Qu'est-ce qu'une arnaque de poisoning d'adresse ?

Une arnaque de poisoning d'adresse plante une adresse ressemblante dans l'historique de votre portefeuille ou de votre explorateur de blocs afin que vous la copiiez plus tard et envoyiez des fonds réels à l'attaquant. Elle utilise souvent des jetons fictifs ou un transfert de valeur nulle pour créer des entrées d'historique convaincantes. La blockchain peut fonctionner normalement pendant que l'utilisateur est trompé par l'interface utilisateur.

Un transfert de valeur nulle peut-il voler mes fonds par lui-même ?

Un transfert de valeur nulle ne déplace pas de valeur, mais il peut créer un enregistrement « envoyé » qui empoisonne votre historique et prépare un envoi erroné ultérieur. Sur les chaînes EVM, cela peut réussir via la logique transferFrom même lorsque l'allocation est nulle, car 0 est inférieur ou égal à 0. La perte se produit lorsque quelqu'un copie plus tard l'adresse du destinataire empoisonnée.

Vérifier les 4 premiers et les 4 derniers caractères d'une adresse de portefeuille est-il suffisant ?

Non. Revoke.cash avertit que les escrocs peuvent générer des adresses de vanité qui correspondent aux 4 premiers et aux 4 derniers caractères que vous voyez dans de nombreuses interfaces de portefeuille. La vérification de l'adresse complète, idéalement sur un écran de confirmation de portefeuille matériel, est le contrôle qui comble réellement l'écart.

Si je vois un poisoning d'adresse dans mon historique de transactions, ma clé privée est-elle compromise ?

Pas nécessairement. Trezor indique qu'il n'est pas nécessaire de s'inquiéter des fuites de clés privées dans un scénario de poisoning d'adresse de base. Le risque est d'envoyer des fonds au mauvais destinataire en raison de la copie ou d'une vérification insuffisante.

Comment puis-je éviter le poisoning d'adresse lorsque j'envoie à un échange ou que je réutilise une adresse ?

Ne sourcez pas les adresses de destination à partir de votre historique de transactions ou d'un ancien onglet d'explorateur de blocs. Copiez l'adresse de dépôt à partir de la page de dépôt de l'échange à chaque fois, ou utilisez une liste blanche/adresse enregistrée que vous avez créée vous-même. Pour les gros transferts, Trezor recommande d'effectuer d'abord un petit envoi test même si cela signifie payer les frais de gaz deux fois.

Comment détecter le poisoning d'adresse avant d'envoyer…

Le poisoning d'adresse est une arnaque d'adresse similaire qui transforme l'historique de votre portefeuille en un piège, vous amenant à copier une adresse ressemblante et à envoyer de véritables fonds à un attaquant. Le repérer revient à reconnaître des artefacts d'historique empoisonnés comme un transfert de valeur zéro ou des faux tokens, puis à forcer un workflow de vérification d'adresse complète avant chaque envoi significatif.

Points clés

Adressele poisoning fonctionne en plantant une adresse similaire dans l'historique de votre portefeuille ou de votre explorateur de blocs afin que vous la copiiez plus tard et envoyiez des fonds par erreur.
Les deux artefacts les plus courants sont des faux tokens qui imitent des majeurs (USDC/USDT) et des entrées de transfert de valeur zéro qui créent des enregistrements « envoyés » convaincants sans déplacer de valeur.
Les vérifications « 4 premiers / 4 derniers » ne constituent pas un véritable contrôle car des adresses de vanité peuvent être générées pour correspondre à ces segments visibles.
Pour les transferts au-dessus de votre seuil de douleur, un petit envoi test à la même adresse vérifiée est une assurance bon marché même si cela signifie payer des frais de gas deux fois.

Comment le poisoning d'adresse vous trompe

Le poison d'adresse n'est pas une histoire de compromis de clé privée. La chaîne fait ce qu'elle fait toujours, et l'attaquant exploite une erreur de flux de travail : traiter un flux de transactions publiques comme s'il s'agissait d'un carnet d'adresses de confiance. C'est pourquoi cela s'inscrit dans le cadre plus large des arnaques aux portefeuilles crypto et comment les éviter, même si rien ne "hache" le portefeuille.

Le mécanisme est simple. Un attaquant crée une adresse fantaisie qui ressemble visuellement à une destination légitime que vous avez utilisée auparavant. Ensuite, il fait en sorte que cette adresse ressemblante apparaisse dans des endroits d'où les gens copient, en particulier la vue de l'historique des transactions dans une application de portefeuille ou un onglet d'explorateur de blocs laissé ouvert plus tôt.

