Un utilisateur de crypto-monnaie non méfiant a récemment perdu 50 millions d'USDT dans une arnaque par empoisonnement d'adresse. Cet incident représente l'une des plus grosses pertes sur chaîne en 2025, suscitant des réactions d'experts en sécurité crypto alors que de nouveaux développements sur cette affaire arrivent.
Une Erreur de Copier-Coller Coûte 50 Millions d'USDT à un Utilisateur
L'empoisonnement d'adresse est une arnaque dans laquelle un attaquant envoie de petites transactions depuis une adresse de portefeuille qui ressemble beaucoup à l'adresse légitime d'une victime, espérant que la victime copiera plus tard la mauvaise adresse dans son historique de transactions et enverra par méprise des fonds à l'attaquant.
La page de sécurité blockchain, Web3 Antivirus, rapporte qu'un utilisateur de crypto est récemment tombé victime de cette arnaque, envoyant 49 999 950 USDT à une adresse empoisonnée copiée depuis l'historique des transactions. Compte tenu du montant important de la transaction, l'utilisateur avait tenté de prendre des précautions en envoyant d'abord une petite transaction test à la bonne adresse. Cependant, la nature de l'empoisonnement d'adresse nécessite une surveillance étroite, les attaquants étant capables d'envoyer immédiatement des transactions de poussière (dust transactions) depuis des portefeuilles ressemblant à l'adresse visée.
Cos, fondateur de l'autre plateforme de sécurité Slowmist, a fourni des informations précieuses sur cette opération, notant la similitude entre les deux adresses, qui partageaient les 3 premiers caractères et les 4 derniers caractères. La victime a choisi par méprise l'adresse empoisonnée dans l'historique des transactions pour effectuer le transfert de 50 millions de dollars, marquant ainsi l'une des plus grosses pertes individuelles sur chaîne de 2025.
Plus de données de Web3 Antivirus révèlent que le portefeuille de la victime est actif sur la chaîne depuis environ deux ans et est principalement utilisé pour des transferts d'USDT. Les 50 millions de dollars volés avaient également été initialement retirés de Binance avant que l'arnaque ne se produise. Notamment, les USDT volés ont depuis été convertis en ETH par les attaquants et répartis entre plusieurs portefeuilles, qui ont également blanchi une partie du butin via Tornado Cash.
La Victime de l'Empoisonnement d'Adresse Offre une Prime Avec un Ultimatum de 48 Heures
Dans d'autres nouvelles, l'enquêteur blockchain Specter Analyst rapporte que la victime a tenté d'établir une communication avec les attaquants via un message sur la chaîne.
Selon un post sur X du 20 décembre, la victime affirme avoir déposé une plainte pénale tout en sollicitant les services des autorités policières, de la cybersécurité et des protocoles blockchain concernés pour fournir les renseignements nécessaires sur les activités de l'arnaqueur. De plus, les six adresses associées au vol sont maintenant sous surveillance constante. Cependant, la partie lésée offre aux auteurs de l'empoisonnement d'adresse une résolution pacifique, qui implique la restitution volontaire de 98 % du butin à une adresse spécifiée dans un délai de 48 heures.
Notamment, la victime permettra aux malfaiteurs de garder 1 million de dollars comme prime (bug bounty) pour avoir repéré une telle vulnérabilité dans leurs opérations. Cependant, elle avertit que le fait de ne pas accepter l'offre amiable dans le délai imparti entraînera une escalade juridique de l'affaire auprès des autorités internationales d'application de la loi. Elle avertit en outre que les identités des attaquants seront révélées et partagées avec les agences concernées pour faciliter leur arrestation et leur poursuite. Au moment de la rédaction, les pertes totales en crypto en 2025 ont dépassé 3,4 milliards de dollars, soulignant la nécessité de mesures de sécurité continuellement renforcées au sein de l'écosystème florissant.
