50 millions de dollars de pertes : méfiez-vous des attaques par poisoning d'adresse, il faut réfléchir à deux fois avant de trader

Récemment, nous avons assisté à un autre incident de sécurité choquant. Un trader de cryptomonnaies a été intercepté par un script automatisé, et 50 millions de dollars en USDT ont été instantanément effacés de son compte.

Voici ce qui s’est passé : la victime a fait la chose habituelle en envoyant une transaction test de 50 $ pour confirmer l’adresse. Mais les méchants attendent depuis longtemps dans l’ombre. Leur script génère une fausse adresse « normale » immédiatement après la transaction, qui peut être facilement copiée-collée dans l’historique.

Ce qui suit, c’est la tragédie. La victime a copié cette fausse adresse à partir du registre de la transaction et a directement versé 49 999 950 USDT. Tu as bien lu, c’était un moment exceptionnel. L’assaillant s’est immédiatement mis à tourner en rond après avoir mis ses mains : d’abord converti des USDT en DAI, puis environ 16 680 ETH, puis finalement transféré à Tornado Cash et a complètement disparu.

Maintenant, la victime propose une récompense d’un million de dollars pour récupérer 98 % des pertes et a déposé une plainte pénale. Mais pour être honnête, une fois qu’on se met dans un mélangeur à pièces comme Tornado Cash, c’est essentiellement chercher une aiguille dans une botte de foin.

Cet incident a tiré la sonnette d’alarme pour tout le monde. Peu importe la taille du montant, vérifiez à nouveau l’adresse avant de transférer, il est préférable d’utiliser la fonction favoris du portefeuille classique, et ne soyez pas paresseux pour le copier directement depuis l’historique. Fais attention, c’est le dernier mot.