L'empoisonnement d'adresses (Address Poisoning), aussi appelé contamination d'adresses, est une attaque on-chain qui exploite les habitudes des utilisateurs. Les attaquants génèrent de fausses adresses très similaires à vos adresses habituelles, les introduisent dans votre historique de transactions, puis attendent que vous les copiez par erreur lors d'un transfert. Ce type d'attaque s'est généralisé depuis 2022 et reste une cause importante de pertes d'actifs.
Comment fonctionne une attaque par empoisonnement d'adresses ?
La logique centrale repose sur la tromperie par ressemblance. L'attaque se déroule par étapes :
Étape 1 : Sélection des cibles
Les attaquants utilisent des scripts automatisés pour surveiller les transactions on-chain, identifiant les adresses actives effectuant fréquemment des transferts importants.
Étape 2 : Génération d'adresses similaires
À l'aide d'outils de collision d'adresses, ils génèrent en masse des adresses dont les premiers et derniers caractères correspondent à l'adresse cible. Par exemple :
- Adresse réelle : 0x71C7abcd1234efgh5678F3
- Adresse de l'attaquant : 0x71C7XXXXXXXXXXXX5678F3
La plupart des portefeuilles n'affichant que les 6 premiers et 4 derniers caractères, les deux adresses paraissent identiques à l'écran.
Étape 3 : Contamination de l'historique
L'attaquant introduit la fausse adresse dans vos enregistrements via :
- Transferts de valeur nulle : Envoi de transactions de 0 jeton depuis la fausse adresse
- Micro-transferts : Envoi de montants infimes (comme 0,001 USDT)
- Événements Transfer falsifiés : Exploitation de certaines caractéristiques de contrats de jetons pour fabriquer un enregistrement montrant que « vous avez transféré vers la fausse adresse »
Étape 4 : Attente de la récolte
Une fois ces fausses transactions apparues dans votre historique, l'attaquant attend simplement que vous copiez une adresse depuis vos enregistrements lors de votre prochain transfert. Si vous copiez accidentellement la fausse adresse et confirmez la transaction, vos fonds sont perdus.
Pourquoi l'empoisonnement d'adresses est-il si efficace ?
Raison 1 : Les habitudes des utilisateurs
Les gens ont tendance à copier des adresses « déjà utilisées » depuis leur historique plutôt que de récupérer l'adresse complète à chaque fois. Les attaquants exploitent cette habitude pratique avec précision.
Raison 2 : L'affichage tronqué des adresses
Pour une interface épurée, les portefeuilles et explorateurs de blocs n'affichent généralement que le début et la fin d'une adresse. Les attaquants n'ont qu'à faire correspondre ces parties visibles.
Raison 3 : La difficulté de vérification visuelle
Même en essayant de comparer, vérifier avec précision une chaîne hexadécimale de 42 caractères est extrêmement difficile pour l'œil humain, surtout quand la partie centrale est masquée.
Raison 4 : Un coût d'attaque extrêmement faible
Générer un grand nombre d'adresses similaires et envoyer des transactions de valeur nulle coûte très peu, surtout sur des chaînes à faibles frais comme BSC et Polygon. Les attaquants peuvent empoisonner des milliers d'adresses simultanément.
Cas réels de pertes
En mai 2024, un utilisateur a perdu 68 millions de dollars de WBTC suite à une attaque par empoisonnement d'adresses. Il avait copié une adresse apparemment familière depuis son historique pour un transfert important, mais il s'agissait en réalité de l'adresse similaire de l'attaquant. Cela reste l'une des plus grandes pertes individuelles causées par ce type d'attaque.
De nombreuses pertes de montants moyens ou faibles ne sont pas signalées car les victimes jugent les montants insuffisants pour en parler publiquement.
Comment se protéger contre l'empoisonnement d'adresses ?
