En l’espace de quelques jours, plus de 1,6 million de dollars se sont volatilisés. Une nouvelle vague d’attaques par address poisoning secoue l’écosystème. Cette arnaque, connue depuis plusieurs années, revient en force. Son principe est aussi discret qu’efficace, et sa recrudescence inquiète les experts en sécurité.
Une technique qui exploite les automatismes
Le mode opératoire repose sur un piège visuel. Les pirates créent une adresse presque identique à celle d’un wallet déjà utilisé par leur cible. Puis, ils envoient une transaction infime depuis cette fausse adresse pour la faire apparaître dans l’historique.
Lorsqu’un utilisateur veut réutiliser une adresse, il pioche dans cet historique… et c’est là que l’erreur se glisse. En copiant la mauvaise suite de caractères, il envoie ses fonds directement chez l’attaquant. L’opération est instantanée et irréversible.
MetaMask, Ledger et d’autres plateformes rappellent que la seule vraie protection consiste à vérifier chaque caractère d’une adresse avant de valider. Ils encouragent aussi à sauvegarder des adresses fiables dans un carnet sécurisé. Et, autant que possible, utiliser un hardware wallet pour imposer une validation physique.
Des pertes colossales et un phénomène massif
Les 1,6 M $ envolés cette semaine ne sont qu’un aperçu. Depuis que la méthode existe, les pertes totales dépasseraient 83 millions de dollars. Plus de 17 millions d’adresses auraient été ciblées.
Ethereum et BNB Chain restent les terrains de chasse favoris. Les chercheurs ont identifié plus de 270 millions de tentatives, un chiffre qui démontre l’ampleur du problème.
Contrairement à ce qu’on croit souvent, les victimes ne sont pas seulement des débutants. Des traders chevronnés sont tombés dans le piège. Même certaines plateformes DeFi y ont laissé des sommes importantes.
Les bons réflexes à adopter
Face à ce type de menace, quelques habitudes simples suffisent parfois à éviter le pire :
- Ne pas copier une adresse depuis l’historique.
- Garder un carnet d’adresses déjà vérifiées pour les paiements réguliers.
- Faire d’abord un petit transfert test avant un envoi conséquent, juste pour s’assurer que tout est correct.
- Changer ses adresses de réception régulièrement, histoire de ne pas reprendre machinalement une entrée piégée.
- Utiliser un hardware wallet, qui oblige à confirmer physiquement chaque transaction et ajoute ainsi un rempart supplémentaire.
Conclusion — Ne rien laisser au hasard
L’address poisoning nous rappelle que la plus grande faille de sécurité, c’est souvent l’utilisateur. Les escrocs ne se contentent pas de pirater des systèmes : ils exploitent nos réflexes, nos automatismes et nos moments d’inattention.
Dans la crypto, il faut prendre le temps. Vérifier chaque détail. Confirmer deux fois avant d’envoyer. Et ne jamais se laisser emporter par la précipitation. Cette discipline, plus qu’une habitude, est une nécessité. C’est ce qui fera la différence entre garder son capital intact… ou le voir disparaître à jamais.
Sources : Cointelegraph
Sur le même sujet :
Partager