Lorsque l'utilisateur effectue plus tard un paiement récurrent ou un retrait d'échange et copie-colle à partir de l'historique, l'adresse de l'attaquant est là, attendant.

Les conseils de support de Trezor sont explicites sur le modèle de menace : il n'est pas nécessaire de s'inquiéter des clés privées qui fuient dans un scénario de poison d'adresse de base. La perte se produit lorsque des fonds sont envoyés au mauvais destinataire parce que l'utilisateur a copié la mauvaise ligne ou a vérifié trop peu l'adresse du portefeuille.

L'escroquerie se développe parce que les attaquants peuvent écrire dans votre historique à peu de frais. Trezor mentionne Ethereum et d'autres réseaux EVM comme cibles courantes, et note les chaînes à faibles frais comme Polygon, Avalanche, et BNB La chaîne est attrayante car le spam de nombreuses adresses est peu coûteux.

C'est le changement de mentalité : l'historique de votre portefeuille est une bande non fiable que n'importe qui peut essayer de « reproduire ».

Modèles de contamination courants à reconnaître

Deux modèles apparaissent encore et encore sur les chaînes EVM car ils créent l'artéfact UI exact que l'attaquant souhaite : une entrée plausible qui peut être copiée plus tard.

Le premier modèle est la route du faux-token. L'attaquant déploie un contrat de token sans valeur qui utilise un ticker ou un nom familier, comme USDC ou USDT, puis envoie des transferts qui ressemblent à une activité réelle.

Trezor décrit un indicateur commun : après un transfert légitime (par exemple, 5 300 USDC), l'attaquant envoie un transfert de faux token qui affiche le même montant afin que l'historique ressemble à une répétition de quelque chose que l'utilisateur a déjà fait.

Revoke.cash cadre la même idée comme « faire sembler que vous avez envoyé des tokens à une certaine adresse alors que vous ne l'avez pas fait », de sorte que la ligne du destinataire devient l'appât.

Le deuxième modèle est la route du transfert à valeur zéro. Ce n'est pas une transaction « échouée ». C'est souvent un événement délibérément valide qui existe pour empoisonner votre interface utilisateur.

Revoke.cash explique pourquoi cela peut réussir sans que vous approuviez quoi que ce soit de significatif : sur les tokens EVM utilisant la logique transferFrom, la vérification est montant ≤ allocation, et 0 passe même lorsque l'allocation est 0. Le résultat est une entrée « envoyée » ayant l'air propre avec une adresse de destinataire proche d'une réelle, mais la valeur est zéro.

Ces modèles peuvent se chevaucher avec une attaque de poussière dans le sens où les deux sont des spams peu coûteux qui se retrouvent dans votre historique. La différence est l'intention. La poussière est souvent utilisée pour suivre ou regrouper des adresses, tandis que la contamination d'adresse est conçue pour vous amener à copier-coller la mauvaise destination.

Vérifications d'adresse qui fonctionnent réellement

Une défense utilisable doit survivre au moment exact où les gens se font avoir : l'escroquerie par copie-collé d'adresse lors d'un envoi de routine. Cela signifie que la vérification ne peut pas se limiter à "jeter un œil aux premiers et derniers caractères". Revoke.cash est clair : les 4 premiers/derniers caractères ne suffisent pas car les escrocs peuvent générer des adresses qui correspondent à ces segments. Les conseils de Trezor vont plus loin : la seule façon d'être sûr est de vérifier chaque caractère.

Un flux de travail pratique ressemble à une liste de contrôle opérationnelle, pas à une vérification d'ambiance. L'objectif est de forcer une adresse de source de vérité, puis de la vérifier de bout en bout avant de signer.

1. Identifiez si l'adresse provient de l'historique. Si la destination a été copiée d'une liste de transactions, considérez-la comme suspecte par défaut et redémarrez le flux à partir d'une source propre. 2. Récupérez la destination à partir de la source de vérité. Pour un dépôt d'échange, cela correspond à la page de dépôt de l'échange ouverte fraîchement pour cet envoi.

Pour une personne, il s'agit d'un message frais du destinataire ou d'un nom ENS si les deux parties l'utilisent. 3. Comparez l'adresse complète, pas un extrait. Effectuez la comparaison dans un endroit difficile à falsifier, idéalement l'écran de confirmation du portefeuille matériel si vous en utilisez un. 4. Scannez l'historique récent à la recherche d'artefacts de contamination avant d'envoyer.

Recherchez spécifiquement une entrée de transfert de valeur zéro « envoyé » ou un transfert de jeton impliquant un nom de jeton suspect ressemblant autour de la dernière fois que vous avez payé ce contrepartie. 5. Utilisez une règle de taille. Si le montant est significatif, envoyez une petite transaction test à la même adresse vérifiée, puis envoyez le montant total uniquement après que le test soit arrivé.

