exploit pourrait pousser l’industrie à repenser complètement la gestion des mises à jour pour les outils critiques. Des processus multi-signatures pour les publications, des audits indépendants systématiques, ou même des versions canary pourraient devenir la norme.
Google, de son côté, pourrait renforcer les contrôles sur le Chrome Web Store pour les extensions manipulant des données financières ou crypto. Mais cela soulève aussi la question de la centralisation : plus de contrôle signifie moins de décentralisation.
Trust Wallet, en tant que wallet auto-géré, repose sur le principe que l’utilisateur contrôle totalement ses clés. Cet incident montre les limites de ce modèle quand l’interface elle-même est compromise.
Ce que les utilisateurs peuvent attendre maintenant
La priorité absolue reste la compensation promise par CZ. Si Trust Wallet tient parole, cela pourrait limiter les dommages réputationnels à long terme. Mais la confiance mettra du temps à revenir.
De nombreux utilisateurs envisagent déjà de migrer vers d’autres solutions comme MetaMask, Ledger Live ou des wallets purement mobiles. La concurrence va s’intensifier sur le terrain de la sécurité perçue.
Enfin, cet événement rappelle une vérité fondamentale en crypto : la sécurité absolue n’existe pas. La vigilance reste la meilleure défense, associée à une diversification des stockage et une hygiène numérique irréprochable.
L’affaire Trust Wallet n’est probablement qu’un chapitre de plus dans l’histoire mouvementée de la sécurité crypto. Mais elle pourrait marquer un tournant dans la manière dont les équipes gèrent les mises à jour et communiquent en cas de crise. À suivre de près dans les prochaines semaines.
(Article mis à jour au 26 décembre 2025 – les développements sont en cours)
