Arnaque de 500 millions de złotys : comment un clic a envoyé des millions à un escroc

Le monde de la cryptomonnaie a récemment été témoin d’un des cas de perte de fonds les plus marquants sur la blockchain. Un utilisateur de portefeuille actif depuis près de deux ans a rencontré un problème. Après avoir retiré environ 50 millions de dollars en USDT d’une plateforme d’échange, il a d’abord effectué un transfert test pour vérifier la validité de la procédure. Quelques minutes plus tard, il a procédé au transfert principal – et c’est à ce moment-là que tout a mal tourné.

Anatomie de l’attaque « address poisoning »

Avant cela, l’arnaqueur était déjà en alerte. Il a créé un portefeuille avec une adresse très similaire à celle que la victime utilisait régulièrement pour ses transactions. Sur cette fausse adresse, il a envoyé une quantité minimale d’USDT – suffisante pour apparaître dans l’historique des transactions de la victime.

Lorsque l’utilisateur a recherché l’adresse précédemment utilisée dans son portefeuille, il est tombé sur cette transaction. Les adresses blockchain s’affichent sous forme de longues chaînes de caractères illisibles – il est facile de confondre l’une avec l’autre, surtout sous pression. L’arnaqueur connaissait cette faiblesse. La victime a copié la fausse adresse, confirmé la transaction – et en quelques secondes, près de 50 millions de dollars ont été transférés vers le portefeuille de l’attaquant. Une inattention, un clic, une perte totale.

Différentes architectures blockchain, différents risques

Charles Hoskinson, le fondateur du réseau Cardano, a analysé cet incident d’un point de vue technique et en a tiré la conclusion : certaines architectures blockchain sont plus résistantes à ce type de manipulation que d’autres.

Les réseaux basés sur le modèle comptabilisé – notamment Ethereum et l’écosystème EVM – encouragent les utilisateurs à réutiliser leurs anciennes adresses. L’historique des transactions y est permanent, ce qui signifie que les portefeuilles affichent des adresses fixes. C’est précisément ce qui les rend vulnérables à ce genre d’attaques.

À l’inverse, dans les réseaux utilisant le modèle UTXO, comme Bitcoin ou Cardano, chaque transaction génère de nouvelles sorties, et les anciennes sont consommées. La notion de « solde du compte » n’existe pas dans le sens traditionnel. Il n’y a donc pas d’historique permanent d’adresses à « contaminer ». Le système est structurellement plus résistant.

Hoskinson a toutefois souligné une nuance importante : il ne s’agit pas d’une erreur de protocole ou de contrat intelligent. C’est un problème à l’intersection entre la conception de l’interface et le comportement naturel des utilisateurs.

La réponse de l’industrie face à la menace

L’incident n’est pas passé inaperçu. Au cours des dernières semaines, les principaux fournisseurs de portefeuilles ont publié des mises à jour de sécurité, avertissant spécifiquement les utilisateurs du risque de copier des adresses depuis l’historique. Par ailleurs, ils ont modifié leurs interfaces de validation d’adresses pour faciliter la vérification avant l’envoi de fonds.

Ces actions montrent que la responsabilité de la sécurité incombe à la fois aux concepteurs de portefeuilles et aux utilisateurs. Aucun protocole ne sera parfait si son interface facilite la tâche des escrocs.