Retour au Blog
securitetrust-walletchaine-approvisionnementnpmextension-navigateur
Le Cauchemar de Trust Wallet à 8,5 M$ : L'Attaque par Chaîne d'Approvisionnement Shai-Hulud
Un paquet NPM compromis a conduit à une extension Chrome malveillante qui a drainé 8,5 M$ de plus de 2 500 portefeuilles. Voici comment les attaques par chaîne d'approvisionnement menacent chaque utilisateur crypto.
Miguel Treviño•
Résumé :
- L'Attaque : Un paquet NPM malveillant (« Shai-Hulud 2.0 ») a compromis l'extension Chrome de Trust Wallet, drainant 8,5 M$ de plus de 2 500 utilisateurs.
- La Vulnérabilité : Les attaques par chaîne d'approvisionnement logicielle ciblent les identifiants GitHub et App Store des développeurs, injectant du code malveillant directement dans les logiciels mis à jour automatiquement.
- Le Risque des Extensions : Les portefeuilles basés sur navigateur sont particulièrement vulnérables à l'exfiltration en raison de leurs larges permissions et de leurs mises à jour automatiques fluides (mais dangereuses).
- La Solution Zelf : La conception mobile-first de Zelf et l'authentification par ZK Face Proof éliminent entièrement le stockage de phrases de récupération — empêchant l'exfiltration même si une compromission de la chaîne d'approvisionnement survient.
La veille de Noël 2025, quelqu'un a poussé une mise à jour malveillante vers l'extension Chrome de Trust Wallet.
En quelques jours, plus de 8,5 millions de dollars avaient été volés à plus de 2 500 portefeuilles. Les victimes n'ont rien fait de mal — ils avaient simplement une extension navigateur mise à jour automatiquement.
Le Vecteur d'Attaque
Ce n'était pas un exploit zero-day ni un hack de contrat intelligent. C'était une attaque par chaîne d'approvisionnement ciblant le pipeline de développement logiciel.
La chaîne d'événements :
- Shai-Hulud 2.0 : Une attaque massive par chaîne d'approvisionnement a compromis des milliers de paquets NPM
- Vol d'identifiants : Les attaquants ont obtenu les secrets GitHub de Trust Wallet et les clés API du Chrome Web Store
- Publication malveillante : La version 2.68 a été poussée directement vers le Chrome Web Store, contournant la revue
- Exfiltration de phrases de récupération : Le code malveillant envoyait silencieusement les données de portefeuille à des serveurs contrôlés par les attaquants
Pourquoi C'est Terrifiant
Cette attaque a exposé une vulnérabilité fondamentale de l'écosystème crypto : la chaîne d'approvisionnement logicielle.
Chaque portefeuille crypto, plateforme d'échange et protocole DeFi dépend de :
- Paquets NPM (bibliothèques JavaScript)
- Dépôts GitHub (code source)
- Stores d'extensions navigateur (distribution)
- Pipelines CI/CD (builds automatisés)
Compromettez n'importe quel maillon de cette chaîne, et vous pouvez injecter du code malveillant dans des logiciels utilisés par des millions de personnes.
Ce qui a Été Volé
Les attaquants se sont enfuis avec :
- ~3 millions de dollars en Bitcoin
- ~3 millions de dollars en Ethereum
- 431 $ en Solana
- Des montants supplémentaires en divers altcoins
Les fonds ont été rapidement déplacés via des plateformes d'échange et des ponts cross-chain. La plupart ne seront jamais récupérés.
La Réponse de Trust Wallet
À leur crédit, Trust Wallet a agi rapidement :
- Révocation de tous les identifiants compromis
- Publication d'une version propre (2.69) en quelques heures
- Annonce du remboursement complet des utilisateurs affectés (soutenu par Binance)
- Publication de rapports d'incident détaillés
CZ a confirmé que Trust Wallet couvrirait toutes les pertes. Mais tous les projets n'ont pas les ressources de Binance.
Le Problème Plus Large
Cette attaque aurait pu arriver à n'importe quel portefeuille basé sur navigateur :
- MetaMask
- Phantom
- Rabby
- Coinbase Wallet
Tous dépendent de la même chaîne d'approvisionnement vulnérable. Tous se mettent à jour automatiquement par défaut. Tous stockent des données sensibles que du code malveillant pourrait exfiltrer.
Pourquoi les Extensions Navigateur Sont Risquées
Les extensions navigateur opèrent dans un environnement particulièrement dangereux :
- Larges permissions : Elles peuvent lire/modifier les pages web, accéder au stockage, intercepter les requêtes
- Mises à jour automatiques : Les nouvelles versions se déploient automatiquement, souvent sans que l'utilisateur en soit conscient
- Exposition à la chaîne d'approvisionnement : Une seule dépendance compromise affecte tous les utilisateurs
- Sandboxing limité : Les extensions partagent le contexte navigateur avec les sites sensibles
Chaque fois que vous installez un portefeuille en extension navigateur, vous faites confiance à :
- L'équipe de développement
- Chaque dépendance qu'ils utilisent
- Chaque mainteneur de ces dépendances
- Le processus de revue du store navigateur
- La sécurité de leur infrastructure de déploiement
C'est beaucoup de confiance.
La Différence Zelf
Zelf aborde la sécurité de manière fondamentalement différente :
1. Surface d'Attaque Minimale
Notre architecture mobile-first réduit l'exposition à la chaîne d'approvisionnement. Les applications mobiles ont :
- Des processus de revue des app stores plus stricts
- Un meilleur sandboxing entre les applications
- Pas de mise à jour automatique sans consentement de l'utilisateur (pour les mises à jour critiques de sécurité)
2. Pas de Stockage de Phrase de Récupération
S'il n'y a pas de phrase de récupération à exfiltrer, le code malveillant ne peut pas la voler. L'authentification par ZK Face Proof signifie :
- Rien de sensible stocké sur l'appareil qui pourrait être extrait
- L'authentification se fait par des preuves cryptographiques, pas des secrets stockés
3. Non-Exportabilité Biométrique
Votre visage ne peut pas être copié et envoyé à un serveur distant (sous une forme utilisable). Contrairement aux secrets textuels, l'authentification biométrique est intrinsèquement liée à vous.
Leçons pour Chaque Utilisateur Crypto
- Minimisez les extensions navigateur : Chaque extension est une surface d'attaque
- Désactivez les mises à jour automatiques pour les logiciels critiques de sécurité
- Utilisez la séparation matérielle : Gardez les avoirs sérieux hors des portefeuilles connectés au navigateur
- Vérifiez avant de faire confiance : Contrôlez les versions d'extension par rapport aux annonces officielles
- Considérez les alternatives : Portefeuilles mobiles avec de meilleurs modèles de sécurité
L'Avenir de la Sécurité des Portefeuilles
L'incident Trust Wallet prouve que « non-custodial » ne signifie pas « sécurisé ». L'auto-conservation n'est aussi sûre que le logiciel qui l'implémente.
La prochaine génération de portefeuilles a besoin de :
- Authentification à connaissance nulle qui ne peut pas être exfiltrée
- Sécurité adossée au matériel indépendante des chaînes d'approvisionnement logicielles
- Base informatique de confiance minimale pour réduire la surface d'attaque
C'est exactement ce que Zelf construit.