$50M USDT Perdu dans une escroquerie de poisoning d'adresse sur la chaîne

Source : CryptoTale Titre Original : $50M USDT Perdus dans une escroquerie par empoisonnement d’adresse en chaîne Lien Original : https://cryptotale.org/50m-usdt-lost-in-address-poisoning-on-chain-scam/

• Un $50M USDT a été perdu après qu’un utilisateur a copié une adresse de portefeuille empoisonnée dans l’historique des transactions.
• L’escroquerie reposait sur des transferts de poussière et des adresses ressemblantes, et non sur une faille de protocole.
• Charles Hoskinson a déclaré que les modèles de blockchain basés sur des comptes permettent des risques d’empoisonnement d’adresse.

Un utilisateur de cryptomonnaie victime d’une escroquerie par empoisonnement d’adresse a perdu près de $50 million en USDT. L’exploitation a eu lieu via une série de transactions en chaîne et a été finalement découverte par une société de sécurité blockchain. Le cas se distingue par l’ampleur de la perte et l’absence de toute faille de protocole ou d’exploitation de smart contract impliquée.

Le vol a été détecté pour la première fois par Web3 Antivirus, qui a signalé un comportement transactionnel anormal. Selon les données en chaîne, la victime a accidentellement envoyé 49 999 950 USDT à un portefeuille d’un hacker. Le paiement a été précédé d’un petit paiement de test pour confirmer l’adresse de destination. La dernière transaction a été effectuée vers un autre portefeuille.

Hoskinson compare les chaînes basées sur des comptes avec les systèmes UTXO

L’incident a suscité des commentaires de Charles Hoskinson. Il a déclaré que de telles pertes sont étroitement liées aux modèles de blockchain basés sur des comptes. Ces systèmes s’appuient sur des adresses persistantes et des historiques de transactions visibles. Cette structure permet aux attaquants de manipuler ce que voient les utilisateurs lors de la copie d’adresses.

Hoskinson a mis en contraste cela avec les blockchains basées sur UTXO telles que Bitcoin et Cardano. Dans ces systèmes, les transactions consomment et créent des sorties discrètes. Les portefeuilles construisent des paiements à partir de sorties spécifiques plutôt que d’utiliser des points de terminaison de compte réutilisés. Un historique d’adresses persistant pour empoisonner n’existe pas sous cette forme.

Le portefeuille de la victime était actif depuis environ deux ans et était principalement utilisé pour des transferts USDT. Peu après que des fonds ont été retirés d’une grande plateforme, le portefeuille a reçu près de $50 million. L’utilisateur a envoyé une transaction de test $50 à la destination prévue. Quelques minutes plus tard, le solde restant a été transféré en utilisant une adresse incorrecte.

Les enquêteurs affirment que l’escroc avait anticipé ce comportement. Après le transfert de test, l’attaquant a généré une nouvelle adresse de portefeuille conçue pour ressembler étroitement à la destination légitime. Le premier et le dernier caractère étaient identiques. Comme de nombreux portefeuilles raccourcissent les adresses dans l’historique des transactions, l’adresse frauduleuse apparaissait visuellement similaire à la vraie.

Comment l’empoisonnement d’adresse a utilisé des transferts de poussière pour voler $50M

Pour renforcer la tromperie, l’attaquant a envoyé une petite transaction de poussière au portefeuille de la victime. Cette action a inséré la fausse adresse dans l’historique des transactions. Lorsque l’utilisateur a ensuite copié l’adresse à partir d’une activité précédente, l’entrée empoisonnée a été sélectionnée. Les fonds ont ensuite été transférés directement au portefeuille de l’attaquant sans vérification supplémentaire.

Les escroqueries par empoisonnement d’adresse opèrent à grande échelle. Des bots automatisés distribuent des transactions de poussière à des portefeuilles détenant de gros soldes. L’objectif est d’exploiter les habitudes de copier-coller lors de futurs transferts. La plupart des tentatives échouent. Cependant, une seule erreur peut entraîner une perte importante, comme le démontre ce cas.

Les enregistrements de la blockchain montrent que l’USDT volé a été rapidement échangé contre de l’Ether sur le réseau Ethereum. Les actifs ont ensuite été déplacés via une série de portefeuilles intermédiaires. Plusieurs de ces adresses ont ensuite interagi avec Tornado Cash. Le mélangeur est couramment utilisé pour obscurcir les traces de transaction.

Le mouvement des fonds suggère un effort pour compliquer le suivi plutôt qu’une liquidation immédiate. Aucune récupération des actifs n’a été confirmée. L’attaquant n’a pas répondu publiquement. La surveillance des adresses concernées se poursuit via une analyse en chaîne.

Après l’incident, la victime a écrit une note en chaîne à l’attaquant. Le message exigeait que 98 % des fonds volés soient restitués dans les 48 heures. Il promettait $1 million en prime de chapeau blanc si les actifs étaient rendus en totalité. La communication menaçait également une escalade juridique et des poursuites pénales.

Les analystes en sécurité soulignent qu’il ne s’agissait pas d’une faille de protocole. Aucune sauvegarde cryptographique n’a été contournée. La perte résulte d’une conception d’interface combinée à des habitudes utilisateur courantes. Les escroqueries par empoisonnement d’adresse exploitent la correspondance partielle d’adresse et la dépendance à l’historique des transactions. En moins d’une heure, ces facteurs ont conduit à une perte de $50 million.