La faille de sécurité du code du hacker de Trust Wallet : $6M de cryptomonnaie volée via une extension malveillante

Une attaque sophistiquée ciblant les utilisateurs de Trust Wallet a entraîné le vol de plus de $6 millions d’actifs numériques, révélant l’une des vulnérabilités de sécurité les plus graves dans l’espace des portefeuilles crypto. L’attaque impliquait un code malveillant directement intégré dans le code source de l’extension du navigateur — une évolution que les chercheurs en sécurité classent comme une opération de Menace Persistante Avancée (APT).

Comment le code hacker a exploité les utilisateurs de Trust Wallet

Le 8 décembre 2025, les attaquants ont enregistré le domaine malveillant metrics-trustwallet.com. Deux semaines plus tard, les 21-22 décembre, les chercheurs en sécurité ont détecté les premières tentatives d’exfiltration de données. Le code malveillant fonctionnait via un mécanisme à la fois simple et efficace : lorsque les utilisateurs débloquaient leur extension Trust Wallet (version 2.68), le code malveillant interceptait leurs phrases de récupération chiffrées.

La vulnérabilité n’a pas été introduite par une bibliothèque ou dépendance tierce compromise — au contraire, les attaquants ont injecté directement du code malveillant dans la base de code interne de Trust Wallet. Cette distinction est cruciale : elle indique que les acteurs de la menace ont obtenu un accès à l’infrastructure de développement ou aux systèmes de déploiement de Trust Wallet plusieurs semaines avant que l’attaque ne devienne publique.

La méthodologie d’attaque reposait sur le vol des phrases mnémotechniques chiffrées des utilisateurs en exploitant les mots de passe ou clés d’accès qu’ils entraient lors du déverrouillage de leur portefeuille. Le code hacker déchiffrerait ensuite ces phrases et les transmettrait au serveur de commande et contrôle de l’attaquant (api.metrics-trustwallet[.]com), donnant aux hackers un contrôle total sur les portefeuilles compromis.

Détails techniques de l’attaque : décryptage du code hacker malveillant

Les chercheurs en sécurité de SlowMist ont mené une analyse détaillée en comparant la version 2.67 et la version 2.68 de l’extension Trust Wallet. Leurs conclusions ont révélé précisément comment le code hacker fonctionnait au niveau de l’application.

La charge malveillante parcourait tous les portefeuilles stockés dans l’extension et envoyait des requêtes pour extraire la phrase mnémotechnique chiffrée de l’utilisateur. Une fois obtenue, le code la déchiffrait en utilisant les identifiants d’authentification saisis lors du déverrouillage du portefeuille. Si le déchiffrement réussissait — ce qui serait le cas pour chaque utilisateur légitime — la phrase mnémotechnique exposée était automatiquement envoyée au serveur de l’attaquant.

La sophistication de ce code hacker suggère un développement de niveau professionnel. Les attaquants ont utilisé la bibliothèque d’analyse légitime PostHogJS comme couverture, redirigeant les données analytiques légitimes vers leur infrastructure malveillante. Cette technique permettait au code hacker de se fondre dans le fonctionnement normal du portefeuille, évitant une détection immédiate.

L’analyse dynamique de l’attaque a révélé qu’une fois déchiffrées, les données de la phrase mnémotechnique étaient intégrées dans le champ de message d’erreur des requêtes réseau — une technique d’obfuscation astucieuse permettant aux identifiants volés de traverser le trafic réseau sans déclencher d’alerte immédiate. L’analyse du trafic avec BurpSuite a confirmé que les phrases de récupération volées étaient systématiquement emballées dans le champ errorMessage avant leur transmission au serveur de l’attaquant.

