Pierre Emmanuel LassoieGrâce à une méthode vicieuse, certains hackers parviennent à soutirer des millions de dollars en cryptos à leurs propriétaires.
Le principe de l’empoisonnement d’adresse est assez simple. Il faut bien se rendre compte que pour vérifier qu’une transaction en cryptomonnaies se fait bien sur une adresse, les propriétaires vérifient généralement les premiers et derniers chiffres de celle-ci. Et cela fournit une méthode bien pratique pour les arnaqueurs : il leur suffit d’utiliser une adresse utilisant les mêmes premiers et derniers chiffres, et l’inscrire dans l’historique du wallet de l’utilisateur en faisant une simple transaction tout à fait légitime vers leur portefeuille.
Ensuite, les pirates n’ont plus qu’à attendre que la victime, en voulant envoyer des fonds à sa propre adresse, copie et colle par inadvertance celle-ci au moment de faire une transaction et offre un généreux cadeau à l’arnaqueur. Qui plus est, il n’existe virtuellement aucune manière pour la victime de récupérer l’argent ainsi perdu…
Cela est possible grâce à des générateurs d’adresses personnalisées, qui permettent aux hackers de créer l’adresse qu’ils désirent, que l’on nomme alors des « vanity adress ». Ces générateurs ont pourtant un but souvent nettement moins néfaste : celui de permettre de créer une adresse contenant une série particulière de caractères dans un simple but de personnalisation.
Si cette méthode ne fonctionne bien évidemment pas toujours, il n’empêche qu’elle a permis à certains arnaqueurs de subtiliser des sommes impressionnantes à leurs victimes. Ainsi, récemment, un utilisateur a transféré sans s’en rendre compte pas moins de 1155 bitcoins (soit 68 millions de dollars) sur le compte d’un hacker sans s’en rendre compte. Cela n’avait coûté au hacker que 0,05 ETH, soit environ 150 dollars.
Quelques leçons peuvent être tirées de cette malheureuse anecdote. Tout d’abord, de bien vérifier son adresse, au-delà des quelques premiers et derniers chiffres. Malheureusement, ce n’est pas toujours possible, ou en tout cas, par toujours facile. En effet, sur beaucoup de portefeuilles crypto, le plus gros de l’adresse est cachée et on ne voit affiché que les premiers et derniers chiffres de l’adresse, d’où le danger. Qui plus est, même quand l’adresse est bien similaire, une distraction est vite arrivée, alors pour éviter tout problème dans ce cas, penser plutôt à envoyer préalablement une petite somme et de vous assurer que celle-ci arrive bien à bon port, afin de pouvoir être confiant dans le fait que l’adresse est bien légitime sans risquer des pertes d’importantes sommes d’argent en crypto. Une fois cette petite formalité faite, vous pourrez sans trop de risque envoyer le reste de la somme à votre adresse.
Sinon, une méthode qui reste la plus simple et la plus prudente reste de ne pas copier son adresse depuis l’historique de ses transactions, par exemple en enregistrant les plus importantes dans le répertoire d’adresse de votre portefeuille. Ceci évitera bien des problèmes et vous rendra virtuellement immunisé contre « l’empoisonnement d’adresse ».
