Attaques par empoisonnement d'adresses crypto : fonctionnement, détection et protection de votre portefeuille
Les attaques par empoisonnement d'adresses ont dérobé plus de 500 millions de dollars à des utilisateurs de crypto en exploitant une habitude d'une simplicité trompeuse : copier les adresses de portefeuille depuis l'historique des transactions plutôt que depuis des sources vérifiées. Ce guide explique précisément comment ces attaques fonctionnent, ce que les données révèlent sur leur ampleur, et ce que vous devez absolument faire pour protéger chaque virement que vous effectuez.
Qu'est-ce que l'empoisonnement d'adresses ?
L'empoisonnement d'adresses — aussi appelé usurpation d'adresses — est une attaque d'ingénierie sociale dans laquelle un criminel vous envoie une petite transaction sans valeur depuis une adresse qui ressemble étroitement à l'une de celles que vous avez utilisées auparavant. L'objectif n'est pas de dérober quoi que ce soit lors de cette transaction. L'objectif est de contaminer votre historique de transactions, de sorte que la prochaine fois que vous aurez besoin d'envoyer des fonds à une contrepartie habituelle, vous copiiez accidentellement l'adresse de l'attaquant au lieu de la vraie [1].
Le nom vient de l'acte d'« empoisonner » votre historique on-chain — à l'image d'un puits empoisonné. L'attaquant place une fausse adresse en pleine vue, fait confiance au fait que vous la recyclerez depuis votre historique sans la vérifier, et attend. Sur de nombreuses blockchains populaires, envoyer une transaction d'une adresse à une autre ne nécessite aucune permission, aucune signature du destinataire, ni aucune approbation d'aucune sorte. Cette architecture ouverte est une fonctionnalité qui permet la finance sans permission ; c'est aussi la surface d'attaque qu'exploite l'empoisonnement d'adresses [1][6].
Chainalysis définit l'attaque ainsi : « L'empoisonnement d'adresses survient lorsqu'un fraudeur envoie une petite transaction depuis une adresse de portefeuille usurpée vers le portefeuille d'une cible, dans l'espoir que celle-ci utilise accidentellement l'adresse du fraudeur la prochaine fois qu'elle envoie des crypto. » [1] Des recherches présentées à USENIX Security 2025 par Tsuchiya et Christin de l'Université Carnegie Mellon ont confirmé qu'il s'agit d'une menace systémique avec un impact financier à grande échelle [6].
Comment le piège est tendu
Vous envoyez 100 USDT à l'adresse de retrait de votre exchange. Quelques minutes plus tard, le bot d'un attaquant détecte votre transaction on-chain et vous envoie 0 USDT depuis une adresse qui commence et se termine par les mêmes caractères que votre adresse d'exchange. Cette adresse empoisonnée apparaît alors juste en dessous de la légitime dans l'historique de votre portefeuille. La prochaine fois que vous initiez un retrait, vous remontez d'une ligne par erreur et confirmez un virement vers l'attaquant.
L'attaque ne nécessite aucun logiciel malveillant, aucune page de phishing, aucune phrase de récupération compromise. C'est une exploitation purement comportementale — qui fonctionne parce que la plupart des portefeuilles n'affichent que les quatre premiers et les quatre derniers caractères d'une adresse. Lorsqu'un attaquant crée une adresse correspondant à ces mêmes huit caractères, le raccourci échoue complètement [1][13].
L'empoisonnement d'adresses se distingue du détournement du presse-papiers et du phishing. Il ne nécessite aucune installation de logiciel — il se produit entièrement on-chain, en exploitant l'écart entre la façon dont les adresses sont affichées et la façon dont les humains traitent l'information visuelle [6].
Comment les attaquants créent des adresses sosies
Générer une adresse de portefeuille qui commence et se termine par des caractères spécifiques est une opération informatiquement intensive, mais loin d'être impossible. La technique s'appelle la génération d'adresses personnalisées (vanity address). Des programmes accélérés par GPU peuvent forcer brute des milliards de paires de clés candidates par seconde jusqu'à ce que l'une d'elles corresponde au modèle de préfixe et de suffixe souhaité [6].
