Escroquerie de 24 Millions USD Exposant le Piège Subtil dans l'Histoire des Transactions

Le marché des cryptomonnaies a récemment enregistré une nouvelle perte stupéfiante. Environ 24 millions de dollars en stablecoins ont disparu d’un portefeuille lié au KOL crypto Sillytuna, après que la victime ait été piégée par une technique d’empoisonnement d’adresse — une escroquerie apparemment simple mais de plus en plus efficace dans l’écosystème DeFi.

Selon une enquête de la société de sécurité blockchain PeckShield, l’adresse de portefeuille 0xd2e8…ca41 a été vidée d’environ 24 millions de dollars en aEthUSDC après une transaction effectuée par erreur vers l’adresse de l’attaquant. Ce qui est remarquable, c’est que cette transaction ne constitue pas une attaque complexe, mais résulte d’une erreur très stupide : la copie incorrecte de l’adresse du portefeuille.

L’empoisonnement d’adresse ne exploite pas une faille de la blockchain, il cible directement la psychologie humaine. L’attaquant crée une adresse de portefeuille dont la chaîne de caractères au début et à la fin est très similaire à celle de la victime. Ensuite, il envoie de petites transactions à l’adresse ciblée. Ces transactions font apparaître l’adresse falsifiée dans l’historique des transactions de la victime. Le problème survient lorsque l’utilisateur doit envoyer de l’argent lors de la prochaine transaction. Au lieu de copier l’adresse depuis une source fiable, beaucoup la copient rapidement depuis l’historique, où l’adresse falsifiée est déjà intégrée. Une seule erreur suffit pour que l’intégralité des fonds soit transférée directement dans le portefeuille de l’attaquant. Dans le cas de Sillytuna, cette erreur a coûté 24 millions de dollars.

L’analyse on-chain montre que le hacker n’a pas encore procédé à un blanchiment immédiat. Environ 20 millions de dollars en DAI restent actuellement dans deux portefeuilles intermédiaires contrôlés par l’attaquant. L’absence de transfert vers des mixers ou des services d’anonymisation indique que le hacker pourrait fragmenter les fonds avant de les disperser sur plusieurs chaînes.

Une petite partie des fonds a déjà été bridgée vers la couche 2 Arbitrum, une étape courante avant que l’argent ne soit dispersé via des protocoles DeFi, DEX ou ponts cross-chain pour brouiller les pistes.

La victime a annoncé offrir une récompense de 10 % du montant récupéré à toute personne ou plateforme aidant à la traçabilité et à la récupération des fonds. Cette offre est même étendue à ceux qui ont participé à l’incident, à condition qu’ils aident à restituer l’argent volé.

Au cours des dernières années, les techniques d’empoisonnement d’adresse ont connu une forte croissance, en raison de trois caractéristiques qui les rendent attrayantes pour les hackers : coût très faible (il suffit d’envoyer quelques transactions dust), difficulté de détection (les adresses falsifiées ressemblent beaucoup aux véritables) et taux de réussite élevé, notamment auprès des traders réguliers. Même les traders expérimentés peuvent tomber dans le piège, comme dans cet incident.

Fin 2022, un cas similaire a également fait grand bruit. Un utilisateur a perdu près de 50 millions d’USDT après avoir transféré par erreur des fonds vers l’adresse d’un escroc. Cet incident est considéré par les analystes comme l’une des plus grandes escroqueries on-chain jamais enregistrées.

Face à l’imprévisibilité des hacks, les experts en sécurité recommandent aux utilisateurs de ne jamais copier une adresse depuis l’historique de transactions, de vérifier l’intégralité de l’adresse (pas seulement les premiers et derniers caractères), d’utiliser une whitelist pour les transferts importants, et de vérifier chaque transaction sur un portefeuille matériel ou en s’assurant que tous les paramètres sont corrects avant de confirmer.