C'est aussi là que "comment vérifier une transaction avant de signer" est important. L'étape de vérification ne concerne pas seulement le destinataire. C'est le réseau, leactif, et l'écran de confirmation final qui montre où les fonds vont réellement.

Des moyens plus sûrs de réutiliser les adresses

La plupart des pertes se produisent lors des transferts ennuyeux, pas lors des transferts exotiques. L'utilisateur est en train de déplacerstablecoinsà un échange, en payant à nouveau la même contrepartie, ou en transférant des fonds entre des portefeuilles. La solution consiste à ne plus considérer l'historique des transactions comme une liste de contacts.

Pour les dépôts et retraits d'échange, l'habitude la plus sûre est répétitive et légèrement ennuyeuse : ouvrez la page de dépôt de l'échange à chaque fois et copiez l'adresse à partir de là, au lieu de réutiliser une ancienne de l'historique de votre portefeuille. Revoke.cash recommande explicitement cette posture "ne jamais utiliser l'historique de votre portefeuille ou l'explorateur de blocs comme source de vérité" pour les dépôts.

Pour les paiements répétés à la même personne, le flux de travail le plus propre est de stocker l'adresse quelque part qui n'est pas modifiable par des tiers aléatoires. Certains portefeuilles prennent en charge les carnets d'adresses ou les listes blanches, et certains échanges prennent en charge les listes d'adresses de retrait autorisées. La clé est que l'enregistrement est créé par vous, et non par ce qui apparaît sur la chaîne.

Pour les auto-transferts entre vos propres portefeuilles, la même règle s'applique. Trezor avertit spécifiquement de ne pas copier même votre propre adresse à partir de l'historique des transactions lors du transfert de fonds d'un échange centralisé vers un appareil Trezor. Utilisez l'écran de réception pour le portefeuille de destination et vérifiez-le sur l'appareil.

C'est aussi là que les indicateurs d'interface utilisateur comptent. Trezor Suite comprend un mécanisme de filtrage qui floute les transactions suspectes dans l'historique et les marque comme non vérifiées. Ces étiquettes doivent être considérées comme un arrêt net, pas comme une suggestion, car tout l'objectif de l'escroquerie est de vous amener à faire confiance à ce que l'interface utilisateur montre.

Habitudes de contrôle des dommages et de prévention

Une entrée d'historique empoisonnée n'est pas une raison de paniquer à propos du vol de clés. Les conseils de Trezor sont clairs : l'empoisonnement d'adresse ne nécessite pas de fuite de clé privée. Le travail immédiat est d'éviter une erreur de flux de travail lors du prochain envoi.

1. Arrêtez d'utiliser l'historique comme source d'adresse. Si une entrée suspecte apparaît, supposez que l'attaquant essaie de préparer votre prochain copier-coller. 2. Ignorez les transferts signalés ou inexpliqués. Trezor recommande d'ignorer les transactions signalées comme suspectes par Trezor Suite et d'ignorer les transactions que vous ne pouvez pas expliquer. 3. Reconstruisez vos destinations "connues pour être bonnes".

Pour les échanges, recopiez les adresses de dépôt à partir de l'interface utilisateur de l'échange. Pour les personnes, reconfirmez l'adresse hors bande. 4. Appliquez une exécution en deux étapes pour la taille. Trezor recommande une petite transaction test avant un montant important, avec le compromis explicite que vous pourriez payer les frais deux fois. 5. Traitez les chaînes à faible frais comme des environnements à bruit élevé.

Trezor note que Polygon, Avalanche et BNB Chain sont souvent ciblés car il est bon marché de spammer de nombreuses adresses à grande échelle.

La réalité du point de vue des traders est que c'est un spam à haute fréquence, pas un cas marginal. Ledger cite plus de 270 millions de tentatives de transfert à valeur nulle à travers Ethereum et BNB Chain et 83 millions de dollars de pertes confirmées.

La méthodologie derrière ces agrégats n'est pas fournie dans l'extrait fourni, mais le point directionnel reste : l'attaque est peu coûteuse à exécuter et n'a besoin que d'une petite fraction de victimes pour envoyer par erreur.

Vers la fin de toute liste de contrôle de sécurité des portefeuilles, le même sujet général revient : les escroqueries de portefeuilles crypto et comment les éviter. L'empoisonnement d'adresse est la version qui punit une exécution négligente, donc l'habitude de prévention est de rendre "vérifier l'adresse complète, puis tester l'envoi pour la taille" aussi automatique que de vérifier la taille et le lieu avant un échange.