Un trader crypto perd 50M$ en USDT à cause d'une arnaque de pollution d'adresse

Les Mécanismes du Poisonnement d’Adresse

Un trader de cryptomonnaies a perdu près de 50 millions en une seule transaction le 20 décembre après être tombé victime d’une attaque sophistiquée de “poisonnement d’adresse”. L’incident, qui a vu 49,999,950 USDT transférés directement dans le portefeuille d’un escroc, met en lumière une crise de sécurité croissante où des voleurs de haute technologie exploitent les habitudes humaines de base et les limitations de l’interface utilisateur.

Selon l’enquêteur onchain Specter, la victime, tentant de transférer des fonds d’une plateforme d’échange à un portefeuille personnel, a d’abord effectué une transaction test de 50 USDT vers son adresse légitime. Cela a été détecté par l’attaquant, qui a immédiatement généré une adresse “usurpée” qui correspondait aux quatre premiers et derniers caractères de l’adresse légitime du portefeuille de la victime.

Lire la suite : Crypto Scams in 2025: How to Spot Them and Protect Yourself

L’attaquant a ensuite envoyé une somme négligeable de cryptomonnaie depuis cette fausse adresse vers la victime, “empoisonnant” ainsi l’historique des transactions de l’utilisateur. Dans une discussion qui a suivi sur X, Specter a déploré le fait qu’un trader ait perdu des fonds à cause “d’une des causes les moins probables d’une telle perte massive”. Répondant à son collègue enquêteur ZachXBT, qui exprimait sa tristesse pour la victime, Specter a dit:

“C’est exactement pourquoi j’étais sans voix, perdre une somme si énorme à cause d’une simple erreur. Juste quelques secondes pour copier et coller l’adresse depuis la bonne source au lieu de l’historique des transactions auraient pu tout empêcher. Noël gâché.”

Le Défaut de l’UI: Ellipses et Erreur Humaine

Puisque la plupart des portefeuilles de crypto modernes et des explorateurs de chaînes tronquent les chaînes alphanumériques longues — affichant des adresses avec des ellipses au milieu (par exemple, 0xBAF4…F8B5) — l’adresse usurpée semblait identique à celle de la victime à première vue. Par conséquent, lorsque la victime a transféré les 49,999,950 USDT restants, elle a suivi une pratique courante : copier l’adresse du destinataire depuis son historique récent des transactions au lieu de la source.

Dans les 30 minutes suivant l’attaque par empoisonnement, les près de 50 millions en USDT ont été échangés contre le stablecoin DAI avant d’être convertis en environ 16,690 ETH et acheminés via Tornado Cash. Après avoir compris ce qui s’était passé, la victime désespérée a envoyé un message onchain à l’attaquant, offrant une prime de 1 million de dollars en tant que chapeau blanc pour le retour de 98% des fonds. Au 21 décembre, les actifs restent non récupérés.

Les experts en sécurité avertissent que, alors que les actifs cryptographiques atteignent de nouveaux sommets, ces escroqueries de “poisonnement” à faible technicité mais à haute récompense deviennent plus courantes. Pour éviter un même sort, les détenteurs sont exhortés à toujours obtenir une adresse de réception directement depuis l’onglet “Recevoir” du portefeuille.

Les utilisateurs doivent enregistrer une liste blanche des adresses de confiance dans leur portefeuille pour éviter les erreurs de saisie manuelle. Ils devraient aussi envisager d’utiliser des dispositifs qui nécessitent une confirmation physique de l’adresse complète de destination pour fournir une seconde couche de vérification critique.

FAQ 💡

• Que s’est-il passé lors de l’attaque du 20 décembre ? Un trader a perdu près de 50M USDT lors d’une escroquerie de poisonnement d’adresse.
• Comment fonctionnait l’escroquerie ? Les attaquants ont usurpé une adresse de portefeuille qui semblait identique sous forme tronquée.
• Où ont été déplacées les cryptos volées ? Les fonds ont été blanchis par DAI, convertis en ETH, et acheminés via Tornado Cash.
• Comment les traders peuvent-ils se protéger?
  Toujours copier les adresses depuis l’onglet “Recevoir” du portefeuille et enregistrer une liste blanche des comptes de confiance.