Address poisoning : il envoie 50 millions de dollars par erreur à un hacker

Un investisseur perd des dizaines de millions de dollars dans une attaque

La firme d’analyses Lookonchain rapporte cette semaine une perte très importante d’un investisseur en cryptomonnaies. La victime souhaitait transférer 50 millions d’USDT et a d’abord transféré 50 USDT sur sa propre adresse de portefeuille, afin de la tester.

Une fois ce premier transfert réussi, elle a envoyé la somme de 50 millions de dollars à ce qu’elle pensait être la même adresse… Sauf qu’un hacker était passé par là. Ce dernier a en effet utilisé la technique de l’« address poisoning » pour dérober les fonds.

💡 Les 7 arnaques aux cryptomonnaies les plus courantes – Comment s’en protéger ?

Ce type d’« empoisonnement » est simple : il consiste à envoyer une petite somme à la victime en créant une adresse dont les premiers et derniers caractères ressemblent à la sienne. Le but, c’est que la personne ne vérifie pas l’adresse en entier et se contente de copier l’adresse depuis son historique de transaction.

50 millions de dollars volés, les fonds blanchis

C’est ce qu’il s’est passé ici, selon Lookonchain :

Comme de nombreux portefeuilles masquent la partie centrale de l’adresse avec « … » afin d’améliorer l’interface utilisateur, beaucoup d’utilisateurs copient souvent l’adresse depuis l’historique des transactions et ne vérifient généralement que les premiers et derniers caractères.

La fausse adresse à côté de celle de la victime

Résultat : 50 millions d’USDC se sont volatilisés. La victime, qui souhaitait retirer ses fonds de Binance, les a en réalité envoyés sur l’adresse maquillée.

👉 Apprenez à protéger et sécuriser vos cryptomonnaies

L’escroc a ensuite rapidement blanchi les fonds, selon des informations partagées par SlowMist. Tout d’abord en échangeant les USDT contre du DAI via MetaMask Swap, puis en échangeant le tout contre des ETH. Il a finalement envoyé ces derniers sur le mixeur de cryptomonnaies Tornado Cash.

Une proposition d’accord avec l’escroc

Résultat : le détenteur original des USDC a perdu des dizaines de millions de dollars en quelques minutes. Suite à cela, il a inscrit un message « on-chain », afin de proposer un accord avec la personne ayant dérobé ses cryptomonnaies :

Nous avons officiellement déposé une plainte pénale. Avec l’aide des forces de l’ordre, d’agences de cybersécurité et de plusieurs protocoles blockchain, nous avons d’ores et déjà réuni des renseignements substantiels et exploitables concernant vos activités.

Il propose au hacker de conserver un million de dollars et de restaurer la majorité de la somme. En échange de quoi, le détenteur original s’engage à ne pas engager de poursuites :

Ceci est votre dernière chance de résoudre cette affaire de manière amicale. Par la présente, il vous est exigé de restituer 98 % des actifs dérobés à l’adresse ci-dessous dans un délai de 48 heures. Vous êtes autorisé à conserver 1 000 000 USD à titre de prime « white hat » pour l’identification de la vulnérabilité.

🌐 Dans l’actualité – Alerte à la bombe et rançon en Bitcoin (BTC) : que s’est-il passé en Corée du Sud ?

Pour l’instant, les fonds n’ont pas été restaurés. C’est un signe de plus qu’il faut être vigilant aux adresses copiées lors de transferts de fonds. On conseillera de ne jamais copier d’adresse depuis un explorateur de blockchain et de toujours vérifier minutieusement les adresses entières.

Source : Lookonchain, SlowMist

Journaliste chez Cryptoast depuis 2017, je suis passionnée par les enjeux de décentralisation, de vie privée et de régulation. Je me suis spécialisée dans l'économie et la finance traditionnelle en analysant comment les actualités de ce secteur influencent celui des cryptomonnaies, offrant ainsi une perspective unique et éclairée aux lecteurs de Cryptoast.

Marine Debelloir

3832 articles

Tous ses articles