Ce qu'est réellement l'empoisonnement d'adresse
Une attaque par empoisonnement d'adresse est une ruse peu coûteuse qui cible une personne, pas un protocole. L'attaquant surveille les blockchains publiques, repère une adresse qui détient des fonds, puis envoie une infime quantité d'un token depuis un nouveau portefeuille qu'il contrôle. Le nouveau portefeuille est conçu pour ressembler presque parfaitement à la véritable adresse de la victime : les quatre à six premiers caractères correspondent, tout comme les quatre à six derniers. Tout ce qui se trouve au milieu est différent.
Cette transaction de poussière trône désormais dans l'historique de transactions de la victime. La plupart des portefeuilles affichent une liste récente des adresses « vers lesquelles » des transactions ont été envoyées, souvent tronquée. Lorsque l'utilisateur doit ensuite envoyer des fonds à la même contrepartie, il cherche, jette un coup d'œil, et copie. Il copie l'entrée empoisonnée. Le transfert réel part vers l'attaquant, et non vers le commerçant, l'ami ou la plateforme d'échange qu'il pensait payer.
Il convient de clarifier ce qui se passe — et ce qui ne se passe pas. La blockchain n'est pas piratée. Le logiciel du portefeuille n'est pas compromis. La clé privée n'est pas divulguée. Aucune signature n'est hameçonnée au moment de l'envoi de la poussière. L'attaquant dépose essentiellement une carte de visite visuellement convaincante dans votre historique, puis attend un moment d'inattention. Le coût pour l'attaquant se compte en fractions de centime. Le coût pour la victime, si elle tombe dans le piège, peut représenter tout ce qu'elle possède.
Le coût réel d'une transaction « gratuite »
Étant donné que les frais sur la chaîne pour un simple transfert de token sont faibles (et subventionnés sur certains réseaux), un attaquant peut inonder des milliers d'adresses de poussière en un seul après-midi. La plupart de ces adresses empoisonnées ne seront jamais exploitées. L'attaquant n'a besoin que d'une seule victime sur mille qui enverrait un paiement important au mauvais endroit.
Les dégâts financiers s'accumulent. SlowMist et d'autres enquêteurs on-chain ont documenté des victimes individuelles perdant de quelques milliers à plus d'un million de dollars en un seul transfert erroné. Dans un cas largement médiatisé en 2023, un trader a perdu environ 68 millions de dollars suite à une erreur de type empoisonnement d'adresse. La technique a été utilisée pour voler des particuliers, des employés d'entreprises crypto et les opérations de trésorerie de protocoles de moindre envergure. Chainalysis et des sociétés similaires ont à plusieurs reprises classé l'empoisonnement d'adresse parmi les exploits non protocolaires les plus financièrement dommageables dans la crypto, au même niveau général que l'hameçonnage et les arnaques d'approbation.
C'est l'asymétrie qui le rend attractif pour les criminels. Dépenser 5 $ de gas pour potentiellement voler 50 000 $ est un excellent pari. Dépenser 50 $ de gas sur dix mille adresses pour potentiellement voler 500 000 $ est encore mieux. Il ne s'agit pas de piratage sophistiqué ; c'est du marketing direct ciblant la partie de votre cerveau qui fait de la reconnaissance de motifs sur les premiers et derniers caractères d'une chaîne.
Comment une adresse d'empoisonnement vanity est financée
Créer une adresse qui commence et se termine par les mêmes caractères qu'une adresse cible est un problème de force brute. Les adresses de portefeuille modernes ne sont pas courtes ; une adresse Ethereum fait 42 caractères hexadécimaux, et une adresse Bitcoin peut comporter de 26 à 62 caractères alphanumériques selon le format. Faire correspondre quatre caractères au début et quatre à la fin est statistiquement facile. Faire correspondre six au début et six à la fin, sur Ethereum, peut encore être généré en quelques minutes sur un GPU grand public moderne.
