Arnaque par empoisonnement d'adresse : Une erreur de copier-coller coûte 50 millions de dollars à un trader de cryptomonnaies

Un utilisateur de crypto a perdu près de 50 millions de dollars en USDT dans une arnaque par détournement d'adresse après avoir copié une adresse de portefeuille frauduleuse depuis son historique de transactions, selon la société de sécurité blockchain SlowMist.

La victime a transféré 49 999 950 USDT vers une adresse contrôlée par l'attaquant qui imitait étroitement sa destination prévue, avec les trois premiers et les quatre derniers caractères identiques.

Les fonds volés ont été rapidement convertis en ETH, distribués sur plusieurs portefeuilles et partiellement acheminés via le mixeur Tornado Cash.

Selon les détails de sécurité, le portefeuille de la victime était actif depuis environ 2 ans et était principalement utilisé pour des transferts USDT, les fonds compromis ayant été retirés de Binance peu avant le transfert empoisonné.

Les escroqueries crypto atteignent 90 milliards de dollars

L'incident est survenu au milieu d'une crise de sécurité plus large qui frappe l'industrie des crypto-monnaies, qui a désormais perdu près de 90 milliards de dollars à cause de piratages et d'exploits depuis sa création.

Le mois de novembre à lui seul a vu plus de 276 millions de dollars volés, portant les pertes de 2025 au-delà de 9,1 milliards de dollars, ce qui signifie qu'environ 10 % de toutes les pertes historiques de crypto se sont produites au cours des 12 derniers mois.

Mitchell Amador, PDG d'Immunefi, a averti que le paysage des menaces change fondamentalement.

« Le paysage des menaces passe des vulnérabilités du code on-chain à la sécurité opérationnelle et aux attaques au niveau de la trésorerie », a-t-il déclaré à Cryptonews. « À mesure que le code se renforce, les attaquants ciblent l'élément humain. »

Bien que 2025 soit la pire année en matière de piratages jamais enregistrée, Amador a souligné que ces pertes découlent de défaillances opérationnelles plutôt que de vulnérabilités des smart contracts.

« Bien que 2025 ait été la pire année en matière de piratages jamais enregistrée, ces pertes ont été principalement causées par des défaillances d'infrastructure Web2 traditionnelles et des pannes de sécurité opérationnelle, et non par du code on-chain », a-t-il expliqué.

Le FBI signale 9,3 milliards de dollars perdus dans la fraude à l'investissement

Les Américains ont perdu environ 9,3 milliards de dollars dans des systèmes d'investissement crypto en 2024, soit une augmentation de 66 % par rapport à l'année précédente, selon les données du FBI.

Les arnaques de type pig-butchering ont contribué à plus de 9,9 milliards de dollars dans le monde, les données de Chainalysis montrant que l'activité a augmenté de près de 40 % en 2024.

Les sénateurs américains Elissa Slotkin et Jerry Moran ont présenté le SAFE Crypto Act, qui propose une task force fédérale pour coordonner les agences gouvernementales, les forces de l'ordre et les experts du secteur privé afin de lutter contre la fraude liée aux crypto-monnaies.

La législation exige que les émetteurs de stablecoins autorisés maintiennent des capacités techniques pour geler ou saisir des actifs numériques liés à des activités illégales.

Les mesures d'application se sont intensifiées, les autorités américaines ayant annoncé en octobre la plus grande saisie de crypto jamais réalisée, ciblant le Prince Holding Group basé au Cambodge.

Tether a également gelé près de 50 millions de dollars en USDT liés à des réseaux de pig-butchering en Asie du Sud-Est, tandis que Binance a empêché 7,5 millions d'utilisateurs de perdre près de 10 milliards de dollars à cause de la fraude entre décembre 2022 et mai 2025.

Le facteur humain devient le principal vecteur d'attaque

Au-delà des escroqueries sophistiquées, les attaques de logiciels malveillants continuent de vider les portefeuilles, un entrepreneur de Singapour ayant perdu plus de 100 000 dollars après avoir téléchargé un logiciel malveillant déguisé en programme de test de jeu.

Une violation distincte de portefeuille multisignature plus tôt ce mois-ci a entraîné le vol d'environ 27,3 millions de dollars par compromission de clé privée, les attaquants ayant blanchi environ 12,6 millions de dollars via Tornado Cash.

Amador a soutenu que l'industrie doit fondamentalement restructurer son approche de la sécurité.

« Sécuriser le code n'est pas suffisant si les utilisateurs et les opérateurs restent vulnérables », a-t-il déclaré.

« Les entreprises du Web3 doivent investir beaucoup plus dans la sécurité au niveau humain, et cela signifie former les équipes, renforcer les contrôles opérationnels et éduquer directement les utilisateurs sur la façon de repérer les messages d'arnaque, de reconnaître les tentatives d'ingénierie sociale et de protéger leurs actifs on-chain. »

Il a noté que 99 % des projets Web3 fonctionnent sans pare-feu de base, tandis que moins de 10 % déploient des outils de sécurité modernes pilotés par l'IA.

« La plupart des piratages cette année ne se sont pas produits en raison d'audits médiocres », a expliqué Amador. « Ils se sont produits après le lancement, lors de mises à niveau de protocole ou par le biais de vulnérabilités d'intégration — des angles morts que les audits seuls ne peuvent pas détecter. »

Malgré les pertes croissantes, Amador a maintenu son optimisme quant à la sécurité du code on-chain, prédisant que 2026 sera la meilleure année à ce jour pour la sécurité des smart contracts alors que l'industrie continue de renforcer son infrastructure technique.