Un trader a perdu près de 50 millions USD dans l'une des plus grandes attaques de poisoning d'adresse de l'histoire.

Un trader de cryptomonnaie a subi une perte de près de 50 millions USD après être devenu la victime d'une attaque de poisoning d'adresse sophistiquée – considérée comme l'un des plus grands incidents individuels jamais enregistrés. Cet incident montre que même les utilisateurs expérimentés peuvent être battus par de très petites erreurs dans la manipulation de leur portefeuille. Après l'incident, la victime a envoyé un message directement sur la blockchain, offrant une récompense de 1 million USD à quiconque aide à récupérer les actifs, tout en confirmant qu'elle a déposé une plainte pénale. Cependant, à ce jour, la totalité de la somme n'a pas encore été récupérée. Évolution de l'attaque par empoisonnement d'adresse L'incident s'est produit vers le 20/12/2025, exploitant une habitude extrêmement répandue dans la communauté crypto : copier l'adresse du portefeuille à partir de l'historique des transactions au lieu de la vérifier auprès d'une source fiable. Le processus d'attaque se déroule selon les étapes suivantes : La victime effectue une étape de sécurité familière : elle teste l'envoi de 50 USDT vers une adresse de réception valide. Juste après, l'attaquant active un script automatisé. Une adresse de portefeuille contrefaite est créée avec les mêmes caractères de début et de fin que l'adresse réelle. Cette adresse contrefaite envoie une très petite transaction au portefeuille de la victime, ce qui la fait apparaître dans l'historique des transactions. Lorsque le trader effectue la transaction principale, d'environ 50 millions USDT, il a par erreur copié l'adresse contrefaite depuis l'historique, croyant que c'était l'adresse vérifiée auparavant. Une simple opération de copier-coller erronée, tous les actifs ont été directement transférés entre les mains de l'attaquant. Blanchiment d'argent rapide pour effacer les traces Dès qu'il a reçu la somme d'argent colossale, l'attaquant agit de manière extrêmement rapide et organisée : USDT est converti en DAI – un stablecoin qui ne peut pas être gelé. Ensuite, DAI est échangé contre environ 16 680 ETH. La majeure partie de ces ETH est transférée via Tornado Cash, un service de mélange d'argent visant à obscurcir le flux de transactions et à compliquer la traçabilité on-chain. Cette chaîne d'actions presque élimine la possibilité de récupérer des actifs par des méthodes d'enquête blockchain conventionnelles. Récompense On-Chain et Menace Juridique Dans une ultime tentative de sauver la situation, la victime a envoyé un message direct sur la blockchain à l'attaquant : Proposition de remboursement de 98% des actifs volés. Permettre à l'attaquant de conserver 1 million USD comme une “prime de chapeau blanc”. Avertissement : si aucune réponse n'est reçue dans les 48 heures, l'affaire sera intensifiée et coordonnée avec les agences d'application de la loi internationales. Cependant, jusqu'à présent, il n'y a eu aucun retour public, et les actifs n'ont pas encore été restitués. Pourquoi le poisoning d'adresse est-il extrêmement dangereux ? Le poisoning d'adresse est dangereux car il s'attaque à l'habitude de vérification visuelle des utilisateurs : La plupart des portefeuilles n'affichent qu'une partie de l'adresse. Les utilisateurs ne comparent souvent que les premiers et les derniers caractères. Un attaquant n'a besoin que de créer une adresse “similaire” pour tromper. Cette affaire montre que : le poisoning d'adresse n'est plus une simple perturbation, mais est devenu une forme d'attaque capable d'épuiser les actifs à une échelle organisationnelle. Comment prévenir le poisoning d'adresse Les experts en sécurité recommandent : Vérifiez toujours l'intégralité de l'adresse du portefeuille, caractère par caractère, en particulier pour les grosses transactions. Utilisez le carnet d'adresses dans le portefeuille pour les adresses fréquentes, évitez de copier à partir de l'historique des transactions. Soyez vigilant face aux petites transactions inhabituelles provenant d'adresses inconnues ou d'adresses “semblables”. Privilégiez un portefeuille matériel (hardware wallet) qui affiche l'intégralité de l'adresse sur un écran séparé, obligeant l'utilisateur à vérifier manuellement avant de signer la transaction. Conclusion L'incident de la perte de près de 50 millions USD est un avertissement sévère pour l'ensemble de la communauté crypto : une seule opération imprudente peut mener à une catastrophe irréversible. Dans un monde décentralisé : Pas de remboursementPas de support clientPas d'opportunité de corriger les erreurs Ralentir quelques secondes pour vérifier peut être la frontière entre une transaction normale et une perte de dizaines de millions USD.