Comment un cryptotrader a perdu 50 millions grâce au tour le plus simple

L’histoire du 20 décembre montre à quel point même un trader en cryptomonnaies expérimenté peut être vulnérable face à une erreur humaine élémentaire. Un trader connu a perdu près de 50 millions de dollars en USDT en une seule transaction, devenant victime d’une attaque bien planifiée qui ne nécessitait aucun logiciel sophistiqué ni vulnérabilités zero-day. Au lieu de cela, l’attaquant a simplement exploité ce que font tous les traders quotidiennement : copier une adresse depuis l’historique des transactions.

Mécanisme de l’empoisonnement d’adresse : quand l’interface devient l’ennemi

L’attaque commence par une observation simple. L’analyste on-chain Specter a analysé le cas et en a révélé les détails : la victime a d’abord effectué une opération test de 50 USDT vers une adresse légitime. C’était une pratique standard avant un transfert important. Mais ce petit mouvement a été le signal pour l’attaquant.

Le fraudeur a immédiatement généré une fausse adresse personnalisée, qui correspondait aux quatre premiers et aux quatre derniers caractères de l’originale. À première vue, les adresses semblaient identiques — et ce n’était pas un hasard. La majorité des portefeuilles cryptographiques et des explorateurs blockchain affichent les adresses de façon abrégée : 0xBAF4…F8B5. Les trois points au milieu masquent la majorité des caractères, ce qui permettait à la fausse adresse de paraître comme une copie exacte.

Comment l’attaquant a “camouflé” la fausse adresse

L’étape suivante était particulièrement astucieuse. L’attaquant a envoyé une petite somme de cryptomonnaie depuis cette fausse adresse à la victime — une pratique connue sous le nom d’“empoisonnement” de l’historique des transactions. La fausse adresse est alors apparue dans la section des dernières opérations de la victime, aux côtés de l’adresse légitime.

Lorsque le trader a décidé de transférer la somme principale de 49 999 950 USDT, il a simplement copié l’adresse depuis le menu “Dernières opérations”, comme le font des millions d’utilisateurs, sans vérifier. Il n’a pas réalisé qu’il copiait la mauvaise adresse. L’interface l’a piégé.

De l’USDT à Tornado Cash : le parcours des actifs volés

Ensuite, tout s’est enchaîné rapidement. En moins de 30 minutes après l’attaque, une chaîne de conversions a commencé : près de 50 millions d’USDT ont été échangés contre du stablecoin DAI, puis convertis en environ 16 690 ETH. Finalement, les actifs ont été envoyés via Tornado Cash — un service de mixage de fonds populaire qui complique le traçage de l’origine des cryptomonnaies.

Conscient de la catastrophe, la victime désespérée a tenté la dernière ligne de défense : elle a envoyé un message on-chain à l’attaquant proposant une récompense “blanche” d’un million de dollars pour le retour de 98 % des fonds. C’était une tentative de négociation, mais au 21 décembre, cette stratégie n’a pas abouti. Les actifs sont restés en possession de l’arnaqueur.

Avis d’experts : comment cela a-t-il pu arriver ?

Specter a exprimé ses regrets profonds concernant cet incident, soulignant que le trader a perdu ses fonds “pour une raison qui aurait pu entraîner une perte aussi importante”. Lors d’un échange avec un autre chercheur, ZachXBT, il a insisté : “Une somme aussi énorme a été perdue à cause d’une erreur simple. Tout cela aurait pu être évité en quelques secondes si l’adresse avait été copiée depuis une source fiable, et non depuis l’historique des opérations.”

Cela révèle une ironie profonde : la compétence qui permet d’économiser du temps — copier depuis les dernières opérations — s’est avérée être le plus grand risque.

Comment protéger le trader : éviter de tomber dans la même piège

Les experts en sécurité soulignent qu’avec la montée en valeur des cryptomonnaies, ces attaques low-tech mais à forte rentabilité deviennent de plus en plus courantes. Ils recommandent aux traders de suivre quelques règles simples mais cruciales :

1. Toujours obtenir l’adresse depuis l’onglet “Recevoir”
Ne copiez pas depuis l’historique des opérations. Ce chemin est la plus grande embûche. L’onglet “Recevoir” garantit l’authenticité de l’adresse.

2. Ajouter les adresses de confiance à une liste blanche
La plupart des portefeuilles de qualité permettent de créer une liste blanche d’adresses pour des opérations répétées. Cela sert de protection contre les erreurs de saisie manuelle.

3. Utiliser des portefeuilles matériels avec vérification
Certains appareils exigent une confirmation physique de l’adresse complète avant l’envoi. Cela fournit un second niveau de vérification critique, difficile à contourner.

4. Vérifier l’adresse en entier, pas la version abrégée
Ne vous fiez pas aux premiers et derniers caractères. Ouvrez l’adresse en entier et vérifiez plusieurs caractères au milieu.

5. Effectuer des opérations test avec de petites sommes
Comme la victime avec 50 USDT, mais assurez-vous que l’adresse test est bien légitime avant de transférer la somme principale.

L’histoire de ce trader sert de rappel sévère : dans le monde des actifs numériques, où une erreur peut coûter des millions, la première ligne de défense n’est pas la technologie, mais la prudence humaine.