Résoudre les escroqueries par empoisonnement : comment éviter d'envoyer des crypto-monnaies vers le mauvais portefeuille
Les escroqueries par empoisonnement d’adresse vous incitent à copier une adresse de portefeuille similaire à partir de l’historique des transactions. Apprenez les habitudes de transfert sûres qui évitent cette erreur coûteuse.
L’empoisonnement d’adresse est l’une des escroqueries cryptographiques les plus faciles à sous-estimer, car rien ne semble manifestement piraté.
Le solde de votre portefeuille est peut-être toujours là. Votre phrase de départ est peut-être toujours sûre. L’arnaque fonctionne parce que l’attaquant place une adresse similaire dans votre historique de transactions et attend que vous copiez la mauvaise plus tard.
Pour quiconque transfère des fonds d’un échange vers l’auto-garde, envoie des pièces stables entre portefeuilles ou gère un portefeuille matériel, il s’agit d’un risque pratique qui mérite d’être compris.
Réponse courte
Ne copiez pas les adresses de portefeuille de l’historique des transactions.
Utilisez une nouvelle adresse de réception, une entrée enregistrée dans le carnet d'adresses, une liste d'autorisation de retrait d'échange ou un enregistrement de contact vérifié. Vérifiez ensuite l'adresse complète de destination sur l'écran de confiance avant d'envoyer.
| Si vous êtes sur le point de... | Une habitude plus sûre |
|---|---|
| Envoyez des crypto-monnaies vers votre propre portefeuille matériel | Ouvrez le flux de réception du portefeuille et vérifiez l'adresse sur l'appareil |
| Se retirer d'un échange | Utiliser la liste d'autorisation de retrait pour les adresses de confiance |
| Répéter un transfert précédent | Utiliser une adresse enregistrée et étiquetée au lieu de l'historique des transactions |
| Envoyer un gros montant | Envoyez d'abord un petit test, puis vérifiez le destinataire enregistré avant le transfert complet |
| Voir un étrange petit dépôt ou NFT | Ignorez-le ; ne copiez pas les adresses |
Comment fonctionne l'empoisonnement d'adresse
Ledger décrit l'empoisonnement d'adresse comme une arnaque dans laquelle un fraudeur envoie une petite quantité de crypto ou de NFT sur votre compte afin qu'une transaction « empoisonnée » apparaisse dans l'historique de votre portefeuille. L'adresse de l'escroc est conçue pour ressembler à celle que vous avez utilisée auparavant, correspondant souvent au premier ou au dernier caractère.Trezor décrit le même schéma que l'usurpation d'adresse : l'attaquant s'appuie sur la hâte, l'historique public de la blockchain et des adresses d'apparence similaire. Chainalysis a également documenté de grandes campagnes automatisées au cours desquelles les attaquants généraient des milliers de fausses adresses sosies et attendaient que les victimes fassent une erreur de copier-coller.
Le détail important : l'escroc n'a généralement pas besoin de votre phrase de départ. Ils ne cassent pas votre portefeuille matériel. Ils exploitent la façon dont les gens réutilisent l’historique des transactions comme raccourci.
À quoi ça ressemble dans la vraie vie
Les signes courants incluent :
- un petit dépôt symbolique inattendu
- un NFT inconnu ou une transaction de valeur nulle
- une transaction dans votre historique que vous ne vous souvenez pas avoir effectuée
- une adresse qui correspond au début et à la fin d'une adresse réelle mais qui diffère au milieu
- un faux transfert de token qui ressemble visuellement à un véritable mouvement USDC, USDT ou stablecoin
Ceci est plus courant sur les chaînes à bas prix, car les attaquants peuvent empoisonner de nombreux portefeuilles à moindre coût. Ledger mentionne spécifiquement des réseaux tels que Polygon, Tron, Tezos, Solana et BNB Smart Chain, mais le problème d'habitude peut s'appliquer n'importe où : si vous copiez la mauvaise adresse, la chaîne ne vous sauvera pas.
L'erreur qui fait perdre de l'argent
La plupart des victimes ne perdent pas d’argent lorsque la transaction empoisonnée arrive.
Ils perdent des fonds plus tard, lorsqu'ils font quelque chose comme ceci :
- Ouvrez l'historique du portefeuille.
- Recherchez une transaction antérieure.
- Copiez une adresse qui vous semble familière.
- Vérifiez uniquement les premiers et derniers caractères.
- Envoyez des fonds à l'adresse sosie du fraudeur.
Cette dernière étape est la plus coûteuse. Les transferts cryptographiques sont normalement irréversibles, la prévention compte donc plus que le nettoyage.
