L’extension de navigateur Trust Wallet disponible sur le Google Chrome Web Store est actuellement « temporairement indisponible ». Cette situation retarde le déploiement d’une nouvelle version qui devait inclure des outils pour les victimes d’un piratage récent, selon la PDG de Trust Wallet, Eowyn Chen.
« Nous avons rencontré un bug du Chrome Web Store lors du lancement d’une nouvelle version », a expliqué Eowyn Chen dans une publication sur X. Elle a précisé que cette version retardée comprend une fonctionnalité permettant aux victimes du piratage de Noël de vérifier et de soumettre leurs demandes de remboursement. Elle a déclaré dimanche :
« À ce stade, nous avons identifié 2 596 adresses de portefeuilles affectées. Dans ce groupe, nous avons reçu environ 5 000 demandes, ce qui suggère un nombre important de soumissions frauduleuses ou en double cherchant à accéder aux indemnisations destinées aux victimes. »
La dirigeante a également appelé les utilisateurs à la vigilance face à l’apparition de fausses extensions Trust Wallet sur le Chrome Web Store, tant que la dernière version officielle n’a pas été mise en ligne.
Trust Wallet a été piraté le jour de Noël, entraînant le détournement de plus de 7 millions de dollars de fonds appartenant aux utilisateurs. La plateforme a accepté de rembourser les personnes lésées. Cet incident met une nouvelle fois en lumière les risques associés aux extensions de portefeuilles crypto sur navigateur et aux hot wallets connectés à Internet.
Trust Wallet publie son rapport post-mortem, CZ estime que le hacker pourrait être un initié
Selon le rapport d’incident de Trust Wallet, l’attaquant aurait compromis le wallet via l’exploit de la supply chain « Sha1-Hulud ». Cette faille a touché l’ensemble de l’industrie crypto en compromettant des packages npm utilisés par les développeurs d’applications blockchain.
Le rapport indique que des « secrets » de développement hébergés sur GitHub par Trust Wallet ont été exposés lors de l’incident Sha1-Hulud. Cela a permis à l’attaquant d’accéder au code source de l’extension navigateur de Trust Wallet ainsi qu’à la clé API du Chrome Web Store.
Toujours selon le rapport, le pirate a ensuite utilisé cette clé API pour téléverser une version malveillante de l’extension Trust Wallet sur le Chrome Web Store.
« Ce type de “hack” n’est pas naturel. La probabilité d’une implication interne est élevée », a déclaré le conseiller intergouvernemental en blockchain Anndy Lian après l’attaque.
Le cofondateur de Binance, CZ, a également estimé que le pirate était probablement un initié, compte tenu de sa connaissance approfondie du code de Trust Wallet.
