Arnaque à l’empoisonnement d’adresse : comment ça marche et comment l’éviter
Imaginez envoyer des cryptomonnaies comme d'habitude. Vous ouvrez votre portefeuille, consultez votre historique de transactions, copiez l'adresse que vous avez utilisée une douzaine de fois, la collez et cliquez sur « Envoyer ». Le transfert est confirmé en quelques secondes. Le problème ? L'argent vient d'arriver entre les mains d'un inconnu qui a utilisé une puissance de calcul considérable pour créer une adresse quasi identique à la vôtre, et la blockchain a exécuté vos instructions à la lettre. En résumé, c'est l'empoisonnement d'adresse : pas de clés volées, pas de logiciel malveillant, juste une fausse identité implantée dans vos propres enregistrements. Ce guide explique le fonctionnement de cette arnaque, ses trois formes, les pertes réelles qu'elle engendre et les quelques habitudes à adopter pour s'en prémunir avant d'envoyer des fonds au mauvais endroit.
Qu'est-ce que l'empoisonnement à l'adresse exactement ?
L'empoisonnement d'adresse est une attaque de phishing qui cible votre mémoire et votre écran, et non le chiffrement sous-jacent. Vos clés privées ne sont jamais touchées. Rien n'est extrait, déchiffré ou piraté. Cette escroquerie exploite une habitude humaine courante : une adresse blockchain est une longue suite illisible de lettres et de chiffres (par exemple 0x4a3f...c91d), et presque personne ne la lit en entier. On vérifie les quatre premiers caractères, les quatre derniers, on hausse les épaules et on passe à autre chose.
Ce simple haussement d'épaules représente toute la vulnérabilité. Créez une adresse contenant ces caractères visibles, présentez-la à une personne de confiance, et vous avez de fortes chances d'être payé par erreur. Le plus cruel, c'est ce qui suit. Les transferts sur la blockchain sont définitifs : impossible de contacter une banque ou d'annuler une transaction. Dès que vous confirmez, l'argent appartient à quelqu'un d'autre. Les assurances et les rétrofacturations, ces filets de sécurité qui sauvent les investisseurs dans la finance traditionnelle, n'existent tout simplement pas ici. L'empoisonnement d'adresse ne détruit pas la blockchain. Il détourne votre attention, puis permet à la chaîne d'exécuter précisément ce que vous avez manqué.
Comment fonctionne l'empoisonnement d'adresse en cryptomonnaie
Bien que le résultat paraisse magique, le mécanisme est en réalité très simple. Une attaque par empoisonnement d'adresse réussie se déroule en trois étapes que quiconque étudie la chaîne peut reproduire.
Étape 1 : générer une adresse similaire
L'attaquant choisit d'abord une cible