Les adresses crypto ne sont pas exactement les choses les plus simples à mémoriser. Personne ne le fait, en effet. Nous nous contentons souvent de copier et coller nos adresses crypto pour envoyer et recevoir des fonds, et c'est tout. Cependant, cette petite étape de copier-coller pourrait mal tourner si vous copiez une adresse qui n'était pas celle à laquelle vous aviez l'intention d'envoyer des fonds, mais que vous vous êtes trompé parce qu'elle ressemblait très, très similaire et qu'elle était dans l'historique de votre propre portefeuille. C'est ce qu'on appelle la contamination d'adresse.
Ce type d'attaque se produit lorsque des cybercriminels créent des ‘adresses de vanité’, qui sont des adresses crypto avec un degré de personnalisation. Il existe même des générateurs gratuits en ligne. Ils font en sorte que ces nouvelles adresses ressemblent le plus possible à celles disponibles dans votre historique de transactions publiques — Bitcoin, Ethereum et Obyte sont des réseaux publics, par exemple, où tout le monde peut consulter la plupart des transactions à l'aide d'un explorateur.
La prochaine étape consiste à envoyer des montants insignifiants de fonds à votre portefeuille, effectuant ainsi un 'empoisonnement' de votre historique de transactions. Lorsque vous copiez-collez plus tard une adresse de votre historique de transactions pour envoyer des fonds, vous pourriez sélectionner par erreur l'adresse ressemblante de l'attaquant, faisant ainsi envoyer vos pièces à lui à la place. Dans la plupart des chaînes, les transactions crypto sont irréversibles, donc il est peu probable que vous récupériez un jour vos fonds après cette erreur.
Dans les coulisses
Comme décrit par Chainalysis, les attaquants menant des campagnes d'empoisonnement d'adresse comptent souvent sur des outils prêts à l'emploi vendus sur des places de marché du dark web. Ces kits incluent des logiciels qui créent des milliers d'adresses de portefeuille imitant de vraies, automatisant le processus d'envoi de petites transactions de « poussière » aux victimes.
Avec des interfaces conviviales pour les débutants et des guides détaillés, même les escrocs peu qualifiés peuvent lancer des campagnes à grande échelle. Par exemple, une seule campagne a semé plus de 82 000 fausses adresses Ethereum en 2024, représentant presque 1 % de toutes les nouvelles adresses créées pendant cette période, ciblant des utilisateurs de crypto expérimentés avec des soldes de portefeuille plus élevés.
Un individu essayant d'acheter un kit d'empoisonnement d'adresse sur le Darknet. Image par Chainalysis
Une attaque très médiatisée le 3 mai 2024 a ciblé une baleine de crypto inconnue, entraînant l'envoi de 68 millions de dollars en Bitcoin enveloppé (WBTC) vers un portefeuille contrôlé par l'attaquant. L'attaquant a exploité la dépendance de la victime aux préfixes d'adresse, créant une adresse similaire, suffisamment ressemblante pour confondre la victime au moment de l'envoi de fonds. Les fonds volés, brièvement évalués à 71 millions de dollars en raison des changements de marché, ont été partiellement restitués après une série de messages on-chain de la victime, y compris une menace voilée. L'attaquant a conservé 3 millions de dollars de bénéfices après avoir acheminé les transactions par le biais de plusieurs portefeuilles intermédiaires.
Malgré un faible taux de succès par adresse malveillante — seulement 0,03 % ont reçu plus de 100 $ — l'échelle de la campagne et le ciblage de victimes de grande valeur ont entraîné des bénéfices substantiels. Par exemple, les 3 millions de dollars conservés par l'escroc ci-dessus ont généré un ROI remarquable de plus de 1 147 %. Les fonds volés ont été principalement blanchis via des protocoles DeFi et un échange centralisé (CEX) en Europe de l'Est. Cette campagne illustre comment l'empoisonnement d'adresse peut combiner peu d'efforts avec de grandes récompenses potentielles, en faisant une menace persistante dans l'espace crypto.
Mesures Préventives – ou Éviter les Adresses
Se protéger contre l'empoisonnement d'adresse commence par une attention méticuleuse aux détails. Vérifiez toujours chaque caractère dans une adresse de portefeuille avant d'initier une transaction. Les escrocs comptent sur le fait que des adresses ressemblantes peuvent facilement confondre les utilisateurs. Au lieu de compter sur l'historique des transactions, copiez les adresses directement à partir de sources de confiance, telles que des contacts enregistrés, directement de votre échange, ou de messages vérifiés.
Certaines portefeuilles vous permettent même d'enregistrer des adresses légitimes en tant que contacts, rendant les transactions futures plus rapides et plus sûres. Les transactions de test sont un autre garde-fou utile — envoyer d'abord un petit montant symbolique garantit que l'adresse est correcte avant de transférer de grandes sommes. Assurez-vous simplement de copier la bonne adresse la deuxième fois.
Incorporer des pratiques sécurisées dans votre routine crypto est essentiel, mais vous pouvez également simplifier votre expérience crypto en utilisant des systèmes qui minimisent la dépendance aux adresses de portefeuille. Par exemple, Obyte vous permet d'envoyer des fonds via des textcoins — des codes simples et partageables qui peuvent être envoyés par e-mail, chat, ou même imprimés.
Ces codes (douze mots aléatoires) rendent le transfert de fonds intuitif et sans adresse, avec des instructions claires pour les réclamer, que vous soyez l'expéditeur ou le destinataire. Cette approche élimine entièrement le risque de confusion d'adresse.
De plus, Obyte vous permet également de lier votre portefeuille à votre e-mail, un nouveau nom d'utilisateur, ou un profil GitHub grâce à son système d'attestation. Une fois vérifié, vous pouvez utiliser ces identifiants, tels que @nomd'utilisateur, github/nomd'utilisateur, ou simplement une adresse e-mail, au lieu d'adresses cryptiques, rendant les transactions non seulement plus sûres mais aussi beaucoup plus conviviales.
Image Vector Mise en avant par Freepik
Publié à l'origine sur Hackernoon
#AddressPoisoning #CryptoScamAlert #cryptowallets #CryptoAddresses #Obyte