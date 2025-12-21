Un investisseur a perdu 50 millions de dollars après avoir été touché par une technique d’« adress poisoning ». Que s’est-il passé et comment se protéger de ce risque ?

Un investisseur perd des dizaines de millions de dollars dans une attaque

La firme d’analyses Lookonchain rapporte cette semaine une perte très importante d’un investisseur en cryptomonnaies. La victime souhaitait transférer 50 millions d’USDT et a d’abord transféré 50 USDT sur sa propre adresse de portefeuille, afin de la tester.

Une fois ce premier transfert réussi, elle a envoyé la somme de 50 millions de dollars à ce qu’elle pensait être la même adresse… Sauf qu’un hacker était passé par là. Ce dernier a en effet utilisé la technique de l’« address poisoning » pour dérober les fonds.

Ce type d’« empoisonnement » est simple : il consiste à envoyer une petite somme à la victime en créant une adresse dont les premiers et derniers caractères ressemblent à la sienne. Le but, c’est que la personne ne vérifie pas l’adresse en entier et se contente de copier l’adresse depuis son historique de transaction.

50 millions de dollars volés, les fonds blanchis

C’est ce qu’il s’est passé ici, selon Lookonchain :

Comme de nombreux portefeuilles masquent la partie centrale de l’adresse avec « … » afin d’améliorer l’interface utilisateur, beaucoup d’utilisateurs copient souvent l’adresse depuis l’historique des transactions et ne vérifient généralement que les premiers et derniers caractères.

La fausse adresse à côté de celle de la victime

Résultat : 50 millions d’USDC se sont volatilisés. La victime, qui souhaitait retirer ses fonds de Binance, les a en réalité envoyés sur l’adresse maquillée.

L’escroc a ensuite rapidement blanchi les fonds, selon des informations partagées par SlowMist. Tout d’abord en échangeant les USDT contre du DAI via MetaMask Swap, puis en échangeant le tout contre des ETH. Il a finalement envoyé ces derniers sur le mixeur de cryptomonnaies Tornado Cash.

Une proposition d’accord avec l’escroc

Résultat : le détenteur original des USDC a perdu des dizaines de millions de dollars en quelques minutes. Suite à cela, il a inscrit un message « on-chain », afin de proposer un accord avec la personne ayant dérobé ses cryptomonnaies :

Nous avons officiellement déposé une plainte pénale. Avec l’aide des forces de l’ordre, d’agences de cybersécurité et de plusieurs protocoles blockchain, nous avons d’ores et déjà réuni des renseignements substantiels et exploitables concernant vos activités.

Il propose au hacker de conserver un million de dollars et de restaurer la majorité de la somme. En échange de quoi, le détenteur original s’engage à ne pas engager de poursuites :

Ceci est votre dernière chance de résoudre cette affaire de manière amicale. Par la présente, il vous est exigé de restituer 98 % des actifs dérobés à l’adresse ci-dessous dans un délai de 48 heures. Vous êtes autorisé à conserver 1 000 000 USD à titre de prime « white hat » pour l’identification de la vulnérabilité.

Pour l’instant, les fonds n’ont pas été restaurés. C’est un signe de plus qu’il faut être vigilant aux adresses copiées lors de transferts de fonds. On conseillera de ne jamais copier d’adresse depuis un explorateur de blockchain et de toujours vérifier minutieusement les adresses entières.

Source : Lookonchain, SlowMist

