Copier et coller une adresse de portefeuille à partir de l’historique des transactions semble être une pratique inoffensive et rapide. Cependant, les criminels ont transformé cette habitude en l'une des escroqueries les plus efficaces et les plus difficiles à détecter de l'écosystème Web3 : le Lutter contre l'empoisonnement O Lutter contre l'empoisonnement. Dans cet article, nous expliquons exactement comment cette tactique fonctionne et quelles mesures prendre pour garantir que vos fonds parviennent à la bonne destination.
Qu’est-ce que l’empoisonnement d’adresse ?
Les adresses de cryptomonnaie sont de longues chaînes alphanumériques impossibles à mémoriser. Pour plus de commodité, la plupart des utilisateurs vérifient uniquement le premier et le dernier caractères avant de confirmer une soumission. L’empoisonnement des adresses exploite cette confiance visuelle.
L'attaquant génère des adresses personnalisées qui correspondent visuellement aux adresses légitimes que l'utilisateur utilise fréquemment. Il envoie ensuite des transactions de valeur nulle ou de minuscules fractions de jeton depuis sa fausse adresse vers le portefeuille de la victime. Cela « empoisonne » l’historique des transactions, plaçant l’adresse frauduleuse dans la liste des interactions récentes.
Comment exécuter le piège étape par étape
1. Surveillance passive : Les fraudeurs utilisent des robots pour analyser en permanence les réseaux publics de blockchain (tels que Ethereum, Polygon ou Binance Smart Chain) à la recherche d'utilisateurs actifs qui effectuent des transferts réguliers entre leurs propres portefeuilles ou vers des bourses.
2. Création du leurre : Une fois la transaction cible identifiée, l'attaquant utilise un logiciel spécialisé pour générer une adresse cryptographique comportant exactement les mêmes 4 à 6 caractères de début et de fin que l'adresse légitime du destinataire.
3. Empoisonnement : L'escroc envoie un jeton de valeur nulle (0 USDT ou 0 USDC) à la victime, mais donne l'impression que la transaction provient de l'adresse légitime clonée, ou interagit simplement avec le portefeuille afin que l'adresse leurre soit enregistrée dans l'historique récent de l'explorateur de blocs ou de l'application de l'utilisateur.
4. L’erreur fatale : Quelques jours ou semaines plus tard, l'utilisateur doit effectuer un nouvel envoi. Pour plus de commodité, vous ouvrez l'historique de vos transactions, copiez l'adresse la plus récente qui « semble correcte » et effectuez le transfert. Les fonds finissent de manière irréversible entre les mains du fraudeur.
Pourquoi est-ce une technique si destructrice ?
Contrairement au phishing traditionnel, l’empoisonnement d’adresse ne nécessite pas de liens malveillants, de contrats intelligents frauduleux ou de clés privées compromettantes. Cela dépend entièrement de l’erreur humaine et de la fatigue oculaire. Il s’agit d’une tactique d’ingénierie sociale passive qui tire parti de la conception de l’interface utilisateur des outils mêmes que nous utilisons pour gérer les actifs numériques.
Mesures de prévention essentielles
Ne jamais copier depuis l'historique
La règle principale : n’utilisez jamais l’historique des transactions de votre portefeuille ou un explorateur de blocs (comme Etherscan) pour copier une adresse. L’historique n’est pas un carnet de contacts sécurisé.
Utiliser des carnets d'adresses (carnets d'adresses)
La grande majorité des portefeuilles (comme MetaMask, Trust Wallet ou Rabby) permettent de sauvegarder les contacts fréquents. Prenez le temps de sauvegarder les adresses légitimes et de leur donner des noms clairs. Utilisez cette liste blanche pour effectuer vos envois.
Vérifiez le centre de la direction
Vérifier les 4 premiers et 4 derniers caractères ne suffit plus. Les générateurs d’adresses personnalisées sont rapides. Prenez l'habitude de vérifier les blocs de caractères aléatoires au milieu de l'adresse avant de confirmer des transactions de grande valeur.
Envoyer des transactions tests
Lorsque vous déplacez de grosses sommes d’argent, envoyez d’abord une petite somme. Une fois que vous avez confirmé auprès du destinataire (ou sur votre compte d'échange) que les fonds du test sont arrivés correctement, procédez au paiement du montant principal en utilisant exactement la même adresse confirmée.
Domaines ENS et systèmes de noms
Des services comme Ethereum Name Service (ENS) vous permettent d'utiliser des noms lisibles par l'homme (exemple : votrenom.eth) au lieu de chaînes alphanumériques. Cela réduit considérablement le risque d'erreurs de copie, même si vous devez toujours vérifier à quelle adresse le nom correspond.
Que faire si vous avez commis une erreur ?
Si vous avez envoyé des fonds à une adresse empoisonnée, la réalité est que récupérer l’argent est un défi technique et juridique complexe. Les transactions sur blockchain sont immuables. Cependant, en cas de montants importants, des enquêteurs spécialisés peuvent retracer le flux de fonds vers des points de sortie centralisés (échanges) et lancer des processus de gel grâce à la coopération policière.
Aidez le CTAAvez-vous perdu des fonds à cause de cette arnaque ?
Si vous avez envoyé des actifs à une adresse frauduleuse, le temps presse. Notre équipe d’experts peut analyser la trace sur la blockchain.
Demander une analyse de cas