Un faux portefeuille crypto se classe quatrième sur le Chrome Web Store tout en volant les fonds des utilisateurs

L'extension malveillante appelée "Safery: Ethereum Wallet" semble légitime à première vue. Elle se classe juste derrière des portefeuilles de confiance comme MetaMask lorsque les utilisateurs recherchent "Ethereum Wallet" sur le Chrome Store. Cependant, des chercheurs en sécurité ont découvert qu'elle contient un code caché conçu pour voler des crypto-monnaies à quiconque l'utilise.

Comment fonctionne l'arnaque

Le faux portefeuille utilise une méthode sophistiquée pour voler les seed phrases des utilisateurs. Lorsque quelqu'un crée un nouveau portefeuille ou en importe un existant, l'extension encode secrètement leur seed phrase de 12 ou 24 mots dans de fausses adresses de la blockchain Sui.

Le code malveillant envoie ensuite de minuscules transactions d'une valeur de 0,000001 jetons SUI vers ces adresses encodées. Pour les observateurs extérieurs, cela ressemble à une activité blockchain normale. Mais les attaquants peuvent décoder ces transactions pour récupérer la seed phrase complète de la victime et prendre le contrôle total de son portefeuille crypto.

Source : socket.dev

L'équipe de sécurité de Socket a découvert cette extension et expliqué son fonctionnement. "La phrase mnémonique quitte le navigateur dissimulée dans des transactions blockchain d'apparence normale", indique leur rapport. Cela rend le vol presque impossible à détecter avec les méthodes de sécurité traditionnelles.

Signaux d'alerte manqués par les utilisateurs

Plusieurs signaux d'alerte auraient dû mettre en garde les utilisateurs contre ce faux portefeuille. L'extension n'a aucun avis d'utilisateur et contient des erreurs grammaticales dans sa description. Elle manque également d'un site web officiel et ne liste qu'une adresse Gmail comme contact développeur.

L'extension a été initialement mise en ligne le 29 septembre 2025, avec la mise à jour la plus récente le 12 novembre 2025. Malgré ces signaux d'alerte évidents, le faux portefeuille a réussi à atteindre la quatrième place dans les classements de recherche, exposant potentiellement des milliers d'utilisateurs au vol.

Les experts en sécurité affirment que ce classement élevé donne à l'extension malveillante "une visibilité immédiate et un vernis de légitimité aux utilisateurs non avertis." Ce positionnement augmente considérablement les chances que les gens téléchargent et utilisent le faux portefeuille avant de découvrir sa véritable nature.

Menace croissante pour les utilisateurs de crypto

Les arnaques par extension de navigateur représentent un problème croissant dans l'espace des crypto-monnaies. Les données de l'industrie montrent que les escroqueries liées aux portefeuilles ont drainé plus de 500 millions de dollars en 2024 seulement, les extensions de navigateur devenant un vecteur d'attaque de plus en plus populaire selon les rapports de l'industrie.

Le moment de cette découverte est particulièrement préoccupant. Les outils crypto alimentés par l'IA deviennent plus populaires, avec une croissance de 222% des jetons d'Agents d'IA fin 2024. À mesure que davantage de personnes cherchent des moyens pratiques de gérer leurs crypto-monnaies, elles deviennent plus vulnérables aux faux outils qui promettent des solutions faciles.

Ce faux portefeuille représente un nouveau niveau de sophistication dans le vol de crypto. Contrairement aux simples sites d'hameçonnage qui pourraient être des arnaques évidentes, cette extension est apparue dans la boutique officielle de Google aux côtés d'options légitimes. La méthode basée sur la blockchain pour voler les seed phrases est également innovante, utilisant la transparence des réseaux blockchain contre les utilisateurs.

Statut actuel et réponse

Au 14 novembre 2025, l'extension Safery reste disponible au téléchargement sur le Chrome Web Store. Socket a signalé l'extension malveillante à l'équipe de sécurité de Google et demandé la suppression du compte de l'éditeur, mais l'extension n'a pas encore été retirée.

La disponibilité continue de l'extension met en évidence les problèmes persistants avec les examens de sécurité des app stores. Bien que Google ait des politiques en place pour empêcher les logiciels malveillants, des arnaques sophistiquées comme celle-ci peuvent passer à travers le processus d'approbation et rester disponibles pendant des semaines ou des mois.

Les chercheurs en sécurité avertissent que cette technique pourrait se propager à d'autres réseaux blockchain. La méthode fonctionne en exploitant la nature publique des transactions blockchain, ce qui signifie que des attaques similaires pourraient cibler les utilisateurs de Solana, Ethereum ou d'autres réseaux de crypto-monnaies.

Comment rester en sécurité

Les utilisateurs peuvent se protéger en suivant plusieurs pratiques de sécurité clés. Recherchez toujours tout portefeuille crypto ou extension avant l'installation. Recherchez des outils établis avec des milliers d'avis positifs et des développeurs vérifiés.

Les portefeuilles crypto légitimes comme MetaMask subissent régulièrement des audits de sécurité par des entreprises professionnelles. Ils maintiennent également des sites web officiels avec une documentation détaillée et des ressources d'assistance. Les faux portefeuilles manquent généralement de ces caractéristiques.

Ne partagez jamais vos seed phrases avec qui que ce soit, et méfiez-vous de tout logiciel qui demande votre seed phrase complète pendant le fonctionnement normal. Les portefeuilles légitimes ne nécessitent des seed phrases que lors de la configuration initiale ou des processus de récupération.

Surveillez régulièrement les transactions de votre portefeuille pour toute activité inattendue. Même de minuscules transactions pourraient indiquer que votre seed phrase a été compromise. Utilisez des explorateurs de blocs pour examiner toutes les transactions entrantes et sortantes de vos adresses.

Activez l'authentification à deux facteurs sur les échanges crypto et les services de portefeuille chaque fois que possible. Bien que cela ne protège pas contre le vol de seed phrase, cela ajoute une couche de sécurité supplémentaire pour les comptes en ligne.

Le Far West numérique continue

Cet incident montre que la crypto-monnaie reste un environnement riche en cibles pour les escrocs. Malgré des années d'avertissements sur les risques de sécurité, les faux portefeuilles et les extensions malveillantes continuent de tromper les utilisateurs et de voler des millions de dollars.

La sophistication de cette arnaque particulière – utilisant des transactions blockchain pour cacher des données volées – suggère que les attaquants développent constamment de nouvelles méthodes pour rester en avance sur les mesures de sécurité. Les utilisateurs doivent rester vigilants et s'en tenir à des outils bien établis et audités lors de la gestion de leurs actifs en crypto-monnaies.