Etherscan a émis un avertissement à ses utilisateurs après qu'une victime a reçu 89 courriels d'empoisonnement d'adresse en moins de 30 minutes suite à seulement deux transferts de stablecoins.
L'incident dent révélé publiquement par un utilisateur dent comme Nima sur X, a mis en lumière l'automatisation et l'ampleur des attaques dont ces campagnes sont devenues victimes sur Ethereum . Nima a indiqué que le flot d'alertes était dû à des transactions d'empoisonnement d'adresses, conçues spécifiquement pour insérer des adresses similaires dans l'historique de transactions de son portefeuille. Le but est d'inciter les utilisateurs à copier une mauvaise adresse lors de leurs prochains envois de fonds. « Beaucoup vont en être victimes », a-t-il averti.
Pourquoi Etherscan avertit-il les utilisateurs ?
Bien que l'empoisonnement d'adresse ne soit pas une stratégie nouvelle sur Ethereum, son ampleur actuelle a considérablement évolué. Les attaquants utilisent des systèmes automatisés pour créer des adresses dont les premiers et derniers caractères ressemblent à ceux d'adresses valides avec lesquelles un utilisateur a déjà interagi, après avoir surveillé l'activité de la blockchain à la recherche de portefeuilles actifs. Ces adresses fictives servent ensuite à effectuer des transferts de faible montant, presque sans valeur, qui apparaissent dans l'historique des transactions de la victime.
Les attaques par empoisonnement d'adresse deviennent incontrôlables. Je viens d'effectuer deux transactions en stablecoin et j'ai reçu plus de 89 e-mails d'alerte de surveillance d'adresses via Etherscan.
Il leur a fallu moins de 30 minutes pour créer tout cela sur le réseau principal.
Beaucoup en seront victimes. pic.twitter.com/H1nGaMMprE
– Nima 👁️ (@0xNimaRa) 13 février 2026
Un utilisateur peut envoyer de l'argent directement à un pirate s'il effectue un transfert et copie une adresse depuis son historique sans la vérifier attentivement. Selon une étude de 2025 portant sur l'activité entre juillet 2022 et juin 2024, on a dénombré environ 17 millions de tentatives d'empoisonnement sur la seule Ethereum , ciblant près de 1,3 million d'utilisateurs et causant des pertes confirmées d'au moins 79,3 millions de dollars.
Les transferts empoisonnés sont 1 355 % plus fréquents sur les blockchains aux frais de transaction plus faibles, comme BSC, que sur Ethereum. Sur Ethereum, le taux de réussite d'une tentative d'empoisonnement est d'environ 0,01 %. Quelques tentatives suffisent aux attaquants pour réussir, en envoyant des millions de transferts empoisonnés. Le coût de milliers de tentatives infructueuses peut être compensé par un seul transfert important atterrissant dans un portefeuille erroné.
La modernisation de Fusaka a rendu les attaques moins coûteuses
Activée le 3 décembre 2025, la mise à jour Fusaka a permis d'améliorer la scalabilité et de réduire les coûts de transaction Ethereum . Au cours des 90 jours suivant la mise à jour, Ethereum a traité en moyenne 30 % de transactions supplémentaires par jour par rapport aux 90 jours précédents, et le nombre de nouvelles adresses créées quotidiennement a augmenté d'environ 78 %.
Suite à l'affaire Fusaka, on a constaté une forte augmentation des transferts de « dust », une méthode courante pour les tentatives d'empoisonnement. Les transferts de « dust » d'USDT inférieurs à 0,01 $ ont augmenté de 612 %, passant de 4,2 millions à 29,9 millions. Les transferts de « dust » d'USDC ont quant à eux bondi de 473 %, passant de 2,6 millions à 14,9 millions. Les transferts de « dust » d'ETH et de DAI ont également connu une forte hausse durant cette période.
— etherscan.eth (@etherscan) 12 mars 2026
De nos jours, les attaquants envoient fréquemment des ETH et des tokens en masse vers des adresses falsifiées nouvellement créées, en une seule transaction. Des transferts de « dust » sont ensuite envoyés séparément à chacune des cibles visées par ces adresses falsifiées. Le coût total de ce processus, même à grande échelle, est très faible grâce à la réduction des frais.
De plus, les recherches ont révélé que, dans de nombreuses campagnes, plusieurs attaquants s'efforcent d'insérer leur adresse usurpée dans l'historique de la cible en envoyant des transferts empoisonnés à cette même adresse quelques minutes après une transaction légitime. Dans un cas documenté, treize transferts empoisonnés ont été effectués quelques minutes après un transfert USDT valide.
Les pertes récentes de 2026 soulignent l'importance des enjeux
L'empoisonnement d'adresse n'est pas un simple désagrément, comme en témoigne l'ampleur des pertes récentes. Un utilisateur de cryptomonnaie bien connu sous le pseudonyme de Sillytuna a perdu environ 24 millions de dollars en aEthUSDC début mars 2026 après l'ajout d'une adresse falsifiée à son historique de transactions.
Peu après le vol, l'attaquant a commencé à échanger les actifs volés, d'après une analyse de la blockchain. Des menaces de violence proférées contre la victime ont encore compliqué l'affaire. En seulement deux mois, les escroqueries par empoisonnement d'adresse ont coûté aux utilisateurs Ethereum un total de 62 millions de dollars, selon un rapport de KuCoin de février 2026. En janvier 2026, l'un de cesdenta entraîné une perte d'environ 12,25 millions de dollars, soit environ 4 556 ETH à l'époque.
Etherscan donne aux utilisateurs les moyens de se défendre
D'après Etherscan, la meilleure protection consiste à toujours vérifier l'adresse de destination complète avant d'effectuer un transfert d'argent. Sans exiger des utilisateurs qu'ils analysent manuellement un grand nombre de transactions, la plateforme signale activement les adresses frauduleuses, repère et masque les transferts de jetons sans valeur et étiquette les jetons falsifiés afin de mettre en évidence d'éventuelles tentatives d'empoisonnement.
Grâce à la fonction de surbrillance d'adresses d'Etherscan, les utilisateurs peuvent distinguer visuellement les adresses qui semblent similaires. Si deux adresses sont presquedentmais ne sont pas surlignées de la même manière, il s'agit probablement d'une tentative d'empoisonnement.
De plus, il est conseillé aux utilisateurs de créer un carnet d'adresses via leur portefeuille électronique, d'utiliser des étiquettes nominatives privées pour les adresses fréquemment utilisées et de prêter attention aux rappels contextuels qui apparaissent lors de la copie d'adresses associées à une activité suspecte.