Pour une adresse Ethereum standard (42 caractères hexadécimaux), faire correspondre huit caractères spécifiques nécessite environ 4,3 milliards de paires de clés candidates. Avec un cluster de GPU moderne, cela prend quelques secondes à quelques minutes par adresse cible [6][1].
Sur TRON, la surface d'attaque est encore plus large. TRM Labs a documenté que le modèle de frais de TRON rend les transactions à valeur quasi nulle extrêmement bon marché, réduisant le coût des campagnes d'empoisonnement à presque rien [4].
L'économie des adresses personnalisées
Un attaquant sophistiqué peut générer une adresse correspondante en moins d'une minute. Le coût par tentative d'empoisonnement peut être une fraction de centime. Le gain espéré, si une seule cible sur des milliers tombe dans le piège, peut atteindre des millions de dollars.
Au-delà de la correspondance des caractères de préfixe et de suffixe, certains attaquants identifient des polices de caractères dans lesquelles certains signes se ressemblent presque identiquement — « 0 » versus « O », « 1 » versus « l ». En choisissant des caractères parmi ces paires semblables, un attaquant peut créer une adresse qui paraît identique même lorsqu'un utilisateur examine davantage de caractères [6][13].
L'équipe de recherche de CMU a constaté que de nombreuses campagnes d'empoisonnement ciblent spécifiquement les portefeuilles à haute valeur. Les données on-chain étant publiques, les attaquants peuvent facilement identifier les portefeuilles qui déplacent régulièrement six ou sept chiffres. Ceux-ci deviennent des cibles prioritaires pour des bots automatisés qui surveillent le mempool et réagissent dans le même bloc [6][7].
Certains attaquants ne prennent même pas la peine de générer des adresses personnalisées — la plupart des utilisateurs ne vérifient pas du tout l'adresse complète. Une adresse partiellement correspondante suffit pour ces campagnes [1][4].
Comment l'empoisonnement se propage à l'échelle industrielle
Ce qui a commencé comme des attaques opportunistes a évolué en une opération hautement automatisée et industrialisée. Les campagnes modernes fonctionnent grâce à des bots en activité continue qui analysent le mempool sur plusieurs blockchains simultanément, identifient des cibles, génèrent des adresses correspondantes et envoient des transactions d'empoisonnement en quelques secondes [6][7].
Les données de criminalité 2025 de Chainalysis montrent que les revenus des arnaques ont continué d'augmenter d'une année à l'autre, l'empoisonnement d'adresses représentant une part de pertes de plus en plus significative. La firme a documenté des clusters liés à des groupes criminels organisés d'Asie du Sud-Est et d'Europe de l'Est [1][2][3].
TRM Labs a constaté que TRON est devenu un lieu préféré pour les campagnes à grande échelle en raison de frais de transaction quasi nuls et de propriétés structurelles des adresses TRON qui facilitent la génération de copies. Des clusters de portefeuilles envoyaient des milliers de transactions d'empoisonnement par jour [4].
La chaîne d'empoisonnement
(1) Le bot surveille le mempool pour les transactions sortantes au-dessus d'un seuil. (2) Il extrait l'adresse de destination. (3) Le générateur d'adresses personnalisées produit une copie correspondante. (4) Il envoie une transaction d'empoisonnement dans le même bloc si possible. (5) Il archive l'adresse de la victime pour surveillance. (6) Si la victime envoie vers l'adresse empoisonnée, les fonds sont immédiatement redirigés via des services de mixage.
Pour les utilisateurs ordinaires : supposez que votre historique de portefeuille a été empoisonné. Si vous avez déjà envoyé une transaction d'une valeur supérieure à quelques centaines de dollars, il est fort probable qu'un attaquant ait déjà placé une adresse copie dans votre historique [1][4][6].
