Catégorie: Guide de récupération  |  Mis à jour:

Que faire si vous avez été victime d'une arnaque d'empoisonnement d'adresse: guide complet de récupération

Réponse rapide: que faire maintenant

Si vous venez d'envoyer des cryptomonnaies vers l'adresse d'un attaquant parce que vous avez copié un sosie depuis votre historique de transactions, arrêtez toute activité immédiatement: ne déplacez plus aucun fonds, prenez des captures d'écran horodatées de chaque transaction concernée, notez l'adresse complète de l'attaquant ainsi que le hash de la transaction, puis contactez le service anti-fraude de l'exchange destinataire et déposez un signalement auprès du IC3 du FBI (ic3.gov) dans la première heure. La rapidité est essentielle, car les transactions blockchain sont irréversibles une fois confirmées - mais la récupération reste possible grâce au traçage on-chain, à la coopération des exchanges et à la forensique blockchain professionnelle, surtout si vos fonds ne sont pas encore passés par un mixeur.

À quoi ressemble cette arnaque

L'empoisonnement d'adresse est l'une des arnaques les plus sophistiquées de l'univers crypto, car elle ne requiert ni logiciel malveillant, ni manipulation psychologique, ni hameçonnage de mot de passe. L'attaquant étudie votre historique on-chain, repère une adresse avec laquelle vous transactez régulièrement, puis génère une adresse sosie qui partage les quatre à six premiers et les quatre à six derniers caractères avec l'adresse réelle. Il envoie ensuite un transfert de très faible valeur - ou de valeur nulle - depuis cette adresse sosie vers votre portefeuille, polluant délibérément votre historique de transactions avec un leurre convaincant.

La prochaine fois que vous souhaitez envoyer des fonds à ce même contact, vous ouvrez votre historique, repérez ce qui ressemble à la bonne adresse, vous la copiez et la collez dans le champ destinataire. Au moment où vous remarquez quelque chose d'anormal, les fonds se trouvent déjà dans le portefeuille de l'attaquant. Des chercheurs de l'Université Carnegie Mellon, lors de leur présentation à USENIX Security 2025, ont documenté plus de 270 millions de tentatives d'attaque on-chain sur une fenêtre d'étude de deux ans, recensant au moins 17 millions de portefeuilles ciblés et 6 633 incidents de pertes confirmés, représentant au moins 83,8 millions de dollars de pertes vérifiées.

Les attaquants utilisent trois types principaux de transferts d'empoisonnement. Le transfert de faible valeur envoie une fraction du token natif. Le transfert de valeur nulle exploite certains contrats de tokens qui autorisent des transferts à zéro token, ne coûtant presque rien à l'attaquant en frais de gaz. Le transfert de token contrefait déploie un faux token ERC-20 imitant un token légitime (USDC, WBTC) mais sans valeur, uniquement pour insérer l'adresse leurre dans votre historique.

Pertes réelles à grande échelle

En mai 2024, un investisseur important a perdu environ 68 à 72 millions de dollars en WBTC dans une seule transaction d'empoisonnement d'adresse. Environ 90 % de ces fonds ont finalement été récupérés grâce à des preuves forensiques et une négociation avec l'attaquant. En décembre 2025, un autre trader a perdu 50 millions de dollars dans une attaque similaire. En janvier 2026, des analystes de Citi ont signalé une recrudescence des transactions Ethereum inférieures à 1 dollar comme indice d'une campagne d'empoisonnement d'adresses massif. La blockchain TRON a été particulièrement touchée en raison de son modèle de bande passante gratuite, qui rend les transferts d'empoisonnement en masse quasi gratuits pour les attaquants.

Pourquoi les gens tombent dans le piège

L'attaque exploite une faiblesse d'interface utilisateur commune à presque tous les portefeuilles crypto: la troncature des adresses. Les interfaces affichent les longues adresses sous forme abrégée, en ne montrant généralement que les six premiers et les quatre derniers caractères. Une adresse réelle et son sosie créé par l'attaquant peuvent s'afficher de manière identique dans le menu déroulant. Seule la lecture des 40 caractères hexadécimaux ou plus permettrait de déceler la différence, et presque personne ne le fait à chaque fois.

