Le lien court de Discord de Trust Wallet est détourné, alerte urgente de ZachXBT : ne cliquez pas dessus

Le détective on-chain ZachXBT a lancé un avertissement urgent le 2 avril : le lien court officiel Discord de Trust Wallet, discord[.]gg/trustwallet, a été compromis par un attaquant et pointe actuellement vers un serveur de phishing malveillant. ZachXBT précise en particulier que les utilisateurs doivent éviter de rejoindre des communautés Discord via tout lien fourni par des canaux officiels, jusqu’à ce que le problème soit résolu.

Alerte de piratage Discord : mesures de protection d’urgence à prendre immédiatement par les utilisateurs

（Source : ZachXBT）

Le lien court Discord officiel de Trust Wallet a été détourné, ce qui signifie que tous les utilisateurs qui ont mis ce lien en favori, ou qui l’ont obtenu via n’importe quel canal officiel ou non officiel, peuvent, après avoir cliqué, se retrouver sur un serveur de phishing déguisé en communauté Trust Wallet.

Les schémas d’attaque courants des serveurs de phishing incluent : se faire passer pour des administrateurs officiels et demander aux utilisateurs de soumettre une phrase secrète (Seed Phrase) ou une clé privée ; envoyer une « annonce de sécurité officielle » contenant des liens malveillants ; et imiter des invites de mise à niveau d’urgence de Trust Wallet pour inciter les utilisateurs à effectuer des actions. À l’heure actuelle, les utilisateurs doivent immédiatement suivre les étapes suivantes :

Arrêtez de cliquer sur tous les liens existants : quelle que soit la source (site officiel de Trust Wallet, Telegram, blog ou tout autre canal tiers), n’obtenez que les dernières annonces de sécurité et les liens corrects via l’application ou via un compte X déjà vérifié

Attendez la confirmation officielle : ne rejoignez pas à nouveau tant que Trust Wallet n’a pas annoncé que le lien Discord est rétabli et sécurisé

Si vous avez saisi des informations sensibles : transférez immédiatement vos actifs vers un nouveau portefeuille et régénérez la phrase secrète

Protection contre l’empoisonnement d’adresses : couverture exhaustive de 32 chaînes EVM

Le même jour où l’incident de piratage Discord a éclaté, Trust Wallet a annoncé le lancement d’une fonctionnalité de protection contre les attaques d’empoisonnement d’adresses en temps réel, en ajoutant à l’interface un mécanisme de filtrage proactif : le système compare automatiquement les données avec une base de données d’adresses cibles, et dès qu’il y a une correspondance avec des adresses frauduleuses connues ou des adresses d’usurpation visuellement similaires, il alerte immédiatement l’utilisateur afin de bloquer des transactions malveillantes potentielles.

La couverture initiale prend en charge 32 blockchains compatibles EVM, dont Ethereum, BNB Smart Chain, Polygon, Optimism, Arbitrum, Avalanche et Base, ainsi que d’autres réseaux majeurs.

Selon les données de Trust Wallet, l’attaque d’empoisonnement d’adresses a déjà eu lieu plus de 225 millions de fois, avec des pertes confirmées de 500 millions de dollars. Lors des deux derniers grands cas, un investisseur a perdu 50 millions de dollars de USDT en décembre 2025 ; deux autres investisseurs ont subi des pertes totales de 62 millions de dollars. Ces pertes ont conduit l’ancien PDG de Binance, Changpeng Zhao (CZ), à critiquer publiquement en déclarant : « Tous les portefeuilles devraient simplement vérifier si l’adresse de réception est une adresse malveillante et bannir l’utilisateur ; ce n’est qu une requête sur la blockchain. »

Une série de défis de sécurité pour Trust Wallet depuis 2025

Cet incident de piratage Discord n’est pas isolé. Le 24 décembre 2025, la fonctionnalité d’extension du navigateur Chrome de Trust Wallet a été attaquée : les utilisateurs ont perdu environ 7 millions de dollars. Trust Wallet a publié en urgence une version de correctif et s’est engagé à indemniser les utilisateurs impactés. À l’heure actuelle, des produits concurrents tels que Rabby Wallet, Zengo Wallet et Phantom Wallet ont déjà fourni des fonctions similaires de filtrage préalable des transactions malveillantes. Le lancement par Trust Wallet d’une protection contre l’empoisonnement d’adresses constitue une réponse directe à la pression exercée sur l’industrie.

Questions fréquentes

Après le piratage du Discord de Trust Wallet, comment obtenir correctement le bon lien de communauté en toute sécurité ?

Avant que Trust Wallet confirme que le lien Discord est de nouveau sécurisé, il est recommandé d’obtenir le dernier lien d’invitation Discord via la page officielle dans l’application Trust Wallet, ou via le compte X (Twitter) officiel de Trust Wallet déjà vérifié. Évitez d’utiliser tous les anciens liens enregistrés ou des liens provenant de canaux tiers.

Comment l’attaque d’empoisonnement d’adresses fonctionne-t-elle concrètement, et comment les utilisateurs peuvent-ils s’en protéger ?

L’attaquant envoie d’abord à la victime une transaction de faible montant, de sorte que l’adresse de phishing apparaisse dans l’historique des transactions de la victime ; lors du prochain transfert, la victime peut copier, depuis l’historique, cette adresse de phishing visuellement similaire, ce qui entraîne le transfert des fonds vers le compte de l’attaquant. Méthode de prévention : saisir toujours l’adresse manuellement ou la copier uniquement depuis une adresse de confiance ; ne jamais copier une adresse depuis l’historique des transactions ; et s’assurer d’utiliser une version de portefeuille disposant d’une fonction de filtrage d’adresses.

L’événement de sécurité de 2025 concernant l’extension Chrome de Trust Wallet est-il entièrement résolu ?

Après l’attaque de l’extension le 24 décembre 2025, Trust Wallet a publié une nouvelle version supprimant le code malveillant et s’est engagé à indemniser les utilisateurs impactés. Il est recommandé à tous les utilisateurs de vérifier que l’extension Trust Wallet a été mise à jour vers la dernière version, et de valider la légitimité de la source via la page officielle du Chrome Web Store.