Le rapport TRM 2025 sur la criminalité crypto a noté qu'au fur et à mesure que les outils d'analyse se sont améliorés, les attaquants d'empoisonnement se sont adaptés en faisant tourner les adresses plus fréquemment [5]. L'équipe CyLab de CMU a constaté que les bénéfices sont blanchi via des DEX et des ponts inter-chaînes avant d'atteindre des services centralisés, rendant la récupération extrêmement difficile [7][6].
Pertes réelles : cas notables et données
Le bilan financier est documenté et substantiel.
La perte de 50 millions de dollars en USDT
En mai 2024, un trader a perdu 50 millions de dollars en USDT — l'un des incidents d'empoisonnement d'adresses uniques les plus importants jamais enregistrés. La victime effectuait des virements réguliers vers une adresse de contrepartie. Le bot d'un attaquant a détecté le schéma, généré une adresse copie, et injecté une transaction d'empoisonnement. Lorsque la victime a initié son prochain grand virement, elle a copié depuis l'historique plutôt que depuis une source vérifiée. La victime a ensuite offert une prime d'un million de dollars pour le retour des fonds [10].
L'affaire des 71 millions de dollars et la récupération partielle
En mai 2024, une autre victime a perdu environ 71 millions de dollars en WBTC lors d'une attaque par empoisonnement d'adresses. L'attaquant a finalement rendu environ 90 % des fonds à l'issue de négociations — exceptionnel, car l'ampleur a attiré l'attention immédiate de plusieurs firmes et forces de l'ordre [11]. Pour les pertes typiques dans la fourchette 50 000-500 000 dollars, ce niveau de pression ne se matérialise pas.
Données du FBI et ampleur mondiale
Le rapport 2025 de l'Internet Crime Center du FBI a documenté des pertes en crypto dépassant 9,3 milliards de dollars en 2024 [8]. Les communications de presse du FBI ont identifié l'« usurpation d'adresses de portefeuille » comme l'une des techniques de fraude crypto à la croissance la plus rapide [9].
Chainalysis a documenté que lors des trois premiers mois de 2024, les arnaques par empoisonnement d'adresses ont entraîné des centaines de pertes confirmées, l'agrégat approchant 100 millions de dollars pour ce seul trimestre [1][2].
Pourquoi le chiffre de 500 millions de dollars est important
Chainalysis, TRM Labs et des chercheurs universitaires sont chacun arrivés à des estimations cumulées dépassant 500 millions de dollars en pertes attribuables à l'empoisonnement d'adresses sur Ethereum, TRON, BNB Chain et d'autres réseaux [1][4][5][6]. Ce chiffre sous-estime probablement de façon significative les pertes réelles.
Pourquoi même les utilisateurs expérimentés tombent dans le piège
L'un des aspects les plus contre-intuitifs est la nature de ceux qui tombent dans le piège. Des traders expérimentés, des participants DeFi, et même des contreparties institutionnelles ont été victimes [6][7].
Le problème de la troncature
Presque tous les portefeuilles majeurs affichent les adresses sous forme tronquée : les quatre à six premiers caractères, des points de suspension, puis les quatre à six derniers caractères. Cela crée une vulnérabilité structurelle : c'est précisément la partie affichée que les attaquants optimisent pour faire correspondre [13][12].
Lorsqu'une victime parcourt son historique de transactions, elle effectue une correspondance de schéma sur six à douze caractères d'une chaîne de quarante-deux caractères. La conception avec troncature habitue les utilisateurs à s'appuyer sur une vérification partielle — et l'attaque exploite ensuite exactement cet entraînement [6][1].
Habitudes et charge cognitive
Les chercheurs de CMU ont constaté qu'une fréquence de transaction élevée est en réalité positivement corrélée avec le fait d'être victime d'empoisonnement d'adresses. Les traders à gros volume qui déplacent des fonds plusieurs fois par jour sont plus à risque que les utilisateurs occasionnels [6][7].
Le piège de la familiarité
Paradoxalement, l'utilisation des mêmes adresses de façon répétée crée une vulnérabilité. Chaque fois que vous envoyez vers une adresse sans incident, votre confiance augmente. Lorsqu'un attaquant empoisonne votre historique, il s'insère dans un sillon bien rodé.
