Une nouvelle escroquerie fait des ravages dans le monde des cryptos : l’address poisoning. Elle trompe même les plus prudents, et s’en prend à tous les profils d’utilisateurs. Plus de 83 millions de dollars ont disparu dans la nature suite à des simples copier-coller vers des adresses à peine différentes.
Une attaque qui empoisonne votre historique
Le procédé est simple, mais véritablement efficace. Un hacker identifie une adresse crypto utilisée récemment. Il en génère une presque à l’identique et ne change que quelques caractères au milieu, invisibles à l’œil nu. Ensuite, il vous envoie une transaction minime pour faire apparaître cette adresse dans votre historique.
Ainsi, il vous piège pour que vous copiiez cette fausse adresse, croyant qu’il s’agit de la vôtre ou de celle d’un contact habituel. Et si vous l’utilisez pour une transaction, vos fonds partent directement dans la poche de l’escroc.
Fait intéressant, cette attaque ne repose sur aucune faille technique, mais sur une simple erreur humaine. En effet, les utilisateurs qui copient-collent l’adresse depuis les dernières transactions sont ceux qui sont visés. C’est d’ailleurs cette habitude que les escrocs exploitent.
Des portefeuilles visés par ricochet
A la différence d’autres attaques, l’address poisoning ne cherche pas à pirater un portefeuille. La pratique n’a rien à voir avec MetaMask, Trust Wallet, Rabby ou Taho. Ce sont les utilisateurs eux-mêmes qui sont abusés.
La subtilité de la ruse est de tirer profit de l’interface des portefeuilles. Ces derniers n’affichent souvent que les premiers et derniers caractères d’une adresse, masquant les petites modifications du milieu.
Les blockchains les plus visées sont Ethereum, BNB Chain et Polygon, là où l’usage est le plus important. D’ailleurs, des services de sécurité comme Scam Sniffer ont constaté une hausse du nombre d’adresses frauduleuses employées depuis le début de l’année.
Certains portefeuilles tentent de réagir. La team Taho, par exemple, a annoncé la sortie d’une mise à jour. Elle vise à repérer des adresses similaires à celles utilisées précédemment. Par ailleurs, elle prévient l’utilisateur si elle détecte la moindre tentative.
Une erreur qui peut coûter très cher
Plus de 83 millions de dollars ont été perdus à travers des affaires d’address poisoning en quelques mois. Et ce seuil ne fait que s’accroître, à mesure que les hackers perfectionnent leurs tactiques et investissent de nouvelles adresses.
La facilité de la combine en fait un procédé redoutable. Il n’y a pas de phishing par mail, pas de bad link, pas de soft à installer. Juste une mauvaise adresse, recopiée par erreur, dans un moment de distraction.
De nombreux victimes confient avoir perdu des montants conséquents en renvoyant des fonds à ce qu’elle croyait être son propre wallet. Les pirates n’ont eu qu’à patienter, à injecter de fausses adresses, puis à attendre que l’utilisateur se méprenne.
Conclusion
Dans un milieu où une simple transaction peut s’avérer irrévocable, la vigilance aux détails est plus que jamais de rigueur. L’address poisoning n’épargne pas les novices. Il s’attaque à notre quotidien, à nos réflexes. Il vaut mieux prendre une seconde de plus pour vérifier une adresse que de tout perdre.
Sources : Cointelegraph
Sur le même sujet :
Partager