La génération d'une adresse personnalisée correspondante nécessitait autrefois d'importantes ressources informatiques, ce qui limitait ces attaques aux cibles de grande valeur. Aujourd'hui, des outils de génération d'adresses personnalisées accélérés par GPU peuvent produire des milliers d'adresses partiellement correspondantes par seconde à faible coût, ce qui permet des campagnes massives. Le coût par tentative d'attaque est désormais si bas qu'empoisonner des millions de portefeuilles pour obtenir quelques succès est économiquement rationnel pour l'attaquant.

Des facteurs psychologiques puissants entrent également en jeu. Les personnes qui déplacent régulièrement des cryptomonnaies développent une routine: aller dans l'historique, copier une adresse récente, coller et envoyer. Cette routine est rapide et sans friction, ce sur quoi comptent précisément les attaquants. L'arnaque ne requiert aucune interaction, aucun message d'urgence, aucun faux site web. Elle attend passivement dans votre historique de transactions le moment où vous vous fiez à l'habitude plutôt qu'à la vérification. Des traders expérimentés, pas seulement des débutants, en ont été victimes, car l'attaque cible un comportement universel plutôt qu'un manque de connaissances.

Premières 24 heures: que faire immédiatement

Le premier jour après avoir découvert que vous avez envoyé des fonds à une adresse empoisonnée représente la fenêtre d'action la plus déterminante pour la récupération. Les étapes ci-dessous sont classées par ordre de priorité. Ne sautez pas d'étapes et ne les effectuez pas dans le désordre.

  1. Arrêtez immédiatement toutes les transactions. N'envoyez plus aucun fonds depuis le portefeuille concerné. Si d'autres actifs se trouvent dans ce même portefeuille, envisagez de les transférer vers une nouvelle adresse - mais vérifiez chaque caractère de l'adresse de destination avant de le faire.
  2. Prenez des captures d'écran et des enregistrements d'écran en haute résolution. Documentez votre historique de transactions en faisant apparaître le transfert d'empoisonnement aux côtés des transferts légitimes que vous avez effectués. Capturez l'interface de votre portefeuille, l'entrée de l'explorateur de blocs pour la transaction malveillante, ainsi que tout historique de chat ou d'e-mail pertinent. Horodatez tout.
  3. Notez l'adresse complète de l'attaquant et le hash de la transaction. Ouvrez la transaction sur un explorateur de blocs (Etherscan, Tronscan, BscScan, etc.) et copiez l'adresse complète de l'attaquant en intégralité. Sauvegardez le hash de la transaction. Notez le numéro de bloc, l'horodatage et le montant exact envoyé.
  4. Tracez les fonds sur un explorateur de blocs. Suivez l'adresse de l'attaquant vers l'avant dans l'explorateur pour voir où vos fonds ont été déplacés ensuite. Notez les adresses réceptrices, les horodatages et si les fonds ont été fractionnés en montants plus petits.
  5. Contactez le service anti-fraude de l'exchange destinataire. Si vous identifiez un exchange centralisé (Binance, Coinbase, Kraken, OKX, etc.) dans le flux des fonds, contactez immédiatement son département fraude ou conformité. Fournissez le hash de la transaction, l'adresse de l'attaquant et vos preuves. Chaque heure d'attente réduit la probabilité d'un gel.
  6. Déposez un signalement auprès du IC3 du FBI. Rendez-vous sur ic3.gov et déposez une plainte pour crime sur Internet. Signalez également auprès de votre autorité nationale de lutte contre la criminalité financière et de la police locale si les montants sont significatifs.
  7. Consultez un spécialiste en forensique blockchain. Les enquêteurs professionnels ont accès à des outils de traçage commerciaux (Chainalysis, TRM Labs, Elliptic) qui révèlent les flux de fonds à travers les chaînes, les bridges et les mixeurs, au-delà de ce que montrent les explorateurs publics. Contactez un cabinet dans les 24 heures si votre perte dépasse quelques milliers de dollars.

