Une erreur de copier-coller a entraîné la perte de 50 millions de dollars USDT dans le portefeuille

Comment les escroqueries par pollution d’adresse peuvent facilement voler des fonds importants

Les incidents de sécurité blockchain rappellent une fois de plus aux utilisateurs de faire preuve de prudence à chaque transaction. Selon le suivi de la plateforme d’analyse on-chain Lookonchain, un investisseur en cryptomonnaies a perdu à jamais 50 millions de dollars USDT de son portefeuille suite à une erreur apparemment mineure. Cet incident met en lumière la gravité du danger lié à l’arnaque par pollution d’adresse (address poisoning).

L’origine de l’incident semble inoffensive — l’utilisateur a effectué un test de routine avant un transfert important. Il a d’abord envoyé 50 dollars USDT à son portefeuille 0xbaf4b…95F8b5 pour vérification. Cependant, le groupe de fraude a exploité la caractéristique d’affichage des adresses de portefeuille pour falsifier une adresse fausse, dont les quatre premiers et les quatre derniers caractères sont identiques à ceux de la véritable adresse, mais dont les caractères du milieu sont complètement différents.

Puisque l’utilisateur ne voit généralement que les caractères en début et en fin d’adresse dans le navigateur ou l’interface du portefeuille, les 50 millions de USDT ont finalement été envoyés par erreur au portefeuille contrôlé par l’attaquant. Cette “tromperie visuelle” exploite pleinement la limite de la perception humaine face aux longues chaînes de caractères.

Suivi et trajectoire de transfert des fonds volés

Les données on-chain montrent que le portefeuille de cet utilisateur est actif depuis deux ans, principalement pour des transactions USDT. La dernière extraction de fonds depuis une plateforme d’échange majeure indique qu’au moment de l’incident, l’utilisateur gérait activement ce portefeuille.

Après avoir obtenu les fonds, l’attaquant a immédiatement commencé à transférer. Il a converti la totalité des 50 millions de dollars USDT en Ethereum (ETH), équivalent à environ 2974 dollars selon le prix actuel, puis a dispersé l’ETH dans plusieurs adresses différentes. Une partie des fonds a été envoyée vers des services de mixage, compliquant davantage le suivi des fonds.

Un analyste on-chain a commenté : “C’est la dure réalité des attaques par pollution d’adresse, qui ne nécessitent pas de vulnérabilités système, mais exploitent habilement les comportements humains et les limites visuelles.”

Plusieurs incidents d’erreurs d’adresse dans les transactions de cryptomonnaies

Des erreurs d’adresse similaires ne sont pas rares. En avril dernier, une œuvre d’art numérique (NFT) en Bitcoin a été envoyée par erreur à une adresse de dépôt Bitcoin standard d’une plateforme d’échange, provoquant une controverse intense sur la responsabilité de la gestion des fonds. Bien que la plateforme ait conseillé aux utilisateurs d’envoyer du Bitcoin ordinaire, cet incident a finalement suscité de vives critiques et accusations sur les réseaux sociaux.

Un autre cas d’alerte provient d’une récente poursuite par les autorités — le bureau du procureur de Brooklyn a accusé un escroc d’usurper l’identité d’un représentant officiel d’une plateforme cryptographique renommée. Par une communication trompeuse, il a convaincu la victime que son compte était en danger, ce qui a conduit la victime à transférer près de 16 millions de dollars USDT vers son portefeuille contrôlé. La plateforme indique collaborer avec les autorités pour suivre les fonds et soutenir les victimes.

Données alarmantes sur le vol d’actifs cryptographiques

Selon le rapport de la société d’analyse blockchain Chainalysis, le total des actifs cryptographiques volés au cours de la dernière année a atteint 3,41 milliards de dollars. Parmi eux, une seule attaque de hacker sur une plateforme (impliquant 1,5 milliard de dollars) représente 44 % de la perte totale. Les trois attaques les plus graves représentent 69 % de toutes les pertes de services cryptographiques, ce qui montre une concentration élevée des vols importants.

Conseils clés pour protéger son portefeuille USDT et autres actifs numériques

Face à ces menaces, les utilisateurs doivent adopter les mesures préventives suivantes :

Vérifiez soigneusement chaque détail d’adresse. Avant d’effectuer toute transaction, vérifiez l’intégralité de l’adresse du portefeuille via un explorateur de blocs ou plusieurs sources, et ne vous fiez pas uniquement aux caractères en début et en fin d’adresse. Cette étape est particulièrement cruciale pour les transactions importantes.

Utilisez de petites transactions de test. La méthode du test avec de petits montants — comme celle de la victime dans cette affaire — reste une pratique de sécurité efficace, mais il faut s’assurer que le processus de vérification est suffisamment prudent.

Évitez la copie-collage rapide. Réduisez votre dépendance aux outils automatisés de copie d’adresses, privilégiez la vérification manuelle ou l’utilisation de la fonction de carnet d’adresses officielle du portefeuille.

Activez plusieurs mécanismes de sécurité. Utilisez un portefeuille matériel, un portefeuille multi-signatures ou des services nécessitant une validation en plusieurs étapes pour gérer de gros fonds.

Ces incidents montrent tous que les mesures techniques seules ne peuvent pas empêcher totalement les erreurs humaines ; la conscience de la sécurité et les habitudes opérationnelles de l’utilisateur restent la dernière ligne de défense.