Lacunes dans la conception des interfaces
Jusqu'à récemment, peu de portefeuilles signalaient les transactions à valeur nulle entrantes comme suspectes ou distinguaient entre « adresse à laquelle vous avez envoyé » et « adresse qui vous a envoyé. » L'article USENIX a spécifiquement identifié la conception de l'interface utilisateur des portefeuilles comme un facteur crucial d'activation de l'attaque [6][12][13].
La pression temporelle joue également un rôle. Quand les marchés bougent, les étapes de vérification sont sautées. Les attaquants peuvent synchroniser leurs campagnes avec des périodes d'activité intense [6][7].
Comment vérifier correctement une adresse crypto
La vérification des adresses est la défense la plus efficace. Elle ne nécessite qu'une seule habitude : ne jamais confirmer un virement sans vérifier l'adresse de destination complète depuis une source de confiance [13][1].
Règle 1 : ne jamais copier depuis l'historique des transactions
Votre historique de transactions est un champ de bataille potentiel pour l'empoisonnement. Ne le traitez jamais comme un carnet d'adresses. Tenez à jour un carnet d'adresses dédié, alimenté depuis des sources de confiance [13][1].
Règle 2 : vérifier l'adresse complète, pas seulement l'aperçu
Avant de confirmer tout virement, déployez l'adresse de destination complète. Comparez chaque caractère avec votre source vérifiée. Pour les portefeuilles matériels, vérifiez toujours sur l'écran de l'appareil lui-même [13].
La règle des cinq secondes pour les transferts à haute valeur
Pour tout transfert au-dessus de votre seuil de haute valeur, prenez cinq secondes supplémentaires pour : (1) déployer l'adresse complète, (2) comparer les six premiers et derniers caractères avec votre source vérifiée, (3) vérifier la section centrale pour détecter des anomalies, (4) confirmer sur l'écran de votre portefeuille matériel si applicable.
Règle 3 : utiliser les codes QR pour les transferts locaux
Utilisez la lecture de codes QR plutôt que la saisie manuelle d'adresses ou le presse-papiers. Les codes QR encodent l'adresse complète et contournent totalement le détournement du presse-papiers ainsi que l'empoisonnement de l'historique des transactions [13].
Règle 4 : utiliser ENS ou d'autres services de nommage avec précaution
Avant d'envoyer vers un nom ENS, vérifiez toujours que l'adresse résolue correspond à ce que vous attendez [13][1].
Règle 5 : tester avec un petit montant d'abord
Pour toute nouvelle adresse, envoyez d'abord un petit montant de test. Vérifiez la réception avant d'envoyer le montant total [13][1].
Paramètres de sécurité du portefeuille qui bloquent l'empoisonnement
Les fonctionnalités au niveau du portefeuille peuvent réduire considérablement l'exposition. La qualité de protection varie considérablement selon les portefeuilles, et toutes les fonctionnalités de protection ne sont pas activées par défaut [12][13].
Protection contre l'empoisonnement dans Trust Wallet
Trust Wallet a introduit une fonctionnalité dédiée de protection contre l'empoisonnement d'adresses qui analyse les transactions entrantes et signale celles présentant des caractéristiques d'empoisonnement. Lorsqu'elle est détectée, elle marque visuellement les transactions suspectes dans l'affichage de l'historique [12].
Pour vérifier : accédez à Paramètres - Sécurité - Protection contre l'empoisonnement d'adresses [12].
Portefeuilles matériels et vérification indépendante des adresses
Les portefeuilles matériels tels que Trezor et Ledger affichent l'adresse de destination complète sur l'écran de l'appareil indépendamment de l'ordinateur connecté. L'adresse affichée sur le portefeuille matériel est l'adresse vers laquelle la transaction sera réellement envoyée [13].
