Attaque de « empoisonnement d’adresse » sur Ethereum en hausse : après un seul transfert, il a reçu 89 e-mails d’alerte
TechFlow SélectionTechFlow Sélection
Attaque de « empoisonnement d’adresse » sur Ethereum en hausse : après un seul transfert, il a reçu 89 e-mails d’alerte
Dans le monde du chiffrement, il n’existe pas de bouton « Annuler » : une fois que des fonds sont envoyés à une adresse erronée, les chances de les récupérer sont quasi nulles.
Dédié à des analyses Web3 approfondiesRédaction : etherscan.eth
Traduction : AididiaoJP, Foresight News
Il y a quelques semaines, un utilisateur d’Etherscan nommé Nima a partagé une expérience désagréable : après avoir effectué seulement deux transferts de stablecoins, il a reçu en peu de temps plus de 89 courriels d’alerte liés à la surveillance de son adresse.
Comme l’a souligné Nima, ces alertes ont été déclenchées par des transactions de « poisoning » (empoisonnement d’adresses). Les attaquants créent ces transactions dans un seul but : injecter dans l’historique des transactions de l’utilisateur des adresses factices très similaires à des adresses légitimes, afin de tromper l’utilisateur lors de son prochain transfert — et le pousser à copier et à utiliser par erreur l’une de ces fausses adresses.
Le « poisoning » d’adresses existe sur Ethereum depuis plusieurs années. Toutefois, ce type d’incident révèle que ces attaques sont désormais hautement automatisées et menées à grande échelle. Ce qui n’était autrefois qu’un spam sporadique et isolé est aujourd’hui exécuté massivement, les attaquants parvenant généralement à insérer leurs transferts empoisonnés dans les minutes suivant une transaction légitime.
Pour comprendre pourquoi ces attaques sont devenues plus fréquentes actuellement, nous devons les analyser sous deux angles : l’évolution des techniques de « poisoning » d’adresses, et les raisons fondamentales qui rendent leur déploiement à grande échelle si facile.
En outre, cet article mettra l’accent sur un principe fondamental de prévention, permettant aux utilisateurs de se prémunir efficacement contre ce type d’attaque.
I. La montée en puissance industrielle du « poisoning » d’adresses
Le « poisoning » d’adresses était autrefois considéré comme une méthode frauduleuse marginale, adoptée par des attaquants opportunistes. Aujourd’hui, toutefois, son mode opératoire s’est clairement industrialisé.
Une étude publiée en 2025 a analysé les activités de « poisoning » d’adresses survenues entre juillet 2022 et juin 2024 (c’est-à-dire avant la mise à niveau Fusaka). Elle révèle qu’environ 17 millions de tentatives de « poisoning » ont eu lieu sur Ethereum, touchant environ 1,3 million d’utilisateurs, avec des pertes confirmées d’au moins 79,3 millions de dollars américains.
Le tableau ci-dessous, issu de l’étude « Recherche sur le poisoning d’adresses blockchain », présente l’ampleur des activités de « poisoning » sur Ethereum et BSC entre juillet 2022 et juin 2024. Les données montrent que, sur BSC — où les frais de transaction sont nettement plus bas — la fréquence des transferts empoisonnés est supérieure de 1 355 %.
Les attaquants identifient généralement leurs cibles en surveillant les activités sur la blockchain. Dès qu’une transaction d’un utilisateur ciblé est détectée, un système automatisé génère une adresse factice dont les caractères initiaux et finaux correspondent à ceux d’une adresse légitime avec laquelle l’utilisateur a déjà interagi. Ensuite, l’attaquant envoie à l’adresse cible un transfert empoisonné contenant cette fausse adresse, afin qu’elle apparaisse dans l’historique des transactions de l’utilisateur.
Les attaquants privilégient généralement les adresses offrant un potentiel lucratif plus élevé. Ainsi, les adresses qui effectuent fréquemment des transferts, détiennent de gros soldes de jetons ou participent à des transferts importants reçoivent davantage de tentatives de « poisoning ».
Un mécanisme concurrentiel améliore l’efficacité des attaques
L’étude de 2025 met en lumière un phénomène remarquable : une concurrence croissante entre différents groupes d’attaquants. Dans de nombreux cas de « poisoning », plusieurs attaquants envoient presque simultanément des transferts empoisonnés à la même adresse cible.
Chaque groupe cherche à être le premier à insérer sa propre adresse factice dans l’historique des transactions de l’utilisateur, dans l’espoir que celle-ci soit sélectionnée prioritairement lorsque l’utilisateur copiera une adresse ultérieurement. Le groupe dont l’adresse est insérée en premier augmente ainsi ses chances que l’utilisateur la copie par erreur.
L’exemple suivant illustre parfaitement l’intensité de cette concurrence : dans ce cas précis, 13 transferts empoisonnés ont été insérés dans les minutes suivant un transfert légitime de USDT.
Remarque : Par défaut, Etherscan masque les transferts de valeur nulle ; ici, cette option a été désactivée à des fins de démonstration.
Parmi les méthodes courantes employées dans les attaques de « poisoning » figurent les transferts « dust », les transferts de jetons factices et les transferts de jetons de valeur nulle.
II. Pourquoi le « poisoning » d’adresses peut-il être facilement mis à l’échelle ?
À première vue, le taux de réussite du « poisoning » d’adresses semble faible. Après tout, la plupart des utilisateurs ne tombent pas dans le piège. Or, sous l’angle économique, la logique de ce type d’attaque est tout autre.
La logique du jeu probabiliste
Des chercheurs ont constaté qu’en moyenne, chaque tentative de « poisoning » sur Ethereum réussit dans environ 0,01 % des cas. Autrement dit, sur 10 000 transferts empoisonnés, environ un seul conduit à une erreur de l’utilisateur envoyant involontairement des fonds à l’attaquant.
Par conséquent, les campagnes de « poisoning » ne se limitent plus à quelques adresses ciblées, mais visent plutôt l’envoi de milliers, voire de millions de transferts empoisonnés. Lorsque le volume d’essais est suffisamment élevé, même un taux de réussite extrêmement faible peut générer des gains illégaux substantiels.
Un seul transfert frauduleux important peut largement couvrir les coûts de milliers d’essais infructueux.
Des frais de transaction réduits stimulent les tentatives de « poisoning »
La mise à niveau Fusaka, activée le 3 décembre 2025, a introduit des optimisations pour améliorer l’évolutivité, réduisant ainsi efficacement les frais de transaction sur Ethereum. Bien que cette évolution profite aux utilisateurs ordinaires et aux développeurs, elle abaisse aussi sensiblement le coût unitaire d’un transfert empoisonné pour les attaquants, leur permettant d’envoyer un nombre sans précédent de tentatives de « poisoning ».
Après la mise à niveau Fusaka, l’activité sur le réseau Ethereum s’est nettement accrue : au cours des 90 jours suivant la mise à niveau, le volume moyen quotidien de transactions traitées a augmenté de 30 % par rapport aux 90 jours précédents. Sur la même période, le nombre quotidien moyen de nouvelles adresses créées a augmenté en moyenne de 78 %.
Par ailleurs, nous avons observé une augmentation marquée des transferts « dust ». Dans ce type de transfert, l’attaquant envoie une transaction portant sur le même jeton que ceux figurant dans l’historique de l’utilisateur, mais avec un montant extrêmement faible.
Les données suivantes comparent l’activité de transferts « dust » pendant les 90 jours précédant et suivant la mise à niveau Fusaka, pour plusieurs actifs principaux. Pour les stablecoins tels que USDT, USDC et DAI, un transfert « dust » est défini comme une transaction inférieure à 0,01 dollar américain ; pour ETH, il s’agit d’un transfert inférieur à 0,00001 ETH.
USDT
- Avant la mise à niveau : 4,2 millions
- Après la mise à niveau : 29,9 millions
- Augmentation : +25,7 millions (+612 %)
USDC
- Avant la mise à niveau : 2,6 millions
- Après la mise à niveau : 14,9 millions
- Augmentation : +12,3 millions (+473 %)
DAI
- Avant la mise à niveau : 142 405
- Après la mise à niveau : 811 029
- Augmentation : +668 624 (+470 %)
ETH
- Avant la mise à niveau : 104,5 millions
- Après la mise à niveau : 169,7 millions
- Augmentation : +65,2 millions (+62 %)
Ces données montrent qu’immédiatement après la mise à niveau Fusaka, l’activité de transferts « dust » (inférieurs à 0,01 dollar) a fortement augmenté, atteignant un pic avant de légèrement reculer, mais restant néanmoins nettement supérieure au niveau antérieur à la mise à niveau. En revanche, l’activité de transferts supérieurs à 0,01 dollar est restée relativement stable sur la même période.
