原文标题:《5000 万美元被盗,只因没仔细核对地址》
原文作者:Eric,Foresight News
Hier, dans la nuit (heure de Pékin), l’analyste on-chain connu sous le pseudonyme Specter sur X a révélé un cas où près de 50 millions d’USDT ont été envoyés à une adresse de pirate, en raison d’un manque de vérification minutieuse de l’adresse de transfert.
D’après nos vérifications, cette adresse (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) a effectué un test de retrait de 50 USDT depuis Binance vers 13h00 (heure de Pékin) le 19, avant un retrait de montant important.
Environ 10 heures plus tard, l’adresse a retiré en une seule fois 49 999 950 USDT de Binance. Ajoutés aux 50 USDT précédemment retirés, le total s’élève exactement à 50 millions.
Environ 20 minutes après, l’adresse ayant reçu les 50 millions d’USDT a d’abord transféré 50 USDT vers 0xbaf4…95F8b5 à des fins de test.
Moins de 15 minutes après la fin de ce test de transfert, l’adresse du pirate 0xbaff…08f8b5 a envoyé 0,005 USDT à l’adresse détenant les 49 999 950 USDT restants. L’adresse utilisée par le pirate présentait des similitudes frappantes au début et à la fin avec l’adresse ayant reçu les 50 USDT, ce qui constitue une attaque manifeste d’« empoisonnement d’adresse ».
10 minutes plus tard, lorsque l’adresse commençant par 0xcB80 s’est préparée à transférer les plus de 40 millions d’USDT restants, elle a probablement, par négligence, copié l’adresse de la transaction précédente – celle utilisée par le pirate pour « l’empoisonnement » – et a ainsi envoyé près de 50 millions d’USDT directement entre les mains du pirate.
Une fois les 50 millions de dollars en sa possession, le pirate a entamé des opérations de blanchiment 30 minutes plus tard. Selon les observations de SlowMist, le pirate a d’abord converti les USDT en DAI via MetaMask, puis a utilisé la totalité des DAI pour acheter environ 16 690 ETH. Après en avoir conservé 10, le reste des ETH a été transféré vers Tornado Cash.
Vers 16h00 (heure de Pékin) hier, la victime a lancé un appel public sur la blockchain au pirate, indiquant avoir officiellement déposé une plainte pénale. Elle a également déclaré avoir recueilli, avec l’aide des autorités, d’agences de cybersécurité et de plusieurs protocoles blockchain, de nombreuses informations fiables sur les activités du pirate. Le propriétaire des fonds a proposé au pirate de conserver 1 million de dollars et de restituer les 98 % restants. En cas d’acceptation, il s’engage à ne pas poursuivre l’affaire. Dans le cas contraire, il engagera des poursuites pénales et civiles contre le pirate et rendra son identité publique. À ce jour, le pirate n’a donné aucun signe de réponse.
Selon les données compilées par la plateforme Arkham, cette adresse présente des historiques de transferts importants avec des adresses liées à Binance, Kraken, Coinhako et Cobo. Binance, Kraken et Cobo sont bien connus, tandis que Coinhako l’est peut-être moins. Coinhako est une plateforme d’échange de crypto-monnaies locale de Singapour, fondée en 2014. Elle a obtenu en 2022 une licence d’établissement de paiement de grande envergure de l’Autorité monétaire de Singapour (MAS), ce qui en fait une plateforme régulée à Singapour.
Étant donné que cette adresse utilise des plateformes d’échange dans plusieurs régions ainsi que les services de garde de Cobo, et qu’elle a réussi à retracer le pirate en moins de 24 heures après l’incident en contactant rapidement diverses parties, nous émettons l’hypothèse qu’il s’agit très probablement d’une adresse appartenant à une institution plutôt qu’à un particulier.
Une « négligence » aux conséquences majeures
La seule explication à la réussite d’une attaque par « empoisonnement d’adresse » est la « négligence ». Ce type d’attaque peut être évité simplement en vérifiant à nouveau l’adresse avant un transfert, mais il est évident que l’auteur de cette transaction a omis cette étape cruciale.
Les attaques par empoisonnement d’adresse sont apparues à partir de 2022, et leur origine remonte aux générateurs d’« adresses personnalisées » (vanity addresses), c’est-à-dire des outils permettant de personnaliser le début d’une adresse EVM. Par exemple, je pourrais générer une adresse commençant par 0xeric pour la rendre plus identifiable.
Les pirates ont par la suite découvert que cet outil, en raison d’un défaut de conception, permettait de forcer brutalement les clés privées, entraînant plusieurs cas majeurs de vol de fonds. Cependant, la capacité à générer des adresses avec des débuts et fins personnalisés a également donné une « idée malveillante » à certains : générer des adresses similaires en début et fin à celles couramment utilisées par une victime pour ses transferts, et effectuer un transfert vers une autre adresse fréquemment utilisée par cette victime. Ainsi, certains utilisateurs, par négligence, pourraient confondre l’adresse du pirate avec la leur et envoyer activement leurs actifs on-chain dans la poche du pirate.
Les informations on-chain passées montrent que l’adresse commençant par 0xcB80 était déjà l’une des cibles importantes d’empoisonnement avant cette attaque, et que les tentatives d’attaque par empoisonnement d’adresse à son encontre ont commencé il y a près d’un an. Ce mode d’attaque repose essentiellement sur le pari du pirate que vous finirez un jour par être victime, soit par paresse, soit par inattention. C’est précisément ce type d’attaque, pourtant facile à déceler, qui continue de piéger les « têtes en l’air » les unes après les autres.
À propos de cet incident, Wang Chun, cofondateur de F2Pool, a exprimé sa sympathie pour la victime sur X, racontant que l’année dernière, pour tester si son adresse avait fait l’objet d’une fuite de clé privée, il y avait transféré 500 BTC, avant de se faire voler 490 BTC par un pirate. Bien que l’expérience de Wang Chun ne soit pas liée à une attaque par empoisonnement d’adresse, son intention était probablement de souligner que tout le monde peut avoir un moment d’« étourderie ». Il ne faut pas blâmer la négligence de la victime, mais plutôt pointer du doigt le pirate.
50 millions de dollars n’est pas une petite somme, mais ce n’est pas le montant le plus élevé volé dans ce type d’attaque. En mai 2024, une adresse a transféré pour plus de 70 millions de dollars de WBTC vers une adresse de pirate suite à une telle attaque. Cependant, la victime a finalement récupéré presque la totalité des fonds grâce à une négociation on-chain, avec l’aide de la société de sécurité Match Systems et de la plateforme d’échange Cryptex. Dans le cas présent, le pirate a rapidement converti les fonds volés en ETH et les a transférés vers Tornado Cash. Il est encore incertain si un recouvrement sera possible.
En avril, Jameson Lopp, cofondateur et directeur de la sécurité (CISO) de Casa, a averti que les attaques par empoisonnement d’adresse se propageaient rapidement, avec pas moins de 48 000 incidents de ce type survenus sur le seul réseau Bitcoin depuis 2023.
Qu’il s’agisse de ces attaques ou de faux liens de réunion Zoom sur Telegram, ces méthodes ne sont pas particulièrement sophistiquées. Mais c’est précisément cette « simplicité » qui peut faire baisser la garde. Dans la forêt obscure qu’est l’espace crypto, une vigilance accrue n’est jamais de trop.