La vérification sur portefeuille matériel n'est pas optionnelle
Si vous possédez un portefeuille matériel mais sautez la vérification sur l'écran de l'appareil pour les transactions courantes, vous ne bénéficiez pas de son avantage sécuritaire. Utilisez l'écran de confirmation à chaque fois, surtout pour les transferts importants.
Carnet d'adresses et contacts enregistrés
Lorsque vous sauvegardez une adresse vérifiée sous un nom reconnaissable et la sélectionnez depuis le carnet d'adresses plutôt que depuis l'historique des transactions, vous éliminez le principal vecteur exploité par les attaques d'empoisonnement. Pour les exchanges centralisés, activez la liste blanche des adresses de retrait [13][12].
Explorateurs de blocs et marquage des risques
Avant d'envoyer vers une adresse inconnue, collez-la dans Etherscan ou un explorateur de blocs comparable et vérifiez si elle a été signalée [1][4].
Si vous avez envoyé des fonds à une adresse empoisonnée : mesures immédiates
Il s'agit d'une situation grave, urgente sur le plan temporel. Les transactions blockchain sont irréversibles — pas de bouton d'annulation, pas de service de fraude, pas de remboursement. Mais votre réaction dans les premières heures peut influer matériellement sur les possibilités de récupération [11][8].
Étape 1 : tout documenter immédiatement
Prenez des captures d'écran de : la transaction montrant l'adresse de destination, le hash de transaction, l'horodatage et le montant. Cette documentation est essentielle pour tout rapport aux forces de l'ordre ou pour toute intervention d'un cabinet d'analyse blockchain [8][9].
Étape 2 : retracer les fonds sur la blockchain immédiatement
Utilisez un explorateur de blocs (Etherscan, Tronscan, BscScan) pour retracer où les fonds sont allés immédiatement après réception par l'attaquant. Si les fonds atterrissent sur un exchange centralisé, contactez immédiatement son équipe de conformité avec le hash de transaction [11][8].
La fenêtre de gel des exchanges
Si vous identifiez que des fonds volés se dirigent vers un exchange majeur — Binance, Coinbase, Kraken, OKX — contactez immédiatement leur équipe de sécurité ou de conformité. Incluez : adresse d'envoi, adresse de réception, hash de transaction, heure, montant, et une brève explication. Chaque minute compte.
Étape 3 : contacter des sociétés d'analyse blockchain
Pour des pertes supérieures à 50 000 dollars, il peut valoir la peine de contacter directement Chainalysis, TRM Labs ou Elliptic pour retracer les fonds et produire un rapport d'attribution [1][4][5].
Étape 4 : déposer des plaintes auprès des forces de l'ordre
Aux États-Unis, déposez une plainte auprès du FBI IC3 sur ic3.gov [8][9]. Dans l'UE, déposez une plainte auprès de votre unité nationale de cybercriminalité. L'EC3 d'Europol coordonne les enquêtes transfrontières [8].
Étape 5 : consulter un avocat pour les pertes importantes
Pour des pertes supérieures à 100 000 dollars, envisagez de faire appel à un conseil juridique expérimenté en récupération d'actifs numériques. Des options légales existent et doivent être explorées rapidement avant que les délais de prescription ne commencent à courir [11][8].
Fixez-vous des attentes réalistes : la majorité des victimes ne récupèrent que très peu ou rien. Une réponse rapide et systématique vous offre les meilleures chances disponibles [11].
Votre portefeuille a-t-il été ciblé ?
Recoveris fournit des services d'investigation on-chain et de récupération d'actifs numériques pour les victimes d'empoisonnement d'adresses et de fraudes crypto connexes.
Demander une évaluation de casCombien avez-vous perdu ? Évaluez vos options
Utilisez notre outil d'auto-évaluation pour comprendre vos options de récupération.
