Un utilisateur de crypto a perdu 50 millions de dollars en USDT après avoir été victime d’une escroquerie par empoisonnement d’adresse lors d’un exploit massif en chaîne.
Le vol, repéré par la société de sécurité Web3 Web3 Antivirus, s’est produit après que l’utilisateur a envoyé une transaction test de 50 $ pour confirmer l’adresse de destination avant de transférer le reste des fonds.
Chargement…
En quelques minutes, un escroc a créé une adresse de portefeuille qui ressemblait beaucoup à la destination, faisant correspondre le premier et le dernier caractères, sachant que la plupart des portefeuilles abrègent les adresses et n’affichent que les préfixes et les suffixes.
L’escroc a ensuite envoyé à la victime une petite quantité de « poussière » pour empoisonner son historique de transactions. Croyant apparemment que l’adresse de destination était légitime et correctement saisie, la victime a copié l’adresse de son historique de transactions et a fini par envoyer 49 999 950 USDT à l’adresse de l’escroc.
Ces petites transactions de poussière sont souvent envoyées à des adresses possédant de grandes propriétés, empoisonnant les historiques de transactions dans le but de surprendre les utilisateurs dans des erreurs de copier-coller, comme celle-ci. Les robots effectuant ces transactions ratissent large, dans l’espoir de réussir, ce qu’ils ont obtenu dans ce cas.
Les données de la blockchain montrent que les fonds volés ont ensuite été échangés contre de l’éther et déplacé sur plusieurs portefeuilles. Plusieurs adresses impliquées ont depuis interagi avec Tornado Cash, un mélangeur crypto sanctionné, dans le but de brouiller la piste des transactions.
En réponse, la victime a publié un message en chaîne exigeant la restitution de 98 % des fonds volés dans les 48 heures. Le message, appuyé par des menaces juridiques, offrait à l’attaquant 1 million de dollars à titre de prime au chapeau blanc si les actifs étaient restitués dans leur intégralité.
Le non-respect, prévient le message, déclenchera une escalade judiciaire et des poursuites pénales.
« C’est votre dernière opportunité de résoudre cette affaire de manière pacifique », a écrit la victime dans le message. « Si vous ne vous conformez pas : nous ferons remonter l’affaire par les voies légales internationales chargées de l’application des lois. »
L’empoisonnement d’adresse n’exploite aucune vulnérabilité du code ou de la cryptographie, mais tire plutôt parti des habitudes des utilisateurs, à savoir le recours à une correspondance partielle d’adresses et à un copier-coller à partir de l’historique des transactions.
Share this content: