Attaques par empoisonnement d'adresse crypto : comment détecter et prévenir l'usurpation d'adresse de portefeuille
Analyse détaillée de trois techniques courantes d'empoisonnement d'adresse crypto — transferts à valeur zéro, transferts de poussière et transferts de faux jetons — ainsi que des mesures pratiques pour identifier les adresses usurpées et protéger vos actifs numériques.
En mai 2024, un utilisateur de cryptomonnaies effectuait un virement de routine. Par habitude, il a ouvert l'historique des transactions de son portefeuille et copié une adresse qui « semblait parfaitement correcte ». Quelques minutes plus tard, 710 000 $ en WBTC avaient été envoyés à une adresse soigneusement contrefaite par un escroc. Les 6 premiers et 6 derniers caractères correspondaient parfaitement à l'adresse réelle, mais les caractères intermédiaires étaient entièrement différents. Quand l'utilisateur a remarqué l'anomalie, les fonds avaient depuis longtemps disparu.
Ce n'est pas un cas isolé. Selon l'analyse des données on-chain, les attaques par empoisonnement d'adresse (Address Poisoning Attack) ont causé des pertes dépassant plusieurs centaines de millions de dollars rien qu'en 2024. Si cette méthode est si efficace, c'est parce qu'elle n'exploite aucune faille technique — elle tire parti des habitudes humaines.
Qu'est-ce qu'une attaque par empoisonnement d'adresse ?
L'empoisonnement d'adresse, ou Crypto Address Poisoning, est une attaque d'ingénierie sociale ciblant les habitudes de transaction des utilisateurs de cryptomonnaies. L'attaquant ne pirate pas votre portefeuille et ne vole pas votre clé privée. Il envoie des transactions spéciales à votre portefeuille pour injecter une fausse adresse très similaire à celle que vous utilisez régulièrement dans votre historique de transactions.
Le mécanisme est simple :
- Surveillance des transactions on-chain : L'attaquant utilise des explorateurs de blockchain ou des scripts dédiés pour surveiller les transferts importants entre portefeuilles actifs.
- Génération d'une adresse similaire : À l'aide d'outils de génération d'adresses, il crée une nouvelle adresse dont les premiers et derniers caractères correspondent étroitement à l'adresse cible.
- Pollution de l'historique : Il envoie des transactions de valeur nulle ou de montants infimes depuis la fausse adresse vers le portefeuille cible, la faisant apparaître dans l'historique.
- Attente de la victime : Lors du prochain virement, si l'utilisateur copie l'adresse depuis l'historique plutôt que depuis son carnet d'adresses, il risque de copier celle de l'attaquant.
Point essentiel : Cette attaque ne compromet aucun actif de votre portefeuille. Vos fonds, clés privées et phrase de récupération restent en sécurité. L'attaquant parie que vous ne vérifierez pas chaque caractère de l'adresse complète lors de la copie.
Comment les attaquants génèrent des adresses similaires
Les adresses Ethereum comportent 42 caractères (préfixe « 0x » inclus), et les adresses Bitcoin en comptent généralement 26 à 35. La plupart des utilisateurs ne vérifient que les premiers et derniers caractères. Les attaquants exploitent précisément cette habitude.
Générateurs de Vanity Address
Les attaquants utilisent des générateurs de vanity address (adresses personnalisées), qui calculent par force brute des clés privées correspondant à des préfixes et suffixes spécifiques. Par exemple :
- Adresse réelle :
0x1a2B...3c4D(30 caractères omis au milieu) - Adresse falsifiée :
0x1a2B...3c4D(les 4 premiers et 4 derniers identiques, milieu différent)
Plus le nombre de caractères correspondants est élevé, plus le temps de génération augmente, mais le coût reste faible :
| Caractères correspondants | Temps estimé | Niveau de risque |
|---|---|---|
| 4 premiers + 4 derniers | Minutes | Extrêmement élevé |
| 6 premiers + 6 derniers | Heures | Élevé |
| 8 premiers + 8 derniers | Jours à semaines | Modéré |
Avec la puissance GPU disponible aujourd'hui, faire correspondre les 6 premiers et 6 derniers caractères ne coûte presque rien à l'attaquant. Si vous ne vérifiez que les premiers et derniers caractères, il est pratiquement impossible de distinguer le vrai du faux.
Trois techniques courantes d'empoisonnement d'adresse
1. Transferts de tokens à valeur nulle (Zero-value Transfer)
C'est actuellement la méthode d'empoisonnement la plus répandue et la plus discrète. Les attaquants exploitent une particularité de la fonction transferFrom des contrats ERC-20 pour initier des transferts à valeur nulle sans détenir aucun token.
Explication technique : Dans le standard ERC-20, la fonction transferFrom ne vérifie ni les soldes ni les autorisations lorsque le montant est nul. N'importe qui peut donc initier un transfert de valeur nulle au nom de n'importe quelle adresse, en ne payant qu'une faible commission de gas.
