Vous souvenez-vous de la dernière fois où vous avez téléchargé une mise à jour sans y prêter attention ? Pour les utilisateurs de Trust Wallet, la nuit de Noël 2025 restera gravée dans les mémoires pour cette raison. Que s’est-il réellement passé, et comment une simple mise à jour a-t-elle pu entraîner le vol de millions de dollars en crypto-monnaies ?
Les 3 infos à ne pas manquer
- Une mise à jour malveillante a permis de voler plus de 8 millions de dollars à 2 520 portefeuilles Trust Wallet.
- Le piratage a exploité une faille dans la chaîne d’approvisionnement de l’entreprise, connue sous le nom de Sha1-Hulud.
- Trust Wallet a lancé un processus de remboursement pour les utilisateurs touchés.
La cyberattaque de Noël
La soirée du 24 décembre 2025 a marqué le début d’un épisode tumultueux pour les utilisateurs de Trust Wallet. Une mise à jour apparemment anodine, la version 2.68.0, a été téléchargée par des milliers d’utilisateurs. Pourtant, elle contenait une ligne de code malveillant qui a entraîné l’exfiltration de données sensibles vers un serveur externe. Cette attaque a permis de siphonner plus de 8 millions de dollars répartis sur 2 520 portefeuilles.
Technique de l’attaque et exploitation
Les pirates ont réussi cet exploit en menant une attaque de la chaîne d’approvisionnement, baptisée Sha1-Hulud, qui a débuté en novembre 2025. En utilisant des paquets npm compromis, ils ont accédé au code source de l’extension de navigateur de Trust Wallet et à sa clé API du Chrome Web Store. Avec ces informations, ils ont pu publier directement une version modifiée de l’extension sur le store, contournant les processus de validation habituels.
Réactions et mesures de sécurité
Face à cette situation critique, Trust Wallet a réagi rapidement. Dès le 25 décembre, l’entreprise a publié une mise à jour saine sous le numéro 2.69.0 et a demandé aux utilisateurs de l’installer de toute urgence. Parallèlement, une équipe de chercheurs white hat a été mobilisée pour neutraliser le serveur malveillant. Des attaques DDoS ont été menées contre le domaine metrics-trustwallet.com pour limiter l’impact de l’attaque.
Processus de remboursement et leçons apprises
Afin de compenser les pertes, Trust Wallet a mis en place un processus de remboursement pour les utilisateurs affectés. Cette tâche est complexe, car elle nécessite d’identifier précisément chaque victime et le montant perdu tout en filtrant les fausses réclamations. Cette affaire souligne l’importance de la sécurité des chaînes d’approvisionnement dans le développement de logiciels, ainsi que la nécessité d’une vigilance accrue lors de la publication de mises à jour.
Contexte de Trust Wallet
Trust Wallet est une entreprise renommée dans le domaine des portefeuilles de crypto-monnaies, offrant des solutions sécurisées pour gérer diverses devises numériques. Fondée en 2017, la société a rapidement gagné en popularité grâce à sa facilité d’utilisation et à ses fonctionnalités avancées. Cependant, cet incident met en lumière les défis croissants auxquels sont confrontées les entreprises de ce secteur en matière de sécurité et de protection des données.
