Compass Investments

Un négociant en crypto-monnaies a perdu plus de 12 millions de dollars en Ethereum (ETH) en raison de l’envoi par erreur de fonds vers un portefeuille frauduleux – selon les données de la blockchain, il s’agit d’une mise en œuvre réussie d’une attaque d’empoisonnement d’adresse.

Selon les enregistrements de la blockchain, le modèle de transaction de l’adresse de la victime, qui peut être identifiée comme 0xd674, impliquait des transferts réguliers de montants importants d’ETH vers un dépôt de Galaxy Digital, a révélé Lookonchain le 31 janvier.

Le sujet (0xd674) a perdu 4 556 $ETH (équivalent à 12,4 millions de dollars) en raison d’une copie incorrecte des informations d’identification.

0x6D90CC…dD2E48.

Il semble que ce modèle ait été utilisé par l’attaquant, qui a généré une adresse malveillante extrêmement similaire à l’adresse de dépôt authentique de Galaxy Digital, en gardant les caractères de début et de fin identiques.

Le journal des transactions montre que le pirate a envoyé à plusieurs reprises de petites sommes d’argent sur le portefeuille de la victime pendant un certain temps.

En conséquence de ces transactions polluantes, la fausse adresse s’est affichée à côté des destinataires légitimes dans l’activité récente du portefeuille, augmentant ainsi la probabilité d’erreurs lors des paiements ultérieurs.

Environ 11 heures avant l’enregistrement des pertes, le trader a lancé un autre transfert d’Ethereum destiné à Galaxy Digital.

Au lieu de vérifier manuellement les coordonnées du destinataire, l’adresse a simplement été copiée à partir de l’historique des transactions. En conséquence, 4 556 ETH, d’une valeur d’environ 12,4 millions de dollars à l’époque, ont été transférés vers un portefeuille contrôlé par l’attaquant.

Il convient de noter que le transfert a été effectué en une seule fois, que les fonds ont quitté le compte de la victime immédiatement et qu’aucune transaction corrective n’a pu être retracée.

L’adresse empoisonnée a accepté l’Ethereum avec succès et il n’existe aucune preuve de tentative de récupération ou de remboursement – ce qui est conforme au caractère irrécupérable des transactions de la blockchain.

Dans l’ensemble, cet incident démontre la prévalence croissante des attaques par empoisonnement d’adresses, où les opérateurs exploitent des similitudes visuelles d’adresses plutôt que des failles dans les contrats intelligents ou les protocoles.

De tels schémas d’exploitation reposent sur l’erreur humaine plutôt que sur des vulnérabilités techniques, laissant même les spécialistes du marketing expérimentés vulnérables à des transferts importants.

Investir dans des crypto-actifs et 3 000 autres instruments, y compris des actions et des métaux précieux.