Une simple erreur de copier-coller a conduit un trader malchanceux à perdre 600 000 $ aujourd'hui, le 17 février, après que la société de sécurité blockchain Cyvers ait découvert le dernier incident dans ce qui est devenu une vague incessante d'attaques par empoisonnement d'adresses cette année.
Les alertes Cyvers ont découvert l'attaque en utilisant son système de surveillance blockchain en temps réel et ont découvert que la victime avait été ciblée par des transferts de valeur nulle.
Les transferts de valeur nulle font référence à une technique où les attaquants envoient de fausses transactions au portefeuille d'une victime pour contaminer son historique de transactions avec une adresse similaire. Une fois que les vecteurs ont été plantés, l'adresse empoisonnée reste dans l'historique de la victime, attendant le moment où elle essaiera un rapide copier-coller au lieu de saisir manuellement ou de vérifier chaque caractère de l'adresse du portefeuille.
En général, les victimes perdent tous les actifs impliqués dans ce transfert en raison de l'irréversibilité des transferts blockchain.
La perte de 600 000 $ rejoint l'avalanche d'attaques de poisoning d'adresses en 2026
L'incident de 600 000 $ est l'un des nombreux. Les attaques de poisoning d'adresses ont rapidement augmenté en fréquence et en ampleur, et rien qu'en cette année, plusieurs pertes de haut profil ont déjà été enregistrées, peignant un tableau alarmant des menaces auxquelles l'industrie est actuellement confrontée.
En décembre 2025, un trader crypto a perdu 50 millions de dollars en USDT après avoir copié une fausse adresse de son historique, la deuxième plus grande perte de poisoning d'adresse jamais enregistrée. Apparemment, la victime avait retiré les fonds de Binance, envoyé une transaction test de 50 $ à la bonne adresse, puis quelques minutes plus tard, copié l'adresse empoisonnée pour un transfert complet de 50 millions de dollars.
L'attaquant a ensuite converti les USDT volés en tokens DAI puis environ 16 690 ETH en 30 minutes, canalisant la plupart d'entre eux via Tornado Cash pour cacher sa trace. La victime a offert une récompense de 1 million de dollars pour la récupération de 98 % des fonds et a menacé de poursuites pénales si les conditions n'étaient pas remplies.
Janvier 2026 n'était pas différent. Le 16 janvier, une victime a perdu 514 000 $ en USDT après avoir envoyé une transaction test de 5 000 $ à une adresse empoisonnée se terminant par “f3e6F”, qui était presque identique à leur destinataire prévu se terminant par “D3E6F”, avant de suivre avec le transfert complet quelques minutes plus tard.
Deux semaines plus tard, une autre victime a perdu 12,25 millions de dollars après avoir envoyé 4 556 ETH à une adresse contrôlée par un attaquant copiée à partir d'un historique de transactions contaminées. ScamSniffer, qui a signalé cet incident, a observé que les deux adresses étaient essentiellement identiques dans les caractères visibles, la seule différence se trouvant dans les sections centrales cachées que la plupart des portefeuilles abrègent.
La victime de ce mois-ci a maintenant rejoint un schéma de pertes qui a coûté aux utilisateurs des millions de dollars en moins de 3 mois, principalement en raison d'attaques plus rusées et d'une base d'utilisateurs qui dépend encore des affichages d'adresses abrégés et des habitudes de copier-coller pour les transactions de routine.
Plus d'un million de tentatives de poisoning sur Ethereum chaque jour
Selon des rapports des spécialistes de Cyvers, plus d'un million de tentatives de poisoning sont faites chaque jour sur le réseau Ethereum uniquement.
Une autre étude a découvert au moins sept groupes d'attaque distincts menant activement des campagnes de poisoning d'adresses sur Ethereum, certains groupes réutilisant leurs fausses adresses à la fois sur Ethereum et sur Binance Smart Chain en même temps.
L'étude a confirmé que les attaquants préfèrent cibler les portefeuilles de grande valeur avec des historiques de transactions fréquents, et qu'ils effectuent généralement des analyses statistiques des soldes USDT et USDC pour déterminer les victimes potentielles les plus rentables avant de déployer leurs fausses transactions.
“De plus en plus d'utilisateurs et d'institutions utilisent des outils automatisés pour les transactions crypto, dont certains peuvent ne pas avoir de mécanismes de vérification intégrés pour détecter les adresses empoisonnées”, a déclaré le PDG de Cyvers. Il a ajouté que “la sophistication croissante des attaquants et le manque de mesures de sécurité pré-transaction” sont les principaux moteurs de l'augmentation.
Les parties prenantes de l'industrie ont également commencé à exprimer leurs opinions. Certains ont publiquement appelé les développeurs de portefeuilles à bloquer par défaut les adresses empoisonnées après la perte de 50 millions de dollars en décembre.
Comme Cryptopolitan l'a rapporté le 24 décembre 2025, CZ a proposé un plan pour protéger les utilisateurs de cryptomonnaies contre les transactions frauduleuses.
“Notre industrie devrait être capable d'éradiquer complètement ce type d'attaques empoisonnées et de protéger nos utilisateurs”, a écrit CZ sur la plateforme sociale de Binance. “Tous les portefeuilles devraient simplement vérifier si une adresse de réception est une ‘adresse empoisonnée’ et bloquer l'utilisateur.”
D'autres fournisseurs de portefeuilles explorent désormais des évaluations de risque pré-exécution qui simulent une transaction avant qu'elle ne soit signée et montrent aux utilisateurs exactement où leurs fonds iront avant de leur demander de confirmer.
Certains chercheurs ont également plaidé pour le whitelistage des adresses fréquemment utilisées directement dans les paramètres du portefeuille afin d'éliminer complètement la dépendance aux historiques de transactions.
Les esprits les plus brillants de la crypto ont déjà lu notre newsletter. Vous voulez en faire partie ? Rejoignez-les.