S'agit-il du plus grand vol par empoisonnement d'adresse jamais réalisé ? Un utilisateur affirme avoir perdu 71 millions de dollars en wBTC suite à une nouvelle arnaque Ethereum

Les derniers mois de 2024 ont donné l'impression d'un calme avant la tempête, avec beaucoup moins d'escroqueries, d'arnaques et d'exploitations de failles de sécurité qu'auparavant. Une nouvelle méthode de détournement de fonds se répand et touche des portefeuilles importants.

Cette faille de sécurité est connue sous le nom d'empoisonnement d'adresse. Elle consiste à envoyer des fonds vers des portefeuilles malveillants au lieu de leur destination initiale. Cette attaque affecte les utilisateurs DeFi et les traders décentralisés. 

Le plus gros vol affecte les Bitcoins enveloppés sur la blockchain Ethereum

Le dernier braquage en date a porté sur une somme estimée entre 68 et 71 millions de dollars en raison des fluctuations du marché. 

Le danger le plus grave de l'empoisonnement d'adresse réside dans le fait que toutes les adresses impliquées sont parfaitement valides et utilisables. Le plus souvent, un attaquant injecte l'adresse malveillante dans l'historique d'un utilisateur via des microtransactions.

L'utilisateur peut alors copier-coller l'adresse Ethereum sans la vérifier, pensant qu'il s'agit de l'adresse d'une plateforme d'échange ou d'un autre portefeuille. En définitive, l'exploitation de cette faille repose sur l'erreur humaine et l'omission de vérifier certains éléments de l'adresse. 

Les partisans desdentlisibles par l'homme ont également souligné que les noms ENS pourraient éviter la complexité de la comparaison des adresses. Cependant, même la comparaison des quatre premières et des quatre dernières lettres d'une adresse ne suffit parfois pas à éviter l'envoi de fonds à la mauvaise destination. 

L'exploit actuel ne ciblait même pas la fonction copier-coller, mais s'appuyait sur l'omission d'une adresse injectée dans l'historique du portefeuille. Une autre forme d'attaque par adresse empoisonnée, plus sophistiquée, utilise un portefeuille compromis qui génère des clés privées déjà connues de son créateur.

Des usurpateurs d'identité profitent de la dernière grande arnaque

La dernière attaque de grande ampleur a été exploitée par plusieurs individus sur les réseaux sociaux, qui semblent usurper l'identité de la véritable victime. Le propriétaire du portefeuille ne s'est pas manifesté de manière fiable, et nombreux sont ceux qui prétendent être le véritable propriétaire afin de promouvoir leurs jetons ou NFT. 

Le chercheur @Zachxbt reste sceptique, tout en restant vigilant face aux nouveaux escrocs : 

Cette faille de sécurité très médiatisée a été utilisée une fois de plus pour de faux concours, de NFT ou simplement pour gagner en visibilité pour une adresse de don.

Est-il possible de récupérer des fonds provenant d'adresses compromises ?

Toutes les transactions blockchain ne sont pas irréversibles. Actuellement, le propriétaire du portefeuille a contacté les pirates et leur propose une commission de 10 % en cas de restitution des fonds. Selon le protocole, les BTC encapsulés peuvent également donner lieu à un remboursement de la part des validateurs de blocs. 

À l'heure actuelle, rien ne prouve un transfert de fonds. 

Le piratage par empoisonnement d'adresse est-il un délit en série ?

Certains sceptiques considèrent ce récent vol comme une tentative de manipulation de l'engagement ou d'acquisition d'influence sur les réseaux sociaux. Les preuves restent insuffisantes pour tracjusqu'au propriétaire du portefeuille, bien que certains affirment être à l'origine du compte volé. 

Plus curieux encore, les fonds provenant de cette faille se sont retrouvés dans un groupe de portefeuilles lié à des vols de jetons antérieurs. 

Les jetons et actifs sur la Ethereum restent très transparents ; ce groupe de portefeuilles a donc été pointé du doigt pour « tentative de phishing ». Les fonds n’ont été ni envoyés à un service de mixage, ni à un protocole décentralisé, ni blanchis via des NFT.

L’arnaque par hameçonnage liée à la poussière est-elle de retour ? 

L'exploitation actuelle semble également être une résurgence de l' « phishing par poussière » , qui sévit depuis plus d'un an. Le mode opératoire est identique : les attaquants envoient de petites transactions à des portefeuilles bien garnis, leur faisant croire que les sommes proviennent d'adresses légitimes. 

Il arrive que l'attaquant génère une adresse dont les quatre premiers et les quatre derniers chiffres sont identiques. Pour éviter tout problème, il est fortement déconseillé de copier-coller des adresses depuis l'historique des transactions. Il est préférable de toujours obtenir l'adresse auprès d'une source fiable. 

Le réseau Ethereum et sa norme de jeton ne peuvent empêcher les transactions de type « dust », et toutes les adresses malveillantes ne peuvent pas être signalées.

Les développeurs proposent une solution de contournement utilisant des portefeuilles capables de comparer des parties aléatoires des chiffres et des lettres de l'adresse. Cela permettra d'éviter le problème de la vérification limitée aux caractères du début et de la fin de l'adresse. 

D'autres solutions consistent à utiliser une représentation visuelle de l'adresse afin d'éviter d'avoir à comparer de longues chaînes de caractères illisibles.