Chainalysis découvre 82 000 portefeuilles liés à une escroquerie par empoisonnement d'adresses

L'empoisonnement d'adresse est une arnaque apparemment simple, mais qui peut toucher même les utilisateurs de cryptomonnaies expérimentés. Chainalysis a découvert jusqu'à 82 000 portefeuilles liés à une campagne ciblant les utilisateurs disposant de soldes élevés. 

L'empoisonnement d'adresses reste l'une des attaques les plus courantes et efficaces. Les blockchains publiques révèlent les portefeuilles présentant des soldestrac, et des bots les ciblent, misant sur une combinaison d'attaques technologiques et d'erreurs humaines. Les adresses empoisonnées sont créées rapidement, mais les pertes se répètent dès que la victime reprend ses activités sur la blockchain. Au cours des dernières 24 heures, une perte de 57 000 $ a été enregistrée suite à l'utilisation d'une adresse empoisonnée copiée dans l'historique des transactions. 

🚨💔 Il y a 42 minutes, une victime a perdu 57 000 $ en copiant la mauvaise adresse à partir d'un historique de transactions contaminé.

Remarque : Ne copiez jamais les adresses de l'historique des transactions. 🚫📋 pic.twitter.com/ypjn8iMOcO

— SOLUTION DE PROTECTION DES NIVEAUX. (@NodeGuard_Pro) 23 octobre 2024

Chainalysis a trac82 000 portefeuilles liés à des tentatives d'empoisonnement par envoi de faux jetons sans valeur. Cette escroquerie par empoisonnement d'adresse est similaire à l'attaque par jetons sans valeur, à la différence qu'elle implique la génération d'une adresse trompeuse. Des outils pour ces attaques sont également disponibles sur les marchés du darknet. 

L'attaque repose sur le fait que les utilisateurs ne vérifient pas suffisamment leurs adresses, en indiquant souvent des chiffres similaires au début et à la fin. Elle exploite les habitudes des utilisateurs de cryptomonnaies qui consistent à ne vérifier que les quatre premiers et les quatre derniers chiffres d'une adresse.

Parmi les arnaques aux faux jetons les plus courantes, on trouve les USDT, TRX ou MATIC, ou des versions contrefaites de ces jetons. Certaines de ces transactions copient également le montant précédemment utilisé, créant ainsi une entrée de portefeuille similaire. D'autres consistent à envoyer des jetons entièrement nouveaux sous forme aérien (airdrop). Le portefeuille lui-même n'est pas piraté lors de ce type d'attaque, et les fonds ne courent aucun risque lors de la réception de ces transactions d'amorçage.

Les arnaques aux adresses empoisonnées peuvent cibler même de petits soldes, mais ce type d'attaque a été à l'origine de l'une des plus importantes pertes de 2024. Des adresses empoisonnées ont réussi à soutirer 68 millions de dollars de Wrapped BTC (WBTC) à partir d'un seul portefeuille. 

Dans ce cas précis, l'escroc a par la suite restitué les fonds, après avoir empoché 3 millions de dollars grâce à la hausse du Bitcoin à cette époque. La victime l'a contacté via des microtransactions Ethereum , en lui envoyant des messages, ce qui a permis d'obtenir un remboursement intégral trois jours plus tard. 

Des adresses empoisonnées continuent de circuler sur Ethereum

Ce vol d'envergure a permis à Chainalysis de découvrir davantage d'adresses piratées. Au total, huit portefeuilles ont été impliqués dans le lancement de ces adresses frauduleuses lors d'une opération concertée et intensive. 

Chainalysis a découvert 82 031 adresses usurpées, qui ressemblent à des adresses légitimes. Ces nouvelles adresses empoisonnées représentaient près de 1 % de tous les nouveaux portefeuilles Ethereum créés durant la même période. 

Le réseau d'adresses empoisonnées a réussi à escroquer des utilisateurs expérimentés disposant de soldes importants. Au total, 2 774 portefeuilles ont envoyé des fonds vers ces adresses frauduleuses, détournant ainsi 69,72 millions de dollars. Ces portefeuilles contenaient jusqu'à 338 000 dollars, la plupart ne détenant que des sommes plus modestes, de l'ordre de 1 000 dollars. Les victimes étaient généralement des traders actifs et des utilisateurs Ethereum . 

Le vaste réseau d'adresses empoisonnées a connu un succès relativement limité. Parmi les portefeuilles ciblés, 756 ont été victimes de l'escroquerie, soit par une transaction test, soit par un montant inférieur à 100 dollars. Les transactions falsifiaient parfois même les portefeuilles des victimes. Dans ce cas, posséder une adresse ENS lisible par un humain pouvait atténuer le risque.

Des campagnes similaires ont eu lieu sur BinanceBinanceBinance BinanceBinanceBinanceBinance BinanceBinance équipe signale les transactions à valeur nulle et les adresses frauduleuses. Des cas d'adresses Toncoin (TON) empoisonnées ont également été signalés, les transactions à 0 TON servant d'appât.

Les escrocs blanchissent des fonds via DeFi et les plateformes d'échange

Bien que le plus gros butin, d'un montant de 68 millions de dollars, n'ait pas été blanchi efficacement, des sommes plus modestes ont pu être dissimulées et liquidées. Les escrocs ont utilisé des protocoles DeFi , puis des plateformes d'échange centralisées, pour effacer leurs tracet échanger les fonds initiaux. 

Certaines plateformes d'échange impliquées dans l'escroquerie étaient des marchés sans vérification d'identité (KYC) en Europe de l'Est, où la réglementation concernant l'origine des fonds était moins stricte. Les transferts vers une plateforme d'échange constituaient la dernière étape du parcours, après le mélange des fonds via des protocoles DeFi et des marchés décentralisés.

Les campagnes d'amorçage de portefeuilles sont généralement courtes, mais peuvent générer des gains considérables. Les explorateurs de blocs ont commencé à signaler les transactions frauduleuses, permettant ainsi aux utilisateurs de vérifier leur historique avant d'envoyer des fonds.