Wang Chun a aussi été victime : une "frais de scolarité" de 50 millions USD. Pourquoi l'empoisonnement d'adresse réussit-il ?

Titre original : "50 millions USD volés suite à un défaut de vérification d'adresse"

Auteur original : Eric, Foresight News

Hier matin, heure de Pékin, un analyste blockchain nommé Specter a découvert un cas où près de 50 millions USDT ont été transférés vers une adresse de hacker en raison d'un manque de vérification minutieuse de l'adresse.

Selon l'enquête menée par l'auteur, l'adresse (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) a retiré 50 USDT de Binance pour un test de retrait important vers 13h00 le 19, heure de Pékin.

Environ 10 heures plus tard, l'adresse a retiré 49 999 950 USDT en une seule transaction depuis Binance, s'ajoutant aux 50 USDT précédents, pour un total exact de 50 millions.

Environ 20 minutes plus tard, l'adresse ayant reçu les 50 millions USDT a d'abord transféré 50 USDT vers l'adresse 0xbaf4…95F8b5 à des fins de test.

Moins de 15 minutes après la transaction de test, l'adresse du hacker 0xbaff…08f8b5 a transféré 0,005 USDT vers l'adresse détenant les 49 999 950 USDT restants. L'adresse du hacker utilisée pour le transfert présentait un début et une fin très similaires à l'adresse ayant reçu les 50 USDT, indiquant une attaque claire par "empoisonnement d'adresse".

10 minutes plus tard, alors que l'adresse commençant par 0xcB80 tentait de transférer les 40+ millions USDT restants, possiblement par négligence, elle a copié par erreur la transaction précédente, c'est-à-dire l'adresse utilisée par le hacker pour l'"empoisonnement", et a directement envoyé près de 50 millions USDT au hacker.

Après avoir reçu les 50 millions USD, le hacker a lancé des activités de blanchiment d'argent seulement 30 minutes plus tard. Selon la surveillance de SlowMist, le hacker a d'abord converti l'USDT en DAI via MetaMask, puis a utilisé tout le DAI pour acheter environ 16 690 Ethereum, conservant 10 ETH et transférant le reste des Ethereum vers Tornado Cash.

Hier vers 16h00 (heure de Pékin), la victime a interpellé le hacker sur la blockchain, déclarant que des poursuites pénales avaient été officiellement engagées. Avec l'aide des forces de l'ordre, d'organisations de cybersécurité et de multiples protocoles blockchain, une quantité importante de renseignements crédibles concernant les activités du hacker a été recueillie. La victime a déclaré que le hacker pouvait garder 1 million de dollars et restituer les 98 % restants des fonds. Si le hacker s'exécute, aucune action supplémentaire ne sera entreprise ; cependant, s'il ne coopère pas, il sera poursuivi par les voies légales pour responsabilité pénale et civile, et son identité sera publiquement divulguée. À ce jour, le hacker n'a fait aucun mouvement.

Selon les données compilées par la plateforme Arkham, cette adresse présente des enregistrements de transferts importants avec des adresses Binance, Kraken, Coinhako et Cobo. Bien que Binance, Kraken et Cobo soient bien connus, Coinhako peut être un nom relativement peu familier. Coinhako est une plateforme d'exchange de cryptomonnaies locale singapourienne établie en 2014. En 2022, elle a obtenu une licence d'institution de paiement majeure de l'Autorité monétaire de Singapour, ce qui en fait une plateforme d'exchange réglementée à Singapour.

Étant donné que cette adresse a interagi avec plusieurs exchanges et services de garde Cobo et a démontré sa capacité à contacter rapidement diverses parties pour traquer le hacker dans les 24 heures suivant l'incident, l'auteur suppose que cette adresse appartient probablement à une organisation plutôt qu'à un individu.

D'un "Oups" à une erreur coûteuse

La seule explication à une attaque réussie par "empoisonnement d'adresse" est la "négligence". De telles attaques peuvent être facilement évitées en vérifiant deux fois l'adresse avant une transaction, mais il est évident que le protagoniste de cet incident a sauté cette étape cruciale.

Les attaques par empoisonnement d'adresse sont apparues en 2022, l'histoire trouvant son origine dans un générateur d'"adresses fantaisistes", un outil permettant de personnaliser le préfixe de l'adresse EVM. Par exemple, l'auteur pourrait générer une adresse commençant par 0xeric pour la rendre plus reconnaissable.

Le hacker a découvert plus tard qu'en raison d'un défaut de conception, cet outil pouvait forcer les clés privées, menant à plusieurs incidents majeurs de vol de fonds. Cependant, la capacité de générer des adresses avec des préfixes et suffixes personnalisés a également suscité une idée sinistre : en créant des adresses similaires au début et à la fin de l'adresse de transfert couramment utilisée par un utilisateur et en transférant des fonds vers une autre adresse utilisée par l'utilisateur, certains individus pourraient envoyer par erreur leurs actifs on-chain vers l'adresse du hacker, en supposant qu'il s'agisse de la leur par négligence.

Les données on-chain historiques montrent que l'adresse commençant par 0xcB80 était l'une des cibles clés de l'empoisonnement d'adresse par le hacker avant cette attaque, l'attaque par empoisonnement d'adresse ayant commencé il y a près d'un an. Cette méthode d'attaque repose fondamentalement sur le pari du hacker qu'un jour vous tomberez dans le piège par paresse ou inattention. Ironiquement, cette méthode d'attaque manifestement évidente a conduit de plus en plus d'individus "négligents" à devenir des victimes.

En réponse à cet incident, le cofondateur de F2Pool, Wang Chun, a exprimé sa sympathie pour les victimes. Il a mentionné que l'année dernière, afin de tester si son adresse avait subi une fuite de clé privée, il a envoyé 500 Bitcoins dessus, pour finalement se faire voler 490 Bitcoins par des hackers. Bien que l'expérience de Wang Chun ne soit pas directement liée aux attaques par empoisonnement d'adresse, il voulait probablement faire comprendre que tout le monde a des moments d'inattention et qu'il ne faut pas blâmer les victimes pour leur négligence, mais plutôt pointer du doigt les hackers.

Une perte de 50 millions de dollars n'est pas un petit montant, mais ce n'est pas le montant le plus élevé volé lors de telles attaques. En mai 2024, une adresse a été victime d'une attaque similaire où plus de 70 millions de dollars de Bitcoin (WBTC) enveloppés ont été envoyés vers l'adresse d'un hacker. Cependant, la victime a finalement récupéré la quasi-totalité des fonds grâce à une négociation on-chain avec l'aide de sociétés de sécurité Match Systems et de la plateforme de trading Cryptex. Dans cet incident récent, le hacker a rapidement converti les fonds volés en Ethereum et les a transférés vers Tornado Cash, rendant la possibilité de récupération incertaine.

Le cofondateur et directeur de la sécurité de Casa, Jameson Lopp, a averti en avril que les attaques par empoisonnement d'adresse se propageaient rapidement, avec plus de 48 000 incidents de ce type survenus sur le réseau Bitcoin depuis 2023.

Ces méthodes d'attaque, y compris les faux liens de réunion Zoom sur Telegram, ne sont pas sophistiquées, mais c'est précisément cette approche "simple" qui peut prendre les gens au dépourvu. Pour ceux d'entre nous dans la forêt sombre, il est toujours préférable d'être extrêmement prudent.

Lien de l'article original