Effet concret : Une transaction apparaît soudainement dans votre historique indiquant « Vous avez envoyé 0 USDT à [une adresse] ». Cette adresse a les mêmes premiers et derniers caractères que votre véritable destinataire, mais appartient en réalité à l'attaquant.
En 2023, les attaques par transfert à valeur nulle ont représenté près de 10 % de toutes les transactions sur le réseau Ethereum à leur pic, polluant gravement les données on-chain et les interfaces des portefeuilles.
2. Transferts de poussière (Dust Transfer)
Similaire aux transferts à valeur nulle, mais l'attaquant envoie une quantité infime de vrais tokens (généralement moins de 0,01 $) à l'adresse cible.
Caractéristiques :
- Le montant est faible mais non nul, il s'affiche normalement dans tous les portefeuilles
- La transaction est légitime et ne peut pas être facilement filtrée
- L'attaquant envoie depuis l'adresse falsifiée similaire, la faisant apparaître dans les « réceptions récentes »
- La victime peut la confondre avec une transaction d'un interlocuteur connu
Scénario typique : Vous recevez 0,001 USDT d'une adresse qui ressemble à votre adresse habituelle de retrait d'exchange. La prochaine fois, vous copiez cette adresse « apparemment identique » — mais les fonds partent vers le portefeuille de l'attaquant.
3. Transferts de faux tokens (Fake Token Transfer)
Cette technique est encore plus sournoise. L'attaquant déploie son propre contrat ERC-20 portant le même nom qu'un token connu, puis l'utilise pour envoyer des tokens à la cible.
Fonctionnement :
- L'attaquant crée un faux contrat nommé « USDT » ou « USDC »
- Il envoie des faux tokens depuis l'adresse falsifiée
- Dans l'historique, la transaction ressemble à un transfert normal de USDT/USDC
- Seule une vérification minutieuse de l'adresse du contrat révèle la supercherie
Impact : Les transferts de faux tokens sont visuellement plus trompeurs car ils affichent un montant réel, rendant la transaction plus « crédible ».
Comment identifier les attaques par empoisonnement d'adresse
Vérifiez toujours l'adresse complète
C'est la mesure de protection la plus importante. Ne vous contentez pas des premiers et derniers caractères. Vérifiez au moins les 10 premiers et 10 derniers caractères avant de confirmer un virement.
- Mauvaise pratique : Voir
0x1a2B...3c4Det considérer l'adresse comme correcte - Bonne pratique : Comparer chaque segment de
0x1a2B7E8f9D...5A6b3c4D
Ne copiez jamais d'adresses depuis l'historique des transactions
Ne copiez jamais une adresse depuis l'historique de votre portefeuille pour un nouveau virement. L'historique est le terrain de jeu principal des attaques d'empoisonnement.
Sources d'adresses fiables :
- Le carnet d'adresses intégré de votre portefeuille
- La page d'adresse de dépôt sur le site officiel de l'exchange (à récupérer à chaque fois)
- Des adresses préalablement vérifiées et sauvegardées en lieu sûr
Méfiez-vous des petites réceptions inhabituelles
Si vous recevez soudainement un montant minuscule de tokens d'une adresse inconnue (surtout des stablecoins comme USDT ou USDC) ressemblant fortement à l'une de vos adresses habituelles, il s'agit presque certainement d'une attaque d'empoisonnement.
Utilisez l'outil de vérification ScamLens
Avant tout virement important, utilisez l'outil de vérification d'adresses crypto de ScamLens pour vérifier la sécurité de l'adresse de destination. ScamLens intègre des bases de données de sécurité dont GoPlus, Etherscan et OpenSanctions.
ScamLens propose également une fonction dédiée de détection d'empoisonnement d'adresse qui analyse si une adresse a été créée via un générateur de vanity address à des fins malveillantes.
Mesures de prévention complètes
Utilisez le carnet d'adresses de votre portefeuille
Quasiment tous les portefeuilles majeurs offrent une fonction de carnet d'adresses ou de contacts. Lors de votre premier transfert vers une nouvelle adresse, après avoir confirmé qu'elle est correcte, enregistrez-la avec un libellé clair. Tous les virements ultérieurs doivent être initiés depuis le carnet d'adresses.
Activez la liste blanche
La plupart des exchanges centralisés (Binance, OKX, Coinbase) proposent une liste blanche de retrait :
- Une fois activée, les retraits ne sont possibles que vers des adresses pré-approuvées
- L'ajout d'une nouvelle adresse nécessite une vérification par e-mail et 2FA, plus un délai de 24 heures
- Même si votre compte est compromis, l'attaquant ne peut pas retirer immédiatement vers une adresse inconnue
Effectuez un virement test
Avant un transfert important, envoyez d'abord un montant minime (par exemple, 1 USDT) comme test. Une fois la réception confirmée, procédez au virement complet.