Graphique : Évolution comparée des transferts « dust » (< 0,01 $) de USDT, USDC et DAI, 90 jours avant et après la mise à niveau Fusaka
Graphique : Évolution comparée des transferts classiques (> 0,01 $) de USDT, USDC et DAI, 90 jours avant et après la mise à niveau Fusaka
Dans de nombreuses attaques, les attaquants commencent par distribuer en bloc des jetons et de l’ETH vers de nouvelles adresses factices, puis ces adresses expédient un à un des transferts « dust » à l’adresse cible. Comme les transferts « dust » impliquent des montants extrêmement faibles, la baisse des frais de transaction permet aux attaquants d’opérer à grande échelle à très faible coût.
Schéma : Adresse Fake_Phishing1688433 transférant en une seule transaction des jetons et de l’ETH vers plusieurs adresses factices distinctes
Il convient de préciser que tous les transferts « dust » ne constituent pas nécessairement des tentatives de « poisoning ». Ces transferts peuvent aussi résulter d’activités légitimes, telles que des échanges de jetons ou des interactions mineures entre adresses. Toutefois, après examen approfondi d’un grand volume de transferts « dust », on peut conclure que la majorité d’entre eux sont très probablement des tentatives de « poisoning ».
III. Principe fondamental de prévention
Avant d’envoyer tout fond, vérifiez impérativement l’adresse destinataire.
Voici quelques conseils pratiques pour réduire les risques lors de l’utilisation d’Etherscan :
Utilisez des identifiants d’adresses reconnaissables
Attribuez des étiquettes de nom privé à vos adresses fréquemment utilisées directement sur Etherscan. Cette pratique facilite la distinction immédiate des adresses légitimes parmi de nombreuses adresses très similaires.
L’utilisation d’un service de noms de domaine comme ENS permet également d’améliorer la reconnaissance visuelle de l’adresse dans l’ensemble du navigateur.
En outre, nous recommandons d’utiliser la fonctionnalité de carnet d’adresses intégrée à votre portefeuille pour ajouter vos adresses habituelles à une liste blanche, garantissant ainsi que vos fonds soient toujours envoyés à la destination prévue.
Activez la fonction de surlignage des adresses
La fonction de surlignage des adresses d’Etherscan aide les utilisateurs à distinguer visuellement des adresses apparemment identiques. Si deux adresses semblent quasi identiques, mais que leur surlignage diffère, l’une d’elles est très probablement une adresse empoisonnée.
Vérifiez deux fois avant de copier une adresse
Lorsque vous copiez une adresse susceptible d’être liée à une activité suspecte, Etherscan affiche automatiquement une fenêtre d’avertissement. Ces activités suspectes incluent notamment :
- des transferts de jetons de faible valeur
- des transferts de jetons factices
- des jetons ayant une mauvaise réputation
- des jetons dont les informations ne sont pas à jour
Lorsque vous voyez un tel avertissement, arrêtez immédiatement votre action et vérifiez soigneusement si l’adresse copiée correspond bien à celle avec laquelle vous souhaitez réellement interagir.
Souvenez-vous qu’il n’existe pas de bouton « annuler » dans le monde cryptographique. Une fois les fonds envoyés à une mauvaise adresse, les chances de les récupérer sont quasi nulles.
Conclusion
À mesure que la réduction des frais de transaction rend économiquement viable une stratégie d’attaque à très grande échelle, le « poisoning » d’adresses gagne en intensité sur Ethereum. Ce phénomène nuit également à l’expérience utilisateur, puisque de nombreux transferts empoisonnés envahissent les interfaces historiques des transactions destinées aux utilisateurs.
Une prévention efficace contre le « poisoning » d’adresses nécessite à la fois une meilleure sensibilisation des utilisateurs et une conception d’interface plus robuste. Pour les utilisateurs, l’habitude la plus essentielle à cultiver est la vérification rigoureuse de l’adresse destinataire avant tout envoi de fonds.
Parallèlement, les outils et les interfaces utilisateur doivent jouer un rôle accru dans l’identification rapide des activités suspectes.
Étiquette « adresse empoisonnée » sur Etherscan (https://etherscan.io/accounts/label/poisoning-address)
Etherscan continue de perfectionner son interface navigateur et ses services API afin d’aider les utilisateurs à identifier plus aisément ce type d’attaque. Nous marquons activement les adresses factices, identifions et masquons les transferts de jetons de valeur nulle, et étiquetons les jetons factices. Grâce à ces données triées et structurées, les utilisateurs peuvent repérer facilement les tentatives potentielles de « poisoning » d’adresses, sans avoir à passer manuellement en revue des milliers de transactions.
À mesure que les attaques de « poisoning » évoluent grâce à l’automatisation et à l’usage massif de transferts « dust », la présentation claire de ces signaux d’alerte devient cruciale pour aider les utilisateurs à distinguer les activités suspectes des transactions légitimes.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@etherscan
