#钱包被盗和资金损失 Analyse des données on-chain de l'incident Trust Wallet, plusieurs détails méritent notre attention. D'après la chronologie, l'attaquant a commencé à enquêter le 8 décembre, a réussi à implanter une porte dérobée le 22, et n'a transféré des fonds en masse que le 25 décembre — cela montre que le hacker choisit soigneusement sa fenêtre temporelle, car la réponse humaine pendant les vacances est plus lente. À ce jour, environ 7 millions de dollars ont été volés, impliquant plusieurs centaines de portefeuilles.

Ce qui est encore plus critique, c'est la nature de la vulnérabilité : le code source officiel a été attaqué, ce qui a conduit à la modification de la version du navigateur extension. Cela signifie que la version apparemment légitime téléchargée par les utilisateurs a en réalité été contaminée, la chaîne de confiance est directement rompue. D’un point de vue défensif, cela sonne l’alarme pour toutes les applications de portefeuille — l’audit de code et la sécurité du processus de publication doivent être réévalués.

La bonne nouvelle, c’est que le processus de compensation a été lancé, il faut fournir l’adresse volée, l’adresse de réception de l’attaquant et le hash de la transaction, etc. La plateforme s’engage à couvrir intégralement les pertes. Pour les victimes qui n’ont pas encore soumis leur demande, il faut maintenant rassembler ces données et faire une demande de compensation via les canaux de support officiels, ne faites confiance à aucune promesse de compensation non officielle.

Ce genre d’incident nous rappelle : les applications populaires sont aussi des cibles faciles pour les attaques, il est donc essentiel de vérifier régulièrement la version des extensions et de valider leur source d’installation.