Address Poisoning : l’attaque crypto qui imite pour mieux voler

L’adresse crypto : votre boussole numérique… facilement brouillée

Dans le monde des cryptomonnaies, chaque transaction repose sur une chose : une adresse, cette longue suite de caractères alphanumériques qui fait office de compte bancaire version blockchain. Mais cette adresse, censée être unique et sécurisée, peut devenir l’angle mort de votre vigilance.

C’est là qu’intervient l’address poisoning, ou « empoisonnement d’adresse » : une méthode subtile, presque élégante dans sa cruauté, qui consiste à glisser une fausse adresse ressemblant fortement à la vôtre ou à celle de vos contacts dans votre historique de transactions. Résultat ? Vous croyez copier la bonne adresse… mais vous envoyez vos fonds à un voleur.

Comment fonctionne une attaque d’address poisoning ?

Le scénario est souvent le même :

  • Un attaquant repère votre adresse publique sur la blockchain.
  • Il vous envoie une minuscule transaction depuis une adresse visuellement très proche de la vôtre.
  • Cette adresse “poisonnée” apparaît alors dans votre wallet, parfois même en haut de la liste.
  • Par automatisme, vous la copiez lors de votre prochain envoi.
  • Vos fonds partent… dans le néant d’un portefeuille frauduleux.

Le piège repose sur la ressemblance visuelle et la confiance dans l’historique. Et il est d’autant plus dangereux qu’il n’exige aucun piratage actif de votre wallet.

Les multiples visages de l’attaque

L’address poisoning n’est pas une technique isolée : c’est une famille entière de tromperies. Voici les variantes les plus courantes :

  • Phishing d’adresses : des sites factices ou des apps clones récoltent vos clés ou injectent des adresses frauduleuses.

  • QR codes truqués : des affiches, tweets ou PDF avec des codes qui mènent vers une fausse adresse.

  • Interception de transactions : via un malware, un logiciel malveillant modifie discrètement l’adresse de destination.

  • Sybil attacks : multiplication de nœuds ou d’identités pour fausser le consensus et manipuler la perception d’une adresse.

  • Smart contracts vérolés : des failles dans le code qui réorientent les fonds vers un autre destinataire.

  • Réutilisation d’adresses : des schémas d’envoi détectés et exploités par des bots qui injectent de fausses adresses dans votre historique.

Des pertes bien réelles : des exemples à ne pas ignorer

  • Mai 2025 : un trader expérimenté perd 2,6 millions en USDT à cause d’un « zero-value transfer », une ruse qui place une adresse frauduleuse dans l’historique… sans transfert réel.

  • EOS (mars 2025) : des faux transferts imitent des échanges comme Binance pour piéger les utilisateurs.

  • WBTC (mai 2024) : un portefeuille envoie 1 155 WBTC — soit 68 millions $ — à une adresse « copie conforme » d’un contact régulier. Le portefeuille est vidé.

Ces attaques ont contribué à plus de 83 millions $ de pertes confirmées, selon des données analysées par Chainalysis.

Pourquoi cette attaque fonctionne ?

Parce qu’elle s’attaque à notre routine. En crypto, on fait souvent confiance à son historique de transactions, à ses favoris, à ses automatismes. Or, l’address poisoning infiltre précisément ces repères.

Pas besoin d’un hacking sophistiqué. Pas besoin de casser la cryptographie. Juste un peu d’ingénierie sociale, de patience… et une adresse bien choisie.

Comment se protéger efficacement ?

Voici les gestes-clés pour éviter de tomber dans le piège :

  • Vérifiez toujours les adresses manuellement, en particulier les premiers et derniers caractères.

  • Utilisez des adresses uniques à chaque transaction (fonction disponible sur les wallets HD).

  • Privilégiez les hardware wallets, qui isolent vos clés privées hors ligne.

  • Activez les listes blanches (whitelisting) pour restreindre les destinataires autorisés.

  • Fuyez les QR codes inconnus ou non vérifiés.

  • Mettez à jour vos logiciels régulièrement pour bénéficier des derniers correctifs.

  • Optez pour des wallets multisignatures : une seule erreur ne suffit pas pour valider un transfert.

  • Utilisez des outils d’analyse blockchain qui détectent les comportements suspects, comme les « dusting attacks ».

Et surtout, ne copiez jamais une adresse à l’aveugle depuis votre historique.

Une faille humaine dans un monde ultra-sécurisé

L’address poisoning nous rappelle une vérité fondamentale : la blockchain est peut-être inviolable… mais l’humain, lui, reste vulnérable.

Dans ce Far West numérique, votre meilleure arme reste la vigilance. Ne baissez pas votre garde, même face à ce qui semble familier. Parce qu’un chiffre en trop, une lettre en moins, et votre wallet pourrait bien faire un don involontaire à un escroc plus malin que bruyant.

Partager cet article :

Antoine Marchain

Antoine Marchain

Co-Fondateur