Les attaquants automatisent cela. Un script génère des clés privées, dérive l'adresse publique et vérifie si l'adresse commence par le préfixe choisi et se termine par le suffixe choisi. Lorsqu'il trouve une correspondance, le script approvisionne la nouvelle adresse avec un petit solde d'ETH (pour payer le gas) et un minuscule solde d'un token populaire, souvent USDT ou USDC. Le transfert de poussière est ensuite envoyé à la victime. Du point de vue de la victime, l'adresse empoisonnée apparaît désormais dans son historique comme une réception de token légitime de 0,00 $.
L'étape de financement elle-même mérite d'être comprise. Certains attaquants utilisent des mixeurs, d'autres utilisent des portefeuilles fraîchement financés depuis des exchanges centralisés avec un KYC faible, et d'autres utilisent des fonds volés. Des sociétés d'analyse on-chain ont retracé des lots de transactions d'empoisonnement vers les mêmes sources de financement, ce qui suggère un petit nombre d'opérateurs organisés plutôt que des millions d'escrocs indépendants. Cela ne rend pas les attaques plus faciles à défendre ; au contraire, cela signifie qu'une poignée d'équipes compétentes et bien capitalisées exécutent cette manœuvre à grande échelle à travers les blockchains.
Pourquoi l'historique du portefeuille permet à l'astuce de fonctionner
Le point de défaillance n'est pas la technologie. C'est l'interface. Après des mois ou des années d'utilisation d'un portefeuille, presque chaque utilisateur a un long historique de transactions. Les portefeuilles sont conçus pour rendre les destinataires fréquents faciles à trouver : on cherche, on fait défiler, on clique. De nombreux portefeuilles tronquent les adresses dans la liste d'historique, n'affichant par défaut que les six premiers et les quatre derniers caractères. Le milieu est masqué par des points de suspension, un bouton « afficher l'adresse complète », ou simplement non affiché.
Cette troncature est sensée du point de vue du design. Les chaînes hexadécimales sont illisibles, et afficher l'adresse complète de 42 caractères pour chaque transaction transformerait la liste d'historique en un mur de bruit indistinct. Mais c'est précisément la fonctionnalité qui améliore la lisibilité que l'attaquant exploite. Lorsqu'un utilisateur voit deux adresses qui commencent toutes deux par 0xAbCd et se terminent toutes deux par ...1234, il suppose qu'il s'agit de la même adresse. Ce n'est pas le cas. Il y a environ 2^32 (environ 4 milliards) d'adresses Ethereum différentes qui partagent un préfixe de six caractères et un suffixe de quatre caractères donnés. Les collisions sont suffisamment fréquentes pour que les attaquants trouvent délibérément des correspondances.
Le moment du copier-coller est le moment de l'échec. L'utilisateur est pressé, paie une facture, court après un mouvement de marché, ou règle un fournisseur de gré à gré. Il ouvre le portefeuille, trouve l'adresse familière dans l'historique, clique dessus, confirme la transaction sur un petit écran, et envoie. Sur un portefeuille matériel, il peut jeter un coup d'œil à l'écran de l'appareil, voir une chaîne qui commence et se termine comme prévu, et approuver. L'adresse complète n'entre jamais dans l'attention consciente. C'est toute l'attaque : elle fonctionne parce que les humains ne peuvent pas lire de manière fiable de longues chaînes alphanumériques, et les portefeuilles ne sont pas conçus pour les y obliger.
À quoi ressemble une transaction empoisonnée sur Etherscan
Sur un explorateur de blocs comme Etherscan ou Solscan, une transaction d'empoisonnement est visuellement banale. C'est un transfert de token ERC-20 normal (ou SPL, sur Solana). L'adresse from est un portefeuille neuf sans historique préalable. L'adresse to est la victime. Le token est généralement USDT, USDC, ou un token à faible liquidité choisi parce que ses décimales font qu'un montant de 0,00 paraît plausible. La valeur est typiquement l'unité minimale, comme 0,000001 du token, affichée comme « 0,00 » dans l'interface du portefeuille.