Méthode 1 : Utiliser le carnet d'adresses
Enregistrez au préalable toutes vos adresses de transfert habituelles dans le carnet d'adresses de votre portefeuille ou exchange. Sélectionnez toujours depuis le carnet lors d'un transfert — ne copiez jamais depuis l'historique.
Méthode 2 : Vérifier l'adresse complète
Si vous devez copier-coller, développez l'adresse complète et comparez caractère par caractère. Vérifiez au minimum les 12 premiers et 12 derniers caractères.
Méthode 3 : Envoyer une transaction test
Avant un transfert important, envoyez un montant infime à l'adresse cible. Une fois la réception confirmée, procédez au transfert principal.
Méthode 4 : Utiliser des services de noms de domaine comme ENS
L'Ethereum Name Service (ENS) permet d'utiliser des noms lisibles comme « alice.eth » au lieu de longues chaînes d'adresses. Transférer via des noms de domaine prévient efficacement l'empoisonnement.
Méthode 5 : Mettre à jour votre portefeuille
Certains portefeuilles intègrent désormais des algorithmes capables d'identifier et de signaler les transferts suspects de valeur nulle. Maintenez votre application à jour.
Rappel de sécurité
L'empoisonnement d'adresses exploite l'inattention humaine, pas des vulnérabilités techniques. La prévention repose sur de bonnes habitudes :
- Ne copiez jamais d'adresses directement depuis l'historique : Utilisez votre carnet d'adresses ou obtenez l'adresse complète manuellement
- Envoyez toujours un montant test avant un transfert important : C'est la dernière ligne de défense contre tout type d'erreur d'adresse
- Vérifiez l'adresse complète : Ne vous contentez pas de vérifier les premiers et derniers caractères
- Ignorez les dépôts d'origine inconnue : Les réceptions de valeur nulle ou infime provenant de sources inconnues peuvent être des tentatives d'empoisonnement
- Utilisez des outils prenant en charge l'étiquetage d'adresses : Étiqueter vos adresses fréquentes facilite l'identification rapide
- Restez pleinement concentré : Le transfert de fonds est une opération à haut risque — maintenez toute votre attention
Lors de transferts via des exchanges, vous pouvez utiliser la fonction de liste blanche pour une sécurité renforcée. Rendez-vous sur Binance pour activer les listes blanches de retrait, ou téléchargez l'application Binance — les utilisateurs iPhone peuvent consulter le guide d'installation iOS — pour des opérations sécurisées et pratiques.
L'empoisonnement d'adresses peut-il voler directement mes actifs ?
Non. L'empoisonnement en lui-même ne peut pas déplacer vos fonds. Il ne fait que poser un piège dans votre historique. Les pertes ne surviennent que lorsque vous copiez activement la fausse adresse et initiez une transaction. Si vous ignorez les enregistrements suspects, vous ne serez aucunement affecté.
Comment savoir si une transaction dans mon historique est une tentative d'empoisonnement ?
Si vous voyez un transfert que vous n'avez pas initié (généralement pour un montant de 0), ou si vous recevez un dépôt infime d'une source inconnue, et que l'adresse impliquée ressemble à une que vous utilisez fréquemment au début et à la fin, il s'agit très probablement d'une attaque d'empoisonnement.
Sur quelles blockchains l'empoisonnement d'adresses est-il le plus courant ?
Ethereum, BSC et TRON sont les cibles les plus fréquentes. Les frais de gas extrêmement bas de BSC et TRON permettent aux attaquants d'empoisonner en masse à un coût minimal. Ethereum a des coûts d'attaque plus élevés, mais les attaquants ciblent néanmoins les comptes à forte valeur.
Les portefeuilles peuvent-ils filtrer les transactions d'empoisonnement ?
Certains portefeuilles (comme la dernière version de MetaMask) ont ajouté des fonctions de filtrage des transferts de valeur nulle pour masquer les transactions suspectes. Cependant, cette fonction n'est pas fiable à 100 % et les utilisateurs doivent rester vigilants. Activez toutes les options de filtrage de sécurité disponibles dans votre portefeuille.