Tenez un journal de chaque action que vous effectuez, de chaque personne que vous contactez et de chaque réponse que vous recevez. Cette documentation constitue une chaîne de custody légale qui peut être exigée par les tribunaux, les instances d'arbitrage ou les mandataires judiciaires si une procédure formelle de récupération s'ensuit.

Ce qu'il ne faut PAS faire

La panique et l'urgence poussent les victimes vers des décisions qui compromettent activement leurs chances de récupération. Voici les erreurs les plus fréquentes - chacune peut fermer définitivement des portes qui seraient autrement restées ouvertes.

Ne tentez pas de contacter l'attaquant vous-même

Certaines victimes envoient des messages à l'adresse de l'attaquant. Dans de rares cas - comme la récupération du WBTC en 2024 - la négociation a abouti, mais elle était menée par des professionnels disposant d'un levier juridique et de preuves documentées. Un contact non encadré alerte généralement l'attaquant et l'incite à déplacer les fonds plus rapidement.

Ne faites pas appel à un "service de récupération" trouvé en ligne

Internet regorge de faux agents de récupération qui ciblent spécifiquement les victimes d'empoisonnement d'adresse. Ils surveillent les forums et les réseaux sociaux pour approcher les victimes avec de fausses promesses de récupération garantie. Les payer ne fait qu'ajouter un deuxième vol à vos pertes.

Ne déplacez pas de fonds sans vérification complète

Dans la panique de la découverte, certaines victimes copient une adresse "sûre" depuis leur historique - et tombent dans une deuxième adresse empoisonnée. Avant de déplacer quoi que ce soit, vérifiez manuellement chaque caractère de l'adresse de destination ou utilisez l'écran de vérification d'un portefeuille matériel.

Ne tardez pas à signaler

Les exchanges ne peuvent geler que les comptes qui détiennent encore des fonds. Si l'attaquant retire les fonds avant votre signalement, cette fenêtre se ferme définitivement. Les données de récupération montrent systématiquement que des signalements plus rapides mènent à de meilleurs résultats.

Ne pensez pas que la blockchain a détruit vos preuves

Tout ce qui se passe sur une blockchain publique est permanent et auditable publiquement. Vos preuves ne sont pas perdues - elles doivent simplement être lues. Les outils forensiques professionnels peuvent tracer des fonds à travers de multiples sauts, identifier les adresses de dépôt des exchanges et constituer un dossier de preuves juridiques.

À quoi ressemble vraiment la récupération

La récupération après une attaque d'empoisonnement d'adresse est un processus qui se déroule sur plusieurs pistes parallèles, et le résultat dépend de la rapidité avec laquelle chaque piste est engagée et de la progression des fonds dans la chaîne de blanchiment.

Traçage forensique on-chain

La première étape de toute récupération professionnelle est le traçage: suivre les fonds volés vers l'avant à travers la blockchain pour cartographier chaque portefeuille et adresse de dépôt d'exchange utilisé par l'attaquant. Les outils de niveau commercial de Chainalysis et TRM Labs peuvent relier des clusters de portefeuilles apparemment déconnectés, signaler les associations connues avec des mixeurs ou des marchés darknet, et identifier les adresses de dépôt d'exchanges où les forces de l'ordre peuvent geler les fonds.

Coopération des exchanges et gel des actifs

Si le traçage identifie un exchange centralisé dans le flux des fonds, l'équipe de récupération soumet une demande formelle de coopération étayée par le dossier de preuves forensiques. Les exchanges sont de plus en plus enclins à geler les comptes suspects lorsqu'on leur présente des preuves crédibles. Les variables déterminantes sont la rapidité, la juridiction et la qualité des preuves.