La réaction de la victime est le danger. Beaucoup d'utilisateurs remarquent une réception de 0,00 $ et n'y pensent pas. Certains portefeuilles l'étiquettent comme « airdrop » ou « entrant », ce qui semble gratuit et inoffensif. La transaction se confirme, l'adresse empoisonnée est maintenant dans l'historique de l'utilisateur, et le piège est tendu. La prochaine fois que l'utilisateur aura besoin de payer le véritable destinataire, l'entrée empoisonnée sera là, à un clic.
Sur Etherscan, on peut aussi voir l'étape suivante de l'attaquant. Après l'envoi de poussière, le portefeuille de l'attaquant reste inactif, parfois pendant des jours, des semaines ou des mois. Il n'est connecté à aucun exchange connu, à aucun retrait de mixeur, ni à aucun autre service. C'est juste un portefeuille de stockage. Ensuite, si une victime envoie des fonds à cette adresse, l'attaquant balaye le solde vers une nouvelle adresse en quelques minutes, en le répartissant souvent sur plusieurs portefeuilles pour compliquer le traçage. C'est le même playbook utilisé dans les arnaques classiques d'usurpation d'adresse, simplement adapté à la vitesse de la crypto.
Ce que vous devez faire dès que vous remarquez de la poussière
Repérer un petit transfert de token que vous ne reconnaissez pas est, ironiquement, une alerte précoce utile. Traitez toute réception inattendue de 0,00 $ comme une attaque potentielle en cours, et non comme de l'argent gratuit.
La bonne réponse, dans l'ordre :
- N'interagissez pas avec le token. N'essayez pas de l'échanger, de l'envoyer, ni de le « nettoyer ». Certains attaquants utilisent des tokens contractuels malveillants qui déclenchent une approbation cachée lors d'une interaction, superposant une seconde arnaque à la première.
- Trouvez l'adresse source sur un explorateur de blocs et confirmez que vous ne lui avez pas déjà envoyé de fonds. Si ce n'est pas le cas, traitez-la comme malveillante.
- Masquez ou étiquetez l'adresse dans votre portefeuille. La plupart des grands portefeuilles permettent désormais de faire un clic droit ou un appui long sur une transaction et d'ajouter une note. Étiquetez clairement l'entrée empoisonnée (« NE PAS ENVOYER, ATTAQUANT ») pour que la prochaine fois que vous chercherez, l'indice visuel soit sans ambiguïté.
- Optionnellement, masquez le petit UTXO afin qu'il n'apparaisse pas du tout dans votre liste de transactions sélectionnables. Les étapes exactes dépendent du portefeuille. Dans Phantom (Solana), vous pouvez marquer un token comme masqué. Dans MetaMask, vous pouvez ajouter manuellement l'adresse de l'attaquant à une entrée de carnet d'adresses locale marquée comme « à ne pas utiliser ». Dans Sparrow, Electrum et d'autres portefeuilles Bitcoin, vous pouvez geler ou contrôler manuellement un UTXO afin qu'il ne soit jamais sélectionné pour une dépense. Les utilisateurs de Bitcoin en particulier devraient apprendre à utiliser le coin control ; envoyer la poussière vers une adresse distincte et l'étiqueter est la solution la plus propre.
- Soyez vigilant face à une suite. Certains attaquants envoient de la poussière, puis attendent des semaines avant d'envoyer une seconde transaction légèrement plus importante conçue pour « confirmer » l'adresse dans votre mémoire. Si vous voyez deux réceptions suspectes avec des schémas similaires, supposez que l'attaque est active.
La seule habitude la plus importante, cependant, est celle qui est la plus difficile à mettre en place : vérifiez l'adresse de destination complète à chaque transaction, à chaque fois, sur un écran de confiance.
Comment vérifier l'adresse complète sur un portefeuille matériel
Les portefeuilles logiciels peuvent vous mentir. Pas volontairement, mais à cause de logiciels malveillants, d'extensions de navigateur ou de logiciels de détournement du presse-papiers qui substituent l'adresse au moment où vous la collez. Les portefeuilles matériels sont la meilleure défense précisément parce qu'ils affichent l'adresse sur un petit écran dédié que l'ordinateur ne peut pas modifier. Cet écran est votre dernière ligne de défense.
