Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Plus
Confusion concernant la compensation Trust Wallet, difficulté à identifier les véritables victimes|5 000 cas de demandes frauduleuses détectés
Écart entre demande de compensation et dommages réels mis en évidence
Une problématique inattendue concernant le portefeuille auto-géré « Trust Wallet » a été révélée. Selon une déclaration du PDG de la société, Ewin Chen, le nombre de demandes de compensation suite à le hacking exploitant une extension de navigateur survenue le 25 décembre a atteint environ 5 000, tandis que le nombre de portefeuilles réellement affectés est de 2 596. Cet écart supérieur à deux fois a été signalé par Chen, qui a souligné la possibilité que de nombreuses demandes soient frauduleuses ou en double. Trust Wallet a mis en place un nouveau processus de vérification stricte de la légitimité des dommages afin d’assurer la fiabilité des compensations.
Le montant total estimé des dommages liés à cette violation de sécurité s’élève à environ 7 millions de dollars (environ 11 milliards de yens), et la société a déjà annoncé sa politique de rembourser intégralement les victimes légitimes.
La réalité des dommages : fuite d’actifs par injection de code malveillant
La cause directe de l’incident réside dans l’intégration d’un code malveillant dans la version 2.68 de l’extension Chrome de Trust Wallet. Les attaquants ont exploité cette vulnérabilité pour transférer frauduleusement des cryptomonnaies des utilisateurs. ZachXBT, un chercheur en sécurité des cryptomonnaies, a été le premier à signaler cette anomalie, et la société a immédiatement commencé à prendre des mesures pour limiter l’ampleur des dégâts.
Il est important de noter que ni l’application mobile ni d’autres extensions de navigateur ne sont affectées. La société a publié en urgence la version corrigée 2.69 et a recommandé aux utilisateurs de désactiver l’extension.
Avancement de la procédure de compensation et renforcement de la vérification
Le 27 décembre, Trust Wallet a ouvert un portail officiel pour les demandes de compensation des victimes. Les demandeurs doivent soumettre via un formulaire dédié leur adresse e-mail, adresse de portefeuille, adresse de réception de l’attaquant, et autres informations nécessaires.
Le fondateur de la grande plateforme d’échange mère, Champong Zhao, a déclaré sur X que la société prendrait en charge la totalité des pertes. Par ailleurs, la société met en garde contre les tentatives de phishing visant à profiter de la procédure de compensation et invite à ne pas répondre aux formulaires de demande autres que ceux fournis sur leur site officiel.
Renforcement du processus de vérification : identification des véritables victimes
L’équipe de vérification de Trust Wallet examine actuellement un grand nombre de demandes. Selon Chen, en combinant plusieurs points de données tels que l’historique des transactions, la version de l’extension, et la preuve de propriété du portefeuille, ils peuvent distinguer les victimes légitimes des fausses demandes.
La société a clairement indiqué privilégier la précision de la vérification plutôt que la rapidité de la compensation, et ajuste délibérément le rythme des remboursements pour éviter les paiements frauduleux.
Par ailleurs, une enquête en forensic technique en cours a révélé des traces montrant que les attaquants avaient une connaissance approfondie de la structure du code source de Trust Wallet. Une investigation sur une possible implication interne est également en cours, mais aucune preuve concluante n’a encore été trouvée. La société continue une enquête approfondie avec l’aide d’experts externes.
Vulnérabilité fondamentale des portefeuilles auto-gérés
Cet incident a mis en lumière les risques potentiels liés au concept même de portefeuille auto-géré. En particulier, avec la popularisation des extensions de navigateur, la chaîne d’approvisionnement (supply chain) pour la mise à jour logicielle devient une nouvelle cible d’attaque, ce qui commence à être reconnu dans l’industrie.
Plusieurs acteurs du secteur estiment que, même si l’utilisateur gère ses clés privées, la distribution des applications et la mise à jour logicielle restent dépendantes d’un modèle centralisé. Selon eux, « même dans un portefeuille auto-géré où l’utilisateur détient ses clés, un point unique de défaillance dans la distribution ou la mise à jour peut exister », et ils recommandent d’adopter des méthodes de build reproductibles, de renforcer la vérification de l’intégrité, et de disperser la distribution des mises à jour pour améliorer la fiabilité.
Ce point de vue pousse à une prise de conscience accrue en matière de sécurité dans le marché des portefeuilles auto-gérés.
Les prix sont convertis au taux du moment (1 dollar = 156,24 yens).