Copier-coller = ruine ? Un hacker a pêché 1,25 million avec 0,001 USDT, les enregistrements de transfert deviennent un piège mortel !

Selon un rapport de Cyvers Alerts daté du 3 novembre 2025, un incident d'attaque par empoisonnement d'adresse a entraîné des pertes importantes pour une victime qui a transféré par erreur plus de 1,2 million de dollars USDT sur une adresse contrôlée par l'attaquant, ce qui reflète la menace persistante des attaques par empoisonnement d'adresse dans le domaine des cryptomonnaies et un mode opératoire très similaire.

🚨 Détails de l'incident d'attaque

L'attaquant a d'abord envoyé une petite transaction de 0,001 USDT à l'adresse de la victime, ce qui est une technique typique de "poisonnement d'adresse", visant à induire en erreur la victime en créant de faux enregistrements de transaction, afin de les inciter à utiliser par erreur une adresse similaire contrôlée par l'attaquant lors de la copie de l'adresse. Quatre minutes après la transaction initiale, la victime a accidentellement transféré 1 256 000 USDT à l'adresse de l'attaquant. Les fonds sont restés dans le portefeuille de l'attaquant pendant 6 heures, probablement pour éviter les systèmes de surveillance en temps réel, puis l'attaquant a échangé les fonds contre d'autres actifs (comme de l'ETH ou des stablecoins) 30 minutes avant que l'incident ne soit rendu public, afin d'augmenter la difficulté de traçage et de gel. Ce processus d'attaque est fortement cohérent avec des cas historiques, exploitant à chaque fois la négligence des utilisateurs et la similarité des adresses pour escroquer.

🔍 Modèles courants d'attaques par empoisonnement d'adresse

L'empoisonnement d'adresse (Address Poisoning) est une attaque d'ingénierie sociale soigneusement conçue, dont le cœur réside dans l'utilisation de la transparence des transactions sur la blockchain. Les attaquants surveillent les activités sur la chaîne, identifient les adresses à haute valeur nette, puis génèrent des adresses de portefeuille très similaires aux caractères de début et de fin de l'adresse de la victime, et envoient des transactions de valeur nulle ou très faible (comme 0 USDT ou 0.001 USDT) pour polluer l'historique des transactions de la victime. Lorsque l'utilisateur effectue un transfert ultérieur, s'il ne vérifie pas soigneusement le hachage complet de l'adresse et se fie simplement à la comparaison des préfixes et des suffixes, il risque d'envoyer des fonds à l'adresse de l'attaquant. Ce type d'attaque présente une tendance à augmenter en 2025, par exemple, en février, un utilisateur a perdu 68 100 USDT en raison de méthodes similaires, et en mai, une adresse de baleine a été dupée deux fois en trois heures par la même adresse frauduleuse, totalisant 2,6 millions USDT.

⚠️ Les défis de sécurité derrière les attaques

L'attaque par empoisonnement d'adresse a révélé les multiples vulnérabilités du paysage actuel des cryptomonnaies. D'une part, les utilisateurs manquent de sensibilisation à la sécurité, surtout lorsqu'il s'agit de gros transferts, ce qui les amène à négliger la vérification complète des adresses en raison de la pression temporelle ou des défauts de conception de l'interface. D'autre part, la nature irréversible des transactions sur la chaîne rend difficile la récupération des fonds une fois transférés, tandis que les attaquants augmentent la complexité du suivi des fonds en échangeant des actifs entre chaînes (comme convertir USDT en ETH) ou en utilisant des plateformes DeFi pour mixer les fonds. Bien que certaines équipes de sécurité comme BlockSec puissent tenter de suivre les fonds inter-chaînes grâce à la technologie de "carte des flux de fonds sur toute la chaîne", la nature immédiate et anonyme des attaques rend la prévention plus importante que la remédiation.

🛡️ Suggestions de protection et de réponse pour les utilisateurs

Pour réduire ce type de risque, les utilisateurs doivent prendre des mesures de protection multicouches. Tout d'abord, avant toute transaction, il est impératif de vérifier manuellement la valeur hash complète de l'adresse du destinataire (et non seulement les premiers et derniers caractères), et d'utiliser la fonction de carnet d'adresses du portefeuille pour enregistrer les adresses courantes. Ensuite, activez les paramètres de délai de confirmation des transactions, en réservant une fenêtre de vérification secondaire pour les gros transferts. Pour les utilisateurs institutionnels, il est possible d'introduire un mécanisme de portefeuille multi-signatures, exigeant que plusieurs parties autorisées signent conjointement la transaction. En cas d'attaque, il est nécessaire de consigner immédiatement la valeur hash de la transaction, l'adresse de l'attaquant et d'autres informations via un explorateur de blockchain, et de contacter une société de sécurité (comme Cyvers Alerts ou BlockSec) pour tenter de geler les fonds. De plus, le partage par la communauté d'une liste noire d'adresses malveillantes peut également efficacement freiner la propagation de ce type d'attaque.

💎 Résumé et enseignements pour l'industrie

L'incident de perte de 1,256 millions de dollars met à nouveau en lumière les caractéristiques à faible coût et à haut retour des attaques par empoisonnement d'adresse. Avec l'augmentation de l'adoption des crypto-monnaies, ce type d'attaque pourrait continuer à cibler des utilisateurs individuels ou des institutions manquant d'expérience. L'industrie doit promouvoir des normes de vérification d'adresse de portefeuille plus strictes (comme l'affichage obligatoire de l'adresse complète ou l'intégration de plugins d'avertissement des risques) et renforcer l'éducation des utilisateurs, en soulignant le principe d'opération "vérification lente, annulation rapide". Ce n'est qu'en combinant la mise à niveau technique et l'élévation de la conscience que l'on pourra fondamentalement réduire l'espace de survie des attaques par empoisonnement.