La discipline consiste à ne jamais se fier à l'affichage de l'ordinateur. La procédure :
- Lancez la transaction dans votre portefeuille logiciel (extension de navigateur, application de bureau ou application mobile).
- Sur l'écran du portefeuille matériel, l'appareil affichera l'adresse de destination. Lisez la chaîne complète, et non les premiers et derniers caractères.
- Comparez-la caractère par caractère à une source fiable. Pour les paiements à une contrepartie connue, cela signifie l'adresse qu'elle vous a envoyée hors bande (e-mail, PDF signé, appel vocal) avant le paiement, et non l'adresse affichée dans l'historique des transactions précédentes.
- Pour Ethereum en particulier, vérifiez l'adresse avec sa somme de contrôle. Une véritable adresse Ethereum comporte des lettres en casse mixte qui agissent comme une somme de contrôle intégrée. Si le motif de casse semble soudainement différent (par exemple, tout en minuscules, ou des majuscules mal placées), c'est un signal d'alarme important.
- Pour Bitcoin, vérifiez le format de l'adresse. Les adresses SegWit (bc1...) se comportent différemment des adresses legacy (1...) et P2SH (3...), et la conversion entre elles peut masquer la substitution d'un attaquant.
Oui, c'est fastidieux. Oui, vous allez vous ennuyer et vouloir passer outre pour le cinquième petit paiement de la journée. Cet ennui est le modèle économique de l'attaquant. De la même manière qu'une ceinture de sécurité est inconfortable et lente mais vous sauve la vie, la vérification de l'adresse est une petite taxe sur chaque transaction qui en empêche une catastrophique.
Ce que font les équipes de portefeuilles et d'exchanges face à ce problème
La bonne nouvelle, c'est que l'industrie ne ignore plus le problème. La mauvaise, c'est que les défenses sont inégales selon les portefeuilles.
Certains fournisseurs de portefeuilles détectent désormais les schémas d'empoisonnement connus et avertissent les utilisateurs avant la signature. MetaMask, par exemple, a mis en place des avertissements lorsqu'un utilisateur s'apprête à envoyer des fonds à une adresse qui lui a déjà envoyé de la poussière. Phantom a ajouté des alertes similaires sur Solana. Trezor et Ledger ont amélioré l'ergonomie de la vérification d'adresse sur leurs appareils, y compris la possibilité de confirmer uniquement sur l'écran matériel. Etherscan et BscScan affichent des mentions « Phishing » ou « Signalé » sur les adresses qui ont été signalées par la communauté.
Aucune de ces solutions n'est parfaite. Les attaquants font tourner leurs adresses, ce qui décale les listes de blocage. Les avertissements peuvent être ignorés. La vérification matérielle peut être escamotée. La véritable solution est culturelle : l'utilisateur moyen doit intégrer que les adresses sont longues, que les collisions visuelles sont fréquentes, et que la seule façon d'être sûr est de lire la chaîne entière. Tant que cela ne deviendra pas un réflexe, l'empoisonnement d'adresse restera l'une des escroqueries les moins coûteuses et les plus efficaces dans la crypto.
Comment suivre l'actualité de l'empoisonnement d'adresse intelligemment
Les tactiques d'empoisonnement d'adresse évoluent rapidement, et les schémas qui fonctionnaient en 2023 semblent déjà différents en 2025. Les attaquants testent de nouvelles blockchains (Base, Arbitrum et TON ont tous connu des vagues récentes), de nouveaux standards de jetons, et de nouvelles astuces comme la correspondance d'adresses dans les noms ENS et dans les handles de portefeuille de type URL. Suivre manuellement l'évolution des menaces est une bataille perdue pour n'importe quel utilisateur individuel. Zippfeed met en avant les titres de sécurité et les rapports d'incidents on-chain avec une notation de sentiment (bullish, neutral, ou bearish) et une cote d'importance, afin que vous puissiez repérer les dernières campagnes d'empoisonnement, geler les UTXO suspects et vérifier la prochaine adresse à laquelle vous avez réellement l'intention d'envoyer des fonds.
