Une simple copie d’adresse fait perdre 50M à un investisseur

Une seule mauvaise manipulation s’est avérée extrêmement coûteuse, une simple erreur dans l’espace crypto a conduit à l’une des plus grandes pertes on-chain de 2025. Un utilisateur a accidentellement envoyé près de 50 millions de USDT à une adresse frauduleuse, mettant en lumière comment une simple erreur peut avoir d’énormes conséquences. La perte est issue d’une attaque d’empoisonnement d’adresse, une tactique où les escrocs trompent les utilisateurs pour qu’ils envoient des fonds à des portefeuilles malveillants. Dans ce cas, l’incident montre comment la dépendance à la commodité dans la gestion des adresses de portefeuille peut s’avérer extrêmement coûteuse.

Un Petit Transfert Test Conduit à une Perte de 50M de USDT

Un enquêteur on-chain Web3 Antivirus a partagé sur X que la victime a perdu 49 999 950 USDT après avoir involontairement copié une adresse de portefeuille frauduleuse depuis son historique de transactions. L’utilisateur avait d’abord effectué un petit transfert test vers ce qu’il pensait être la bonne adresse avant d’envoyer les 50 millions de dollars entiers quelques minutes plus tard. Alors que le transfert initial semblait inoffensif, il a préparé le terrain pour une perte significative.

EyeOnChain, un analyste on-chain, a expliqué que l’arnaque exploita la transaction test initiale de 50 USDT. L’attaquant créa ensuite un portefeuille presque identique à l’original, gardant les premiers et derniers caractères identiques tout en profitant des interfaces de portefeuille qui cachent la section du milieu par “…”. Lorsque la victime tenta plus tard d’envoyer les 49 999 950 USDT restants, elle copia l’adresse depuis l’historique des transactions au lieu de la vérifier manuellement. Faisant confiance aux caractères familiers de début et fin, l’utilisateur envoya sans le savoir la totalité au portefeuille de l’escroc. Cette suite d’événements en fait l’une des plus grandes pertes on-chain d’arnaque enregistrées cette année.

Peu de temps après avoir reçu les fonds volés, l’attaquant agi rapidement pour les dissimuler : en moins de 30 minutes, il échangea 50 millions de USDT contre des DAI via MetaMask Swap, convertit tous les DAI en 16 690 ETH, et déposa 16 680 ETH dans Tornado Cash, masquant ainsi les actifs efficacement.

La Réponse de la Victime et la Mécanique de l’Empoisonnement d’Adresse

Après la perte, la victime publia une alerte on-chain demandant que 98 % des fonds volés soient retournés dans les 48 heures, incluant des avertissements juridiques et offrant une récompense de 1 million de dollars pour un retour complet. L’analyse du portefeuille montra qu’il était actif depuis environ deux ans et gérait principalement des transferts de USDT, les fonds ayant été retirés de Binance peu avant l’incident.

Typiquement, l’empoisonnement d’adresse n’exploite pas des défauts dans les contrats intelligents ou la cryptographie. Il profite plutôt des comportements usuels des utilisateurs. Comment cela se produit-il alors ?

• L’escroc initie un petit transfert ou transfert poussière en utilisant un portefeuille qui ressemble étroitement au destinataire prévu, le rendant légitime à première vue.
• Cette adresse frauduleuse apparaît alors dans l’historique des transactions de la victime, se fondant parmi d’autres transactions passées et créant un faux sentiment de sécurité.
• Lorsque l’utilisateur copie cette adresse depuis son historique pour envoyer des fonds, il transfère par inadvertance les actifs à l’attaquant au lieu du destinataire correct.

Les risques illustrés par des cas comme celui-ci reflètent une augmentation plus large des attaques dans l’espace crypto. L’année 2025 a été particulièrement active pour les acteurs malveillants ciblant les plateformes crypto. Cointribune a rapporté que les piratages dans le secteur ont conduit à 3,4 milliards de dollars de pertes, marquant le total annuel le plus élevé depuis 2022. La majeure partie des dommages est venue d’un petit nombre de grandes attaques, avec seulement trois brèches constituant 69 % de la valeur totale volée.