Le soir de Noël, les utilisateurs du portefeuille de crypto-monnaies Trust Wallet ont connu un sérieux coup de chaud. Une mise à jour piégée de l’extension pour navigateur, publiée par des hackers, leur a permis de détourner les fonds de plusieurs portefeuilles. L’entreprise a depuis expliqué comment une telle compromission a pu se produire.

Les utilisateurs attendaient des explications : elles ont été fournies le 30 décembre 2025, dans un article de blog publié sur le site officiel de Trust Wallet.

L’entreprise, conceptrice de solutions de portefeuilles de crypto-monnaies, faisait l’objet de vives critiques depuis le vol de plusieurs milliers de portefeuilles.

En cause : la publication, dans la soirée du 24 décembre 2025, sur son compte Chrome Web Store officiel, de la mise à jour 2.68.0 contenant une ligne de code malveillante exfiltrant des données sensibles de portefeuilles vers un serveur externe.

Les rumeurs d’une « supply chain attack » se sont alors propagées à toute vitesse sur les réseaux sociaux. Les utilisateurs ayant téléchargé la version compromise ont rapidement été invités à installer la version 2.69.0, déployée en urgence.

On en sait désormais davantage sur les techniques employées par les pirates pour mener à bien ce véritable braquage numérique, qui aurait permis, selon les estimations de Trust Wallet, de siphonner plus de 8 millions de dollars répartis sur 2 520 portefeuilles crypto.

L'assaut final de cette cyberattaque a été lancé le soir de Noël // Source : Montage Numerama
L’assaut final de cette cyberattaque a été lancé le soir de Noël. // Source : Montage Numerama

Une attaque préparée minutieusement

Si la cyberattaque n’a lancé son assaut final que le soir de Noël, elle avait en réalité commencé bien plus tôt, en novembre 2025.

À ce moment-là, une vaste attaque de la chaîne d’approvisionnement, baptisée Sha1‑Hulud, frappe de nombreuses entreprises via des paquets npm compromis. Sans le savoir, Trust Wallet fait partie des organisations dont les secrets de développement se retrouvent exposés.

À travers ces paquets piégés, l’attaquant met la main sur le code source de l’extension navigateur ainsi que sur la clé API du Chrome Web Store. Grâce à cette clé, il obtient des droits complets sur la publication des versions de l’extension, pouvant uploader directement sur le store sans passer par le processus interne habituel de Trust Wallet, qui impose normalement une validation et une revue manuelle.

Profitant de cette brèche et disposant du code source complet, l’attaquant assemble une version « cohérente » mais piégée de l’extension, intégrant un renvoi vers son propre code malveillant hébergé sur le domaine metrics-trustwallet.com, créé de toutes pièces pour l’occasion et enregistré, selon l’enquête, courant décembre 2025.

Le soir de Noël, cette fausse version 2.68 est publiée sur le Chrome Web Store et passe sans encombre les vérifications de la marketplace. Les premiers signalements de siphonnage de portefeuilles apparaissent dès le 25 décembre.

Trust Wallet et plusieurs chercheurs white hat indépendants se lancent alors dans une traque effrénée, allant jusqu’à mener des attaques DDoS contre le domaine metrics-trustwallet.com pour tenter de rendre le serveur malveillant indisponible et limiter le nombre de nouvelles victimes.

Le 25 décembre, les développeurs republient la dernière version saine (2.67) sous le numéro 2.69 et appellent immédiatement les utilisateurs à effectuer la mise à jour.

Trust Wallet doit rembourser toutes les victimes

Dans son article post-mortem, Trust Wallet rappelle que seuls les utilisateurs ayant téléchargé la version 2.68 de l’extension pour navigateur et s’étant identifiés entre le 24 et le 26 décembre 2025 sont concernés. Les détenteurs utilisant encore la version compromise ont été alertés.

Trust Wallet a également annoncé le lancement d’un processus de remboursement destiné aux utilisateurs affectés.

Une tâche fastidieuse pour l’entreprise, qui doit identifier précisément les victimes et les montants perdus, tout en faisant face à de nombreuses tentatives de fausses réclamations.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !