Address poisoning, le hack mortel qui piège vos cryptomonnaies

Les hackers qui en ont après nos cryptomonnaies misent la plupart du temps sur notre inattention. Que cela passe par des attaques de type phishing ou des méthodes de social engineering plus poussées, l’objectif reste le même : profiter de l’inattention de la victime pour lui dérober ses fonds. Récemment, un chercheur a mené une enquête sur un autre type d’attaque : l’address poisoning. Une méthode ingénieuse, mais qui reste, semblerait-il, peu rentable pour les hackers.

Address poisoning : Quand un copier-coller peut coûter cher

Le 6 avril, Jameson Loop a publié sur son site Cypherpunk Cogitations, un rapport sur ses recherches menées sur l’address poisoning.

Ainsi, cette méthode qui vise à dérober vos crypto n’est pas nouvelle. En effet, cela fait plusieurs années que les hackers l’utilisent, aussi bien sur Bitcoin que sur Ethereum. Par exemple, en mai 2024, un utilisateur avait perdu plus de 60 millions de dollars dans ce type d’attaque. Mais alors, en quoi cela consiste ?

Pour ce type d’attaque, l’attaquant va générer une adresse très proche de celle de sa victime. À savoir une adresse qui a les mêmes premiers et derniers caractères. Pour cela, il utilise des algorithmes spécialisés qui vont générer des clés par milliers jusqu’à tomber sur une combinaison qui correspond.

Une fois une adresse correspondante générée, il va effectuer une transaction vers l’adresse de sa victime. Ensuite, il va patiemment attendre. En effet, le hacker espère que lors de sa prochaine transaction, la victime va copier-coller la dernière adresse de transfert depuis son historique de transactions. Comme l’adresse du hacker ressemble à celle de la victime, celui-ci ne se rendra peut-être pas compte qu’il a copié la mauvaise adresse. C’est là que le piège se referme.

Une méthode courante, bien que peu efficace

Suite à une publication sur X concernant cette attaque, Jameson Loop a souhaité savoir à quel point elle était fréquente et si elle était rentable pour les attaquants.

Ainsi, il a écrit un petit programme qui analyse l’ensemble de la blockchain Bitcoin. Son objectif était alors de trouver des transactions pour lesquelles les 4 premiers et derniers caractères de l’adresse d’entrée et de l’adresse de sortie correspondent.

Selon son analyse, ce type d’attaque a débuté en juillet 2023 sur Bitcoin. Et des transactions de poisoning peuvent être détectées jusqu’en 2025. Sur ces 18 mois, il enregistre un peu moins de 48 000 transactions qui relèvent de tentatives de poisoning.

Pour cela, les attaquants ont dépensé 0,068 BTC pour les poussières de BTC envoyés ainsi que 0,223 BTC pour les frais de transaction. Soit un total de presque 0,3 BTC ou 23 000$ au cours actuel.

Mais alors, est-ce efficace ? Spoiler : non

Via un second programme, Jameson Loop a cherché à savoir si cette attaque était rentable pour les hackers.

« J’ai écrit un script pour vérifier chaque adresse “poison” malveillante que j’ai trouvée pour voir si l’une d’entre elles avait reçu des dépôts après le dépôt et le retrait initial pour la transaction de l’attaque. »

En réalité, il n’a trouvé qu’une seule victime étant tombée dans le panneau, pour un butin total de 0,1 BTC. Ainsi, les attaquants ont dépensé 0,3 BTC pour un butin de 0,1 BTC. Pas incroyable.

Du moins pour le moment. En effet, il n’est pas exclu que l’une des 48 000 adresses ciblées tombe dans le panneau dans les mois à venir.

Comment se protéger des attaques par address poisoning ?

Bien que le nombre de victimes sur Bitcoin soit relativement bas, ce type d’attaque est également utilisée sur d’autres blockchains, dont Ethereum.

Afin d’éviter de tomber dans le piège, il convient de vérifier l’intégralité de l’adresse avant un envoi. Et pas seulement les 4 ou 5 premiers et derniers caractères.

Également, il est préférable de ne pas se baser sur votre historique de transaction pour retrouver une adresse sur laquelle vous avez fait un transfert.

Pour lutter contre cela, certains outils tels qu’Etherscan ont mis en place des protections. Par exemple, la plateforme avait désactivé l’affichage par défaut des transferts sans valeur, fréquemment utilisés pour ce type d’attaques.