En une semaine, plus de 1,6 million de dollars en cryptos ont été détournés sans piratage, sans malware, ni intrusion technique. Une simple erreur humaine a suffi. L’arnaque appelée « Address Poisoning » fait son retour dans l’univers crypto. Elle joue sur les réflexes des utilisateurs et les failles des interfaces de wallet. Ce piège ancien, mais redoutablement efficace vise surtout les détenteurs d’actifs sur Ethereum et Solana. Le principe consiste à manipuler l’historique des transactions afin d’inciter l’utilisateur à envoyer ses fonds vers une mauvaise adresse.
Une arnaque sans intrusion qui détourne l’inattention
Dans une analyse récente relayée par MoneyToday et ScamSniffer, des cas concrets révèlent l’ampleur du problème. Parmi les victimes recensées, une a perdu 140 ETH, soit environ 640 000 dollars, après avoir copié une mauvaise adresse depuis son historique de transactions.
Une autre aurait envoyé 220 000 USDT à quatre reprises, pensant que les transactions échouaient. Résultat : une perte totale de 880 000 dollars.
« Les wallets des victimes montrent des interactions multiples avec des adresses malicieuses. Ce n’était qu’une question de temps avant que l’attaque réussisse », précise l’équipe de ScamSniffer, spécialisée dans la détection d’escroqueries on-chain.
L’arnaque s’appuie sur une méthode bien rodée. Les fraudeurs identifient une adresse récemment utilisée par une victime, en créent une copie presque identique via une “vanity address”, puis l’injectent dans l’historique via une micro-transaction ou une transaction vide. Cette technique, indétectable à l’œil nu, exploite la tentation fréquente de copier-coller l’adresse la plus récente affichée.
Ethereum et Solana : Des réseaux particulièrement vulnérables
Sur les réseaux Ethereum et Solana, il est techniquement possible d’envoyer une transaction sans valeur depuis un wallet que l’on ne contrôle pas. Ce détail, peu connu du grand public, permet aux attaquants de contaminer l’historique de transaction sans jamais posséder l’adresse cible.
« L’Address Poisoning repose entièrement sur l’inattention humaine. C’est une attaque psychologique plus que technologique », rappelle Marc Rodrigue dans son article pour ICObench.
Certaines applications réagissent. Le wallet Best Wallet propose plusieurs contre-mesures : filtrage automatique des transactions suspectes, possibilité de purger localement l’historique, ou encore la création de pseudonymes pour les adresses de confiance. Le projet, actuellement en phase de prévente, a levé 14,7 millions de dollars et met en avant sa priorité donnée à la sécurité multi-chaînes.
Les perspectives restent préoccupantes cependant. Tant que l’interface utilisateur des wallets n’évolue pas de manière systématique, l’Address Poisoning risque de gagner en popularité. À l’heure où les transactions se multiplient et où les utilisateurs manipulent des montants toujours plus élevés, la vigilance devient une compétence indispensable. Les développeurs, eux, sont appelés à renforcer les outils de protection natives avant que cette tendance ne devienne structurelle.
L’Address Poisoning ne repose sur aucune faille du protocole. Il détourne l’usage. Il infiltre l’expérience utilisateur là où elle est la plus vulnérable (la confiance dans l’interface). Cette vague de détournements rappelle l’importance d’une éducation continue dans l’univers Web3, autant que la nécessité de repousser les limites de la sécurité front-end. Wallets, blockchains, utilisateurs, chacun a un rôle à jouer pour que ces attaques ne deviennent pas la norme dans un écosystème déjà exposé à bien d’autres menaces.
