BlockBeats news, le 26 décembre ce matin, Trust Wallet, le portefeuille crypto non-custodial ayant la plus large base d’utilisateurs, a officiellement émis une alerte de sécurité, confirmant une vulnérabilité dans la version extension de navigateur 2.68. L’enquêteur on-chain ZachXBT a révélé que des centaines d’utilisateurs de Trust Wallet ont été victimes de vols de fonds, les pertes s’élevant à au moins 6 millions de dollars. Trust Wallet cumule plus de 200 millions de téléchargements, avec environ 17 millions d’utilisateurs actifs mensuels, détenant près de 35 % de parts de marché, ce qui rend cet incident de sécurité particulièrement impactant. Un bilan des incidents de sécurité rencontrés par plusieurs extensions de navigateur grand public est le suivant :
En novembre 2022, l’extension de navigateur Trust Wallet avait également été touchée par une vulnérabilité WebAssembly, n’affectant que les nouvelles adresses de portefeuille créées entre le 14 et le 23 novembre 2022. Cela avait entraîné le vol d’environ 170 000 dollars. Trust Wallet avait identifié le problème via son programme de bug bounty, corrigé la vulnérabilité et intégralement indemnisé les utilisateurs concernés.
En 2022, MetaMask a été exposé à la vulnérabilité « Demonic », affectant les anciennes versions antérieures à la 10.11.3, où les clés privées pouvaient être exposées dans la mémoire du navigateur, mais aucun cas connu de pertes de fonds à grande échelle n’a été constaté. De 2023 à 2025, l’extension officielle du portefeuille MetaMask a fonctionné de manière sécurisée, mais a été fréquemment victime d’extensions contrefaites. Un rapport de Chainalysis indiquait une recrudescence d’incidents de vol anormaux parmi les utilisateurs de MetaMask en 2025, principalement dus à des malwares contrefaits et du phishing, et non à la sécurité de l’extension de portefeuille elle-même. MetaMask publie régulièrement des rapports de sécurité mensuels, mais en tant qu’extension de portefeuille Ethereum populaire, elle reste une cible privilégiée pour la contrefaçon.
Phantom (la principale extension de portefeuille Solana) a également été touchée par la vulnérabilité « Demonic » en 2022, mais là encore, aucun cas connu de pertes de fonds à grande échelle n’a été signalé. Début 2025, une controverse de sécurité impliquant l’extension Phantom a émergé, où un utilisateur a perdu 500 000 dollars, attribuée au stockage non chiffré des clés privées en mémoire par Phantom, ayant conduit à une attaque de hacker, et une action collective a été déposée dans le district sud de New York. Phantom a officiellement publié un communiqué niant fermement toutes les allégations, qualifiant le procès de « sans fondement », et a souligné que Phantom est un portefeuille non-custodial, la responsabilité de la sécurité des fonds incombant à l’utilisateur.
En 2022, Rabby Wallet (une extension orientée DeFi) a subi un piratage ayant volé environ 200 000 dollars d’actifs crypto en raison d’une vulnérabilité de Rabby Swap, qui ne provenait pas de l’extension elle-même mais de la fonctionnalité Swap intégrée.
La méthode de vol la plus courante pour les extensions de portefeuille de navigateur passe par les téléchargements d’applications contrefaites, avec de multiples incidents de ce type concentrés sur le Firefox store en 2025, affectant des extensions crypto grand public comme MetaMask, Phantom et Trust Wallet. En revanche, les vulnérabilités directes des extensions officielles sont relativement rares. Il est recommandé aux utilisateurs de ne télécharger que depuis le Chrome Web Store officiel pour garantir la sécurité de leurs fonds.
