Une victime désespérée a perdu 50 millions d'USDT suite à une escroquerie par poisoning d'adresse

Une tragédie survenue en décembre dernier montre à quel point de vastes sommes de cryptomonnaies peuvent disparaître rapidement à cause d’une erreur simple. Un trader s’est retrouvé dans une situation désespérée après avoir perdu près de 50 millions de USDT lors d’une attaque sophistiquée, qui n’a pas utilisé une technologie de pointe, mais exploité la tendance humaine à se fier à l’historique de son navigateur et de son portefeuille.

Comment l’attaquant a piégé le trader

Tout a commencé innocemment. Le trader voulait transférer ses actifs de la bourse vers un portefeuille privé et, avant le transfert principal, a effectué une transaction test de 50 USDT. Cette petite transaction prudente vers son adresse réelle est devenue une opportunité pour l’attaquant, qui surveillait chacun de ses mouvements.

Le cybercriminel a immédiatement généré une fausse adresse de portefeuille — et voici le détail crucial — les quatre premiers et les quatre derniers caractères de cette adresse falsifiée étaient identiques à ceux de la vraie. Par exemple, si l’adresse authentique était 0xBAF4…F8B5, l’escroc a créé une adresse qui, à première vue, ne pouvait pas être distinguée de l’originale par un utilisateur.

Historique de transactions corrompu — un piège invisible

L’attaquant a envoyé une petite quantité de cryptomonnaie depuis cette fausse adresse directement à la victime. Cette opération s’est avérée brillante — elle a détruit l’historique des transactions du trader en insérant la fausse adresse dans ses dernières opérations. La majorité des portefeuilles modernes et des explorateurs de blocs, en raison de la longueur des adresses, les raccourcissent avec des points de suspension au milieu — c’est pourquoi l’adresse falsifiée ressemblait exactement à l’originale.

Lorsque la victime a décidé de transférer le reste de 49 999 950 USDT, elle a succombé à l’instinct naturel : elle a copié l’adresse du destinataire à partir des dernières transactions au lieu de la prendre directement dans l’onglet « Recevoir » de son portefeuille. Une seconde d’inattention, un copier-coller depuis une source incorrecte — et les fonds ont été transférés sur le compte de l’escroc.

Fuite éclair : DAI, ETH et anonymisation

Depuis l’empoisonnement de l’adresse, seulement 30 minutes se sont écoulées. En ce court laps de temps, le USDT volé a été échangé contre le stablecoin DAI (qui maintient une valeur stable autour de 1,00 USD), puis rapidement converti en environ 16 690 ETH. Selon les données du moment de l’incident, l’ETH valait plusieurs milliers de dollars par unité, ce qui confirme l’ampleur de la perte en dollars américains. Les cryptomonnaies ont ensuite transité par Tornado Cash — un service de mixage qui supprime le lien direct entre l’adresse d’envoi et celle de réception, rendant pratiquement impossible le suivi et la récupération des fonds.

Tentative désespérée — et échec

Lorsque le trader a compris ce qui s’était passé, il a envoyé un message on-chain à l’attaquant proposant une récompense de white-hat — 1 million de dollars en échange du retour de 98 % des fonds volés. C’était une tentative de négociation avec la personne qui venait de perdre leur argent. La réponse ? Aucune. Au moment de la publication du rapport, les actifs n’avaient pas été récupérés.

Le célèbre chercheur en sécurité Specter, qui a analysé cet incident, a exprimé sa surprise face à l’évolution de la situation : « C’est probablement la méthode la moins probable pour perdre une somme aussi importante. Il suffisait de consacrer quelques secondes à copier correctement l’adresse, et toute cette tragédie aurait pu être évitée. »

Pourquoi ces attaques deviennent-elles de plus en plus courantes ?

Avec la croissance de la valeur des portefeuilles de cryptomonnaies, les fraudes par poisoning d’adresse sont devenues plus lucratives pour les cybercriminels que jamais. Ce n’est pas un piratage complexe sur des protocoles avancés, ni une exploitation Zero Day — cela nécessite simplement de l’observation, de la rapidité et l’exploitation de la nature humaine.

Quatre conseils pratiques pour se protéger contre le poisoning d’adresse

Pour éviter un sort similaire, les traders expérimentés comme les débutants doivent adopter quelques habitudes simples :

Premièrement, toujours obtenir l’adresse du destinataire directement dans l’onglet « Recevoir » de votre portefeuille ou auprès de la personne/service à qui vous envoyez des fonds. Ne copiez jamais une adresse depuis l’historique des transactions, peu importe à quel point vous êtes sûr qu’il s’agit de la bonne.

Deuxièmement, ajouter toutes les adresses de confiance à la liste blanche de votre portefeuille. Beaucoup de portefeuilles modernes offrent cette fonction — elle permet de marquer certaines adresses comme sûres et d’être alerté si vous essayez d’envoyer des fonds vers une adresse hors de cette liste.

Troisièmement, si vous utilisez une vérification complète de l’adresse (full address verification), configurez un modèle sur votre portefeuille matériel ou autre appareil nécessitant une confirmation physique pour chaque transfert. Cela ajoute une couche supplémentaire de vérification — même si vous copiez une mauvaise adresse, l’appareil l’affichera en entier, vous permettant de repérer l’erreur.

Quatrièmement, pour de gros transferts, effectuez toujours d’abord une transaction test de faible valeur. C’est une stratégie classique adoptée par le trader de cet article — mais dans son cas, l’attaquant s’était préparé à cette prudence et a réagi en conséquence.

Cet incident est une leçon récurrente : la sécurité dans le monde des cryptomonnaies ne repose pas toujours sur les technologies les plus avancées — parfois, il suffit simplement d’attention et d’habitude.