Protection supplémentaire avec les portefeuilles matériels
Si vous utilisez un portefeuille matériel comme Ledger ou Trezor, vérifiez l'adresse complète caractère par caractère sur l'écran du dispositif lors de la confirmation.
Utilisez ENS et autres systèmes de noms de domaine
L'Ethereum Name Service (ENS) permet d'associer une adresse complexe de 42 caractères à un nom lisible (comme alice.eth). Cependant, vérifiez toujours que l'adresse résolue est correcte.
Mécanismes de protection des principaux portefeuilles
MetaMask
- Depuis fin 2023, signale automatiquement les transferts suspects à valeur nulle dans l'historique
- Affiche des avertissements pour les nouvelles adresses similaires aux adresses historiques de l'utilisateur
- Option « Masquer les transferts de tokens à valeur nulle » dans les paramètres
Trust Wallet
- Filtrage intégré de l'historique pour masquer les transferts suspects
- Signalement et filtrage des transferts de faux tokens provenant de contrats malveillants connus
Etherscan
- Étiquettes « Warning: Address Poisoning » sur les transferts à valeur nulle et les transactions d'empoisonnement connues
- Option de filtre pour masquer les transferts à valeur nulle
- Mise en évidence des adresses suspectes aux caractères similaires
OKX Web3 Wallet
- API de détection de risque d'adresse intégrée vérifiant automatiquement l'adresse du destinataire
- Avertissements d'interception visibles pour les adresses à haut risque
Remarque : Même si votre portefeuille dispose de ces protections, ne vous y fiez pas entièrement. Adopter de bonnes habitudes reste votre ligne de défense la plus fondamentale.
Que faire si vous êtes victime
1. Évaluez l'étendue des pertes
- Vérifiez les détails sur un explorateur de blockchain (Etherscan, BscScan, etc.)
- Tracez le flux des fonds
- Notez tous les hashes de transactions pertinents
2. Contactez l'exchange immédiatement
Si les fonds ont été envoyés à une adresse d'exchange centralisé, contactez immédiatement le support et l'équipe de sécurité avec des preuves complètes et demandez le gel des fonds.
3. Utilisez le traçage de fonds ScamLens
Le service de traçage de fonds crypto de ScamLens fournit une analyse professionnelle des flux on-chain sur 18 blockchains, avec génération de rapports forensiques utilisables pour les forces de l'ordre.
4. Signalez à la communauté
- Signalez l'adresse malveillante sur ScamLens
- Publiez des avertissements sur les communautés pertinentes (Twitter/X, Discord, Telegram)
- Signalez l'adresse à l'équipe de développement du portefeuille
5. Déposez plainte
- Déposez plainte auprès des services de cybercriminalité de votre pays
- Préparez une chaîne de preuves complète
Points clés à retenir
L'empoisonnement d'adresse est une arnaque à faible coût technique et à haut rendement exploitant les habitudes humaines. S'en protéger ne nécessite pas de connaissances techniques poussées, mais quelques habitudes simples et essentielles :
- Ne copiez jamais d'adresses depuis l'historique des transactions — c'est le seul point d'entrée de l'attaque
- Sauvegardez les adresses vérifiées dans votre carnet d'adresses — initiez tous les virements depuis celui-ci
- Effectuez un virement test avant les gros montants — une commission de gas supplémentaire coûte bien moins qu'une perte totale
- Vérifiez l'adresse complète, pas seulement le début et la fin — au moins les 10 premiers et 10 derniers caractères
- Activez la liste blanche de l'exchange — éliminez systématiquement toute possibilité d'envoi vers des adresses inconnues
- Utilisez des outils de sécurité — ScamLens permet de vérifier rapidement la sécurité d'une adresse avant tout transfert
Dans le monde des cryptomonnaies, chaque transaction est irréversible. Prendre 30 secondes pour vérifier une adresse peut vous épargner des dizaines, voire des centaines de milliers de dollars. Les bonnes habitudes de sécurité ne sont pas un fardeau — elles sont votre protection la plus précieuse dans le monde décentralisé.
Articles connexes
Signaux d'alerte des contrats intelligents : comment repérer un rug pull avant qu'il ne se produise
Comment les escrocs utilisent plusieurs portefeuilles — et comment les relier
Comprendre les scores de risque crypto : qu'est-ce qui rend un portefeuille suspect ?
Chrome AI Favoris
Gestionnaire de favoris IA avec détection de sécurité web. Résumé automatique, catégorisation intelligente, synchronisation cloud — alertes instantanées pour les sites suspects.
Disponible sur le Chrome Web Store. Compatible avec tous les navigateurs Chromium.