Retour négocié

Dans une petite fraction des dossiers de grande valeur, la récupération passe par une négociation directe avec l'attaquant. L'affaire WBTC de 2024 en est l'exemple le plus marquant: la victime, soutenue par une piste de preuves forensiques et un conseil juridique, a proposé une prime pour un retour volontaire. L'attaquant a restitué environ 66,8 millions de dollars. Ce résultat a nécessité un cadrage juridique professionnel et des menaces crédibles d'intervention des forces de l'ordre.

Le problème des mixeurs

Les chances de récupération chutent fortement une fois que les fonds entrent dans un mixeur comme Tornado Cash. Le traçage reste possible jusqu'au point d'entrée dans le mixeur, mais la probabilité d'extraire des fonds spécifiques de l'autre côté est très faible. Des autorités judiciaires de plusieurs juridictions ont réussi à poursuivre des opérateurs de mixeurs et à retracer des flux de fonds de manière rétroactive.

Délais réalistes

Les gels d'exchanges peuvent intervenir en quelques jours avec un bon soutien forensique. Les procédures juridiques formelles prennent des mois, voire des années. Les retours négociés se règlent typiquement en deux à quatre semaines. Se fixer des attentes réalistes est important, tant pour gérer le processus que pour éviter les décisions désespérées.

Quand faire appel à un enquêteur professionnel

Tous les cas d'empoisonnement d'adresse ne nécessitent pas une intervention professionnelle. Si le montant perdu est faible et que l'adresse de l'attaquant ne montre aucune activité ultérieure, le coût d'une enquête professionnelle peut dépasser la récupération escomptée. Mais pour la plupart des cas dépassant quelques milliers de dollars, le calcul change significativement.

Signes indiquant qu'une aide professionnelle est justifiée

Ce qu'inclut une enquête professionnelle

Un cabinet de forensique blockchain réputé procèdera à un traçage on-chain approfondi, produira un rapport d'enquête professionnel avec des graphiques de transactions et l'attribution des portefeuilles, identifiera les points d'exposition aux exchanges et services, soumettra des demandes formelles de conservation juridique et coordonnera avec les forces de l'ordre le cas échéant. Renseignez-vous spécifiquement sur leurs outils (Chainalysis Reactor, TRM Forensics ou équivalent) et leurs relations avec les équipes de conformité des principaux exchanges.

Signaux d'alarme des arnaques à la récupération

La même vulnérabilité qui a fait de vous une cible pour l'empoisonnement d'adresse fait également de vous une cible pour les arnaques à la récupération. Des criminels qui surveillent les forums de victimes cherchent spécifiquement des personnes ayant récemment perdu des fonds. Le FBI met explicitement en garde contre cette menace secondaire. Voici les signaux d'alarme les plus fiables:

Si vous doutez de la légitimité d'un service de récupération, signalez leurs coordonnées à votre autorité nationale de protection des consommateurs et au FBI IC3 dans tous les cas.

