Actualités Crypto

50 Millions de Dollars Perdus en Un Clic : L’Arnaque « Address Poisoning » Frappe Fort

By Telemac

Share

Le cauchemar de tout investisseur crypto est devenu réalité ce week-end. Un trader a perdu près de 50 millions de dollars en USDT à la suite d’une simple erreur de copier-coller, victime d’une attaque sophistiquée mais redoutablement simple connue sous le nom d’« Address Poisoning ».

L’incident, survenu aux alentours du 19 décembre 2024, rappelle brutalement que dans l’écosystème blockchain, la responsabilité de la sécurité repose entièrement sur l’utilisateur.

L’anatomie d’un drame à 50 millions

Selon les données on-chain révélées par des analystes de sécurité (notamment SlowMist et Scam Sniffer), la victime s’apprêtait à transférer une somme colossale de 49 999 950 USDT.

Le trader a pourtant respecté une règle de prudence élémentaire : il a d’abord effectué une transaction de test de 50 USDT vers la bonne adresse. Cette première transaction s’est déroulée sans encombre. C’est dans l’intervalle que le piège s’est refermé.

Address Poisoning Attack

Le piège de l’historique pollué

Entre le test et l’envoi final, l’attaquant a repéré l’activité de la « baleine » (whale). Il a immédiatement généré une adresse « vanity » (personnalisée) imitant presque parfaitement celle du destinataire légitime.

  • Adresse légitime : Commençait par 0xbaf et finissait par f8b5
  • Adresse empoisonnée (Scammer) : Commençait par 0xBaF et finissait par f8b5

L’attaquant a ensuite envoyé une micro-transaction (poussière ou « dust ») depuis cette fausse adresse vers le portefeuille de la victime. Résultat : la fausse adresse est apparue en haut de l’historique des transactions du trader.

Pensant copier l’adresse de son destinataire habituel depuis son historique récent, la victime a en réalité copié l’adresse de l’attaquant. Les 50 millions de dollars ont été envoyés instantanément dans le portefeuille du voleur.

La fuite et une prime désespérée

Une fois les fonds reçus, l’attaquant n’a pas perdu de temps. Les USDT ont été rapidement convertis en Ethereum (ETH) pour éviter tout gel par l’émetteur du stablecoin (Tether), puis dispersés via plusieurs portefeuilles. Une partie des fonds a ensuite été dirigée vers le mixeur Tornado Cash pour brouiller les pistes.

Dans une tentative désespérée, la victime a envoyé un message on-chain à l’attaquant. Elle propose une prime de 1 million de dollars (environ 2% du montant volé) en échange du retour des 98% restants. Le message menace également d’actions légales, affirmant disposer de pistes solides grâce à la collaboration avec des agences de cybersécurité.

Comprendre l’Address Poisoning pour s’en prémunir

Il est crucial de comprendre que ce hack ne résulte pas d’une faille de sécurité d’un protocole ou d’une clé privée volée, mais d’une ingénierie sociale exploitant l’interface utilisateur.

L’attaque repose sur la paresse cognitive : l’œil humain a tendance à ne vérifier que le début et la fin d’une chaîne de caractères. Les attaquants utilisent des bots pour générer des adresses qui « matchent » ces caractères en quelques secondes.

Comment se protéger ?

  1. Ne jamais copier depuis l’historique : L’historique de votre wallet est une zone non fiable. N’importe qui peut y faire apparaître une transaction.
  2. Utilisez un carnet d’adresses (Whitelist) : Enregistrez vos adresses de confiance dans votre wallet ou sur votre exchange et n’utilisez que celles-ci.
  3. Vérification complète : Vérifiez chaque caractère de l’adresse pour les gros montants, ou au moins plusieurs blocs de caractères au milieu, pas seulement les extrêmes.
  4. Utiliser un hardware wallet : Les wallets physiques comme Ledger affichent l’adresse complète sur leur écran.
  5. Double vérification : Pour les montants importants, effectuez plusieurs transactions test avec des montants différents.

Une menace croissante en 2024

Selon les données de Chainalysis et Scam Sniffer, les attaques par Address Poisoning ont augmenté de plus de 300% en 2024, causant des pertes dépassant les 150 millions de dollars au total. Cette technique d’arnaque devient de plus en plus sophistiquée avec l’utilisation de bots automatisés capables de générer des adresses vanity en quelques minutes.

Cet incident rappelle une règle fondamentale de la crypto : « Not your keys, not your coins » doit être complété par « Verify twice, send once ». Dans un écosystème où les transactions sont irréversibles, la vigilance n’est pas une option, c’est une nécessité absolue.

Sources et références

Telemac
Telemachttp://cryptoinfo.ch
Passionné de nouvelles technologies, j’explore l’univers de la blockchain et des cryptomonnaies pour partager l’actualité et les innovations du secteur.

Contenu [hide]

Lire la Suite

Articles