Ça arrive même aux meilleurs. En matière de sécurité, le domaine de la cryptomonnaie est particulièrement exposé, car il exige de multiples manipulations qui sont parfois délicates. Copier-coller une adresse publique à 30 caractères fait notamment partie du b.a.-ba de tous les utilisateurs, même si un petit frisson peut nous parcourir l’échine au moment de cliquer sur envoyer. D’où l’intérêt de faire une transaction test et de bien relire l’adresse. Mais malgré tous ces bons conseils, il arrive que des erreurs soient commises. Pire : certains pirates connaissant parfaitement les habitudes des cryptos fans ont développé une nouvelle arnaque qui marche plutôt bien et qu’on appelle l’airdropping. Voyons ensemble en quoi cela consiste et comment l’agence anti drogue américaine s’est fait piéger !
Un petit malin arrive à escroquer la DEA et les US Marshals
Tout commence au mois de mai dernier quand la Drug Enforcement Administration (DEA) met la main sur près d’1 demi-million de dollars en USDT dans le cadre d’une enquête sur un trafic de stupéfiants. Soupçonnés d’être utilisés pour transférer l’argent, deux comptes Binance sont ainsi gelés et vidés de ces 500 000 dollars, qui sont envoyés sur un portefeuille physique de marque Trezor appartenant à l’Administration. Après cela, le tout est stocké dans un endroit sécurisé, en attendant la suite des investigations.
Mais pendant ce temps-là, sur la blockchain, un petit malin observe attentivement les adresses publiques appartenant à la DEA et au bureau des Marshals américains. Il remarque qu’une transaction vient d’être opérée. L’agence anti drogue vient en effet de transférer 45,36 dollars en USDT au bureau des US Marshals. L’escroc comprend alors que cela pourrait être une transaction test en vue d’envoyer bien plus d’argent. Dans la foulée, il crée une adresse crypto qui correspond aux cinq premiers caractères et aux quatre derniers de l’adresse publique des US Marshals.
Vexée, l’Administration américaine en appelle au FBI, à Binance et même à Google
Par la suite, il envoie un peu d’argent sur l’adresse de la DEA, en espérant qu’elle croira qu’il s’agit d’une nouvelle transaction test. Bingo ! Le service a mordu et a immédiatement envoyé un peu plus de 55 000 dollars en copiant l’adresse du pirate qui ressemblait – au début et à la fin – à celle des Marshals. Quand les services se rendent compte de la bévue, c’est le branle-bas de combat.
Les équipes de Tether sont contactées et veulent bien coopérer, mais les fonds sont déjà repartis. Avec l’aide du FBI, on comprend alors que les USDT sont devenus des ethers et qu’ils ont transité sur deux comptes Binance.
Les enquêteurs remontent la piste menant aux adresses Gmail utilisées pour créer le compte, mais elles attendent toujours le concours de Google pour aller plus avant. Le FBI a précisé à la presse américaine que les adresses utilisées par l’aigrefin ont vu transiter plus de 400 000 dollars depuis le mois de juin et que 300 000 dollars étaient déjà repartis. Ni la DEA, ni le FBI n’ont souhaité faire de déclarations. Et on sent les experts américains un peu vexés par la situation.
Cette histoire est l’occasion pour Jake Moore, spécialiste de la Cybersécurité et dirigeant de ESET, de rappeler la chose suivante :
« En vérifiant uniquement les quatre derniers chiffres de l’adresse du portefeuille, les agents pouvaient croire que ce serait suffisant. Mais il faut rappeler à quel point il est important de tout vérifier avant de confirmer la transaction lorsque de grosses sommes d’argent sont impliquées. »
Bien sûr, cette boulette de la toute-puissante DEA peut prêter à sourire. Mais, gardons en tête qu’il arrive à tout le monde d’être étourdi ou d’aller un peu trop vite. Il convient alors de prendre son temps et de bien vérifier tous les paramètres d’une transaction avant d’appuyer sur « valider ».
Une erreur d’aiguillage, ça n’arrive pas qu’aux autres ! Il vaut mieux ouvrir grand les yeux avant de valider toute transaction. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).