Questions fréquentes

Peut-on récupérer des cryptos volées après un empoisonnement d'adresse?
Oui, dans une proportion significative de cas - mais la probabilité dépend de la rapidité avec laquelle vous agissez et de la destination des fonds. Lorsque les actifs volés atteignent un exchange centralisé avant que l'attaquant ne les retire, les équipes de conformité de l'exchange peuvent geler le compte si on leur présente des preuves forensiques crédibles et un rapport de police. L'affaire WBTC de 2024 a abouti au retour d'environ 66,8 millions de dollars après une négociation professionnelle. Une fois les fonds passés par un service de mixage comme Tornado Cash, les chances de récupération chutent fortement. La rapidité dans les premières 24 heures est le facteur le plus important sur lequel vous avez prise.
Comment les attaquants génèrent-ils des adresses qui ressemblent à la mienne?
Les attaquants utilisent des logiciels de génération d'adresses personnalisées accélérés par GPU capables de produire des milliers de candidats par seconde. Ils saisissent les premiers et derniers caractères de l'adresse cible et laissent l'outil tourner jusqu'à obtenir une adresse complète partageant ces caractères. La partie centrale est différente, mais les interfaces de portefeuille ne l'affichent jamais. Des chercheurs de Carnegie Mellon ont documenté l'utilisation de ces outils à grande échelle dans ce qu'ils décrivent comme l'une des plus vastes opérations d'hameçonnage crypto jamais enregistrées.
Quelles informations dois-je réunir avant de contacter un exchange ou les autorités?
Avant de contacter qui que ce soit, rassemblez: (1) l'adresse complète de l'attaquant, (2) le hash de la transaction frauduleuse, (3) le numéro de bloc et l'horodatage, (4) le montant exact et le token envoyés, (5) des captures d'écran haute résolution de votre historique de portefeuille, et (6) une chronologie écrite brève des événements. Plus votre signalement initial est complet, plus vite tout gel ou enquête peut commencer.
L'empoisonnement d'adresse est-il la même chose qu'un exploit de contrat intelligent ou un piratage de portefeuille?
Non. L'empoisonnement d'adresse n'implique aucune vulnérabilité dans votre logiciel de portefeuille, vos contrats intelligents ou vos clés privées. Votre portefeuille reste sécurisé tout au long de l'attaque. L'attaque fonctionne entièrement sur le comportement humain: elle insère une adresse trompeuse dans votre historique de transactions visible et attend que vous la copiiez par mégarde. Cette distinction est importante pour les demandes d'assurance, le traitement fiscal et les signalements aux forces de l'ordre.
Comment me protéger de l'empoisonnement d'adresse à l'avenir?
Plusieurs pratiques réduisent significativement votre risque. Ne copiez jamais une adresse depuis l'historique de transactions - copiez-la toujours depuis votre carnet d'adresses ou la communication originale. Vérifiez au moins les dix premiers et les dix derniers caractères de toute adresse avant de confirmer un envoi. Utilisez un portefeuille matériel pour les transactions importantes. Trust Wallet a lancé la détection automatisée de l'empoisonnement en janvier 2026. MetaMask et Ledger Live publient également des guides spécifiques pour identifier les tentatives d'empoisonnement.

Avez-vous perdu des fonds dans une arnaque d'empoisonnement d'adresse?

Recoveris mène des enquêtes professionnelles on-chain et le traçage de fonds. Obtenez une évaluation initiale gratuite de votre dossier.

Commencer votre évaluation de récupération

Testez votre préparation à la récupération

Répondez à 5 questions rapides pour savoir quelle part de votre dossier est récupérable et quelles preuves vous devez rassembler en premier.

Évaluation gratuite 5 minutes Sans engagement
Faire l'évaluation

Références

  1. Chainalysis. "Anatomy of an Address Poisoning Scam." chainalysis.com/blog/address-poisoning-scam/
  2. TRM Labs. "Understanding Address Poisoning on TRON." trmlabs.com/resources/blog/understanding-address-poisoning-on-the-tron-blockchain
  3. Federal Bureau of Investigation. "FBI Warns of Cryptocurrency Token Impersonation Scam." fbi.gov
  4. Federal Bureau of Investigation / Internet Crime Complaint Center. "2025 Internet Crime Report." ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
  5. Lou, Pengcheng et al. (Carnegie Mellon University). "Blockchain Address Poisoning." USENIX Security '25. arxiv.org/html/2501.16681v1
  6. PYMNTS / Analystes Citi. "Citi Analysts Say Ethereum Transaction Trends Suggest Address Poisoning Scams." Janvier 2026. pymnts.com
  7. The Block. "Crypto Trader Loses $50 Million in Address Poisoning Attack, Offers $1 Million Bounty for Return." Décembre 2025. theblock.co
  8. The Block. "Victim of $71 Million Address Poisoning Attack Recovers Funds Following Negotiations." theblock.co
  9. MetaMask Support. "Address Poisoning Scams." support.metamask.io
  10. Ledger Academy. "What are address poisoning attacks in crypto and how to avoid them." ledger.com/academy