Suivi des actifs volés et infrastructure de l’attaquant

Selon les données divulguées par le chercheur en sécurité zachxbt, le vol a entraîné des pertes importantes sur plusieurs blockchains :

• Blockchain Bitcoin : environ 33 BTC volés, d’une valeur d’environ 2,96 millions de dollars (aux taux actuels de 89,57K $ par BTC en janvier 2026)
• Ethereum et réseaux Layer 2 : environ $3 millions de pertes combinées
• Blockchain Solana : environ $431 volés
• Autres réseaux : pertes additionnelles dans divers écosystèmes blockchain

L’analyse post-vol montre que les attaquants ont immédiatement commencé à déplacer et échanger les actifs volés via des ponts décentralisés et plusieurs échanges centralisés, probablement pour dissimuler l’origine des fonds et compliquer leur récupération.

Le domaine malveillant lui-même a été enregistré le 8 décembre 2025, à 02:28:18 UTC, via le registrar NICENIC INTERNATIONA. La synchronisation entre l’enregistrement du domaine et les premières tentatives d’exfiltration de données suggère fortement qu’il s’agissait d’une opération soigneusement coordonnée — le code hacker n’a pas été déployé à la hâte, mais dans le cadre d’une campagne bien planifiée.

Actions immédiates : protéger votre portefeuille contre des attaques similaires basées sur du code

L’équipe de développement de Trust Wallet a confirmé la vulnérabilité dans la version 2.68 et a publié un avis de sécurité urgent. La réponse officielle comprenait ces directives essentielles :

Si vous utilisez l’extension de navigateur Trust Wallet :

1. Déconnectez-vous immédiatement d’Internet — c’est la première étape avant toute opération de dépannage. Rester connecté alors que votre portefeuille est potentiellement compromis augmente le risque de perte totale des actifs.

2. Exportez vos clés privées ou phrases mnémotechniques hors ligne, puis désinstallez immédiatement l’extension Trust Wallet. Ne réactivez en aucun cas la version 2.68.

3. Mettez à jour vers la version 2.69 uniquement après avoir transféré vos fonds vers un portefeuille complètement nouveau et sécurisé (qu’il s’agisse d’une autre application de portefeuille, d’un portefeuille matériel, ou d’un nouveau compte avec une phrase de récupération fraîchement générée).

4. Transférez tous les fonds vers une nouvelle adresse de portefeuille dès que cela est possible en toute sécurité. Tout cryptomonnaie restant dans des portefeuilles précédemment accessibles via la version compromise 2.68 doit être considéré comme à risque.

La vulnérabilité du code hacker affecte tous les utilisateurs ayant installé la version 2.68, qu’ils aient utilisé ou non activement l’extension — la charge malveillante s’exécute automatiquement lors du déverrouillage du portefeuille.

Pourquoi cette menace est une menace de niveau APT

Les analystes en sécurité classent cette attaque comme une Menace Persistante Avancée (APT) sophistiquée pour plusieurs raisons convaincantes. D’abord, l’ampleur et la coordination suggèrent des acteurs de menace professionnels, non des hackers opportunistes. Ensuite, l’accès apparent de l’attaquant aux systèmes de développement ou de déploiement de Trust Wallet indique une compromission ciblée de l’infrastructure, et pas seulement de l’application portefeuille publique.

La précision du code hacker — sa capacité à cibler des mécanismes spécifiques de déverrouillage, à déchiffrer des phrases sécurisées, et à exfiltrer des données via des requêtes analytiques légitimes — démontre des capacités techniques avancées. Le délai d’un mois entre l’enregistrement du domaine et la détection de l’attaque témoigne d’une planification minutieuse et d’une reconnaissance approfondie.

Cet incident rappelle brutalement que même des projets établis et bien dotés en ressources peuvent tomber victimes d’attaques sophistiquées de la chaîne d’approvisionnement. Le code hacker était positionné non comme une menace externe, mais comme une partie intégrante de l’application légitime, rendant la détection extrêmement difficile pour les utilisateurs finaux jusqu’à ce que les chercheurs en sécurité signalent l’anomalie.

Rappel critique : les utilisateurs doivent supposer que toute cryptomonnaie stockée dans des portefeuilles précédemment connectés à Trust Wallet version 2.68 est désormais à risque, et une migration immédiate vers des alternatives sécurisées est essentielle.