Flux de travail de transfert plus sûr
Utilisez ce processus pour tout transfert significatif :
1. Démarrez à partir du récepteur, pas de l'historiqueSi vous envoyez vers votre propre portefeuille, ouvrez le portefeuille de réception et générez ou affichez-y l'adresse.
Si vous utilisez un portefeuille matériel, vérifiez l'adresse de réception sur l'écran de l'appareil. Ne vous fiez pas uniquement à l’affichage de l’application de bureau ou mobile.
2. Vérifiez plus que le premier et le dernier caractères
Les adresses similaires sont conçues pour passer des contrôles paresseux. Ne vous fiez pas aux « mêmes quatre premiers, mêmes quatre derniers ».
Pour les transferts plus importants, comparez l'adresse complète ou utilisez un flux QR fiable du portefeuille de réception. Si le portefeuille prend en charge les étiquettes d'adresse ou les contacts, enregistrez l'adresse vérifiée avec un nom clair.
3. Utiliser la liste d'autorisation de retrait d'échange
Coinbase recommande la liste autorisée de retrait comme habitude de sécurité pour les transferts en chaîne. Kraken, Coinbase et d'autres échanges majeurs prennent en charge une certaine forme de comportement de carnet d'adresses ou de liste verte en fonction de la région et des paramètres du compte.
La liste blanche n’est pas parfaite, mais elle est utile, car une adresse frauduleuse ne doit pas devenir une cible de retrait valide simplement parce qu’elle apparaît dans l’historique de votre portefeuille.
4. Envoyez une transaction test pour les mouvements importants
Pour des montants significatifs, envoyez d’abord un petit test.
Vérifiez ensuite qu'il est arrivé au portefeuille prévu. Après cela, envoyez le montant total au même destinataire enregistré et vérifié, et non à une nouvelle adresse copiée de l'historique des transactions.
5. Traitez les dépôts surprises comme du bruit
Un petit dépôt aléatoire ou NFT ne signifie pas que vous avez gagné quelque chose. Cela ne signifie pas non plus automatiquement que votre portefeuille est compromis.
Ignorez-le. N'interagissez pas avec les liens joints, les faux sites de jetons ou les NFT suspects. Et n’utilisez pas cette transaction comme source d’adresses futures.
Les portefeuilles matériels aident, mais seulement si vous ralentissezUn portefeuille matériel protège les clés privées de votre ordinateur ou téléphone. Il ne sait pas comme par magie si l'adresse que vous avez collée est celle que vous vouliez utiliser.
C'est pourquoi l'écran de confiance est important.
Si vous choisissez un portefeuille principalement pour réduire les erreurs de transfert, comparez l'expérience de confirmation réelle, la clarté de l'écran, le flux mobile et le modèle de récupération, et pas seulement le nom de la marque. Commencez par notre guide du meilleur portefeuille matériel pour débutants, puis lisez la évaluation du Ledger, la évaluation de Trezor ou la évaluation de Tangem en fonction de la configuration que vous envisagez.
Adresser l'empoisonnement par rapport aux autres escroqueries au portefeuille
L’empoisonnement d’adresse est différent des escroqueries à l’approbation et du vol de phrases de départ.
| Type d'arnaque | Ce que veut l'attaquant | Meilleure défense |
|---|---|---|
| Aborder l'empoisonnement | Vous inciter à envoyer à la mauvaise adresse | Vérifier l'adresse de destination à partir d'une source fiable |
| Arnaque à l'approbation | Obtenez l'autorisation de déplacer les jetons plus tard | Comprendre chaque approbation avant de signer |
| Fausse application de portefeuille | Volez votre phrase de départ ou vos clés privées | Installer uniquement à partir de sources officielles |
| Prise en charge de l'usurpation d'identité | Vous poussez à déplacer des fonds ou à partager des secrets | Ne suivez jamais les instructions de transfert d'un prétendu agent de support |
Pour un modèle de menace plus large, lisez les escroqueries cryptographiques courantes et comment les éviter. Pour connaître les risques liés à la signature, consultez la section arnaques à l'approbation du portefeuille et autorisations dangereuses.
Conclusion
L’empoisonnement d’adresse n’est pas sophistiqué car il brise la cryptographie. Elle est sophistiquée parce qu'elle abuse de la commodité.
La solution est ennuyeuse mais efficace : ne copiez jamais à partir de l'historique des transactions, vérifiez l'adresse complète du destinataire sur un écran fiable, utilisez les listes autorisées lorsque cela est possible et testez avant de déplacer de l'argent important.Si cela vous semble lent, rappelez-vous l’importance de votre propre garde : vous êtes la couche d’approbation finale.
Recevez le digest Coin Buyer Guide
Un e-mail pratique chaque semaine avec de nouveaux guides sur les wallets, plateformes, cartes, impôts et sécurité crypto, plus des notes utiles du secteur. Pas de hype.