Commencer l'évaluation gratuiteRéférences
- 1.Address Poisoning Scam — Chainalysis, 2024. lien
- 2.2025 Crypto Crime Report — Chainalysis, 2025. lien
- 3.2025 Crypto Crime Mid-Year Update — Chainalysis, 2025. lien
- 4.Understanding Address Poisoning on the TRON Blockchain — TRM Labs, 2024. lien
- 5.2025 Crypto Crime Report — TRM Labs, 2025. lien
- 6.USENIX Security 25: Address Poisoning Research (Tsuchiya & Christin, CMU) — USENIX Security Symposium, 2025. lien
- 7.CyLab Crypto Phishing Research — CMU CyLab, 2026. lien
- 8.2025 Internet Crime Report — FBI IC3, 2025. lien
- 9.Cryptocurrency and AI Scams Bilk Americans of Billions — FBI, 2025. lien
- 10.Crypto Trader Loses $50 Million in Address Poisoning Attack — The Block, 2024. lien
- 11.Victim of $71 Million Address Poisoning Attack Recovers Funds — The Block, 2024. lien
- 12.Introducing Address Poisoning Protection on Trust Wallet — Trust Wallet, 2024. lien
- 13.What Are Address Poisoning Attacks and How to Avoid Them — Trezor, 2024. lien
Questions fréquentes
Comment savoir si mon portefeuille a déjà été ciblé par un empoisonnement d'adresses ?
Recherchez les petites transactions dans votre historique — des montants de 0 $, des fractions de centime, ou des montants insignifiants — provenant d'adresses inconnues. Si certaines ressemblent de près à des adresses vers lesquelles vous envoyez régulièrement, votre portefeuille a été ciblé. Collez chaque adresse suspecte dans Etherscan et vérifiez les signaux de risque. La présence d'une tentative d'empoisonnement ne signifie pas que vous avez perdu des fonds — cela signifie que vous devez être particulièrement vigilant lors de votre prochain transfert sortant.
L'empoisonnement d'adresses peut-il fonctionner sur Bitcoin ?
Oui. Les adresses Bitcoin peuvent également être ciblées par la génération d'adresses personnalisées, bien que l'attaque soit quelque peu moins courante. La structure des frais de Bitcoin rend les transactions de spam plus onéreuses, réduisant l'attractivité économique des campagnes massives par rapport à TRON. Les utilisateurs de Bitcoin ne sont pas à l'abri, surtout ceux qui effectuent régulièrement des transactions de montants importants. Les mêmes règles de vérification s'appliquent.
Un portefeuille matériel me protège-t-il entièrement de l'empoisonnement d'adresses ?
Un portefeuille matériel offre une couche de protection essentielle en affichant l'adresse de destination complète sur l'écran propre à l'appareil. Cependant, cette protection ne fonctionne que si vous comparez activement l'adresse affichée sur l'écran du portefeuille matériel avec votre destination intégrée vérifiée avant de confirmer. Si vous appuyez sur confirmer sans vérifier l'écran de l'appareil, le portefeuille matériel n'offre aucune protection supplémentaire contre l'empoisonnement d'adresses.
Existe-t-il un moyen de récupérer des fonds perdus à cause d'un empoisonnement d'adresses ?
La récupération est possible mais rare. Les possibilités se réduisent rapidement si les fonds volés passent par plusieurs étapes de mixage ou de pontage dans la première heure. Les voies les plus réalistes : (1) les fonds atterrissent sur un exchange centralisé et sont gelés avant le retrait, (2) les forces de l'ordre s'impliquent sur la base des signalements IC3, (3) des cabinets d'analyse blockchain identifient l'attaquant. Agissez rapidement et faites appel à une aide professionnelle sans délai pour les pertes supérieures à 50 000 dollars.
Les utilisateurs de DEX sont-ils plus à risque que les utilisateurs d'exchanges centralisés ?
Les utilisateurs de DeFi et de DEX ont tendance à effectuer des transactions plus fréquemment et à interagir avec un plus grand nombre d'adresses différentes, ce qui augmente l'exposition. Les utilisateurs d'exchanges centralisés interagissent souvent principalement avec une seule adresse de retrait qu'ils peuvent mettre en liste blanche. La vulnérabilité fondamentale est la même quelle que soit la plateforme : si vous copiez une adresse depuis l'historique des transactions sans la vérifier, vous êtes exposé.