Les victimes des arnaques de poisoning d'adresse ont été trompées et ont envoyé, de leur plein gré, plus de 1,2 million de dollars aux escrocs. Ce phénomène illustre la montée inquiétante des attaques de phishing dans l'univers des cryptomonnaies.
Le poisoning d'adresse, ou wallet poisoning, consiste à piéger les victimes en les incitant à transférer leurs actifs numériques vers des adresses frauduleuses appartenant aux escrocs.
Les escroqueries de type "pig butchering" sur Ethereum ont coûté plus de 1,2 million de dollars au secteur crypto en moins de trois semaines depuis le début du mois, a écrit la société de sécurité onchain Cyvers dans un billet X du 19 mars :
« Les attaquants envoient de petites transactions aux victimes en imitant les adresses de portefeuille qu'elles utilisent fréquemment. Lorsque ces utilisateurs copient et collent une adresse depuis leur historique de transactions, ils risquent d’envoyer leurs fonds à l’escroc par erreur »
Source: Cyvers Alerts
Le poisoning d'adresse se développe depuis le début de l’année, entraînant des pertes de plus de 1,8 million de dollars rien qu’en février, d'après Deddy Lavid, cofondateur et PDG de Cyvers.
L'augmentation des attaques s'explique par la sophistication croissante des escrocs et l'absence de mesures de sécurité avant transaction, a déclaré Lavid à Cointelegraph. Il précise :
« De plus en plus d’utilisateurs et d’institutions automatisent leurs transactions crypto à l’aide d’outils qui ne disposent pas toujours de mécanismes de vérification pour détecter les adresses empoisonnées. »
Si la hausse du volume des transactions, liée au marché haussier des cryptos, joue un rôle, l’adoption de solutions de vérification avant transaction pourrait permettre d'éviter un grand nombre d’attaques de phishing, ajoute-t-il :
« Contrairement aux méthodes classiques de détection de fraude, de nombreux portefeuilles et plateformes ne disposent pas d’un filtrage en temps réel avant transaction, ce qui permettrait d’identifier les adresses suspectes avant l’envoi des fonds. »
Les arnaques par poisoning d'adresse ont déjà coûté des dizaines de millions de dollars aux investisseurs. En mai 2024, un investisseur a transféré par erreur 71 millions de dollars en Wrapped Bitcoin vers un portefeuille frauduleux. L'escroc avait créé une adresse avec des caractères alphanumériques similaires et réalisé une petite transaction vers le compte de la victime.
Toutefois, l'attaquant a restitué les 71 millions de dollars quelques jours plus tard, après avoir été submergé par l'attention grandissante des enquêteurs blockchain.
Le phishing, un fléau grandissant dans l'industrie crypto
Les attaques de phishing représentent une menace croissante pour l'écosystème crypto, en parallèle des piratages classiques.
Les arnaques de type pig butchering sont une autre forme de phishing, reposant sur des manipulations psychologiques complexes et prolongées pour inciter les victimes à transférer volontairement leurs actifs vers des adresses frauduleuses.
Selon Cyvers, ces escroqueries ont coûté plus de 5,5 milliards de dollars au secteur en 2024, avec 200 000 cas identifiés sur le réseau Ethereum.
Dans 35 % des cas, la manipulation des victimes dure entre une et deux semaines, tandis que 10 % des escroqueries impliquent une période de conditionnement pouvant aller jusqu'à trois mois.
Statistiques des victimes de pig butchering et durées de manipulation. Source : Cyvers
Un constat alarmant montre que 75 % des victimes ont perdu plus de la moitié de leur patrimoine dans ces escroqueries. Les hommes âgés de 30 à 49 ans sont les plus touchés.
Les arnaques par phishing ont été la principale menace pour la sécurité des cryptos en 2024, générant plus d'un milliard de dollars de pertes à travers 296 incidents, devenant ainsi le vecteur d'attaque le plus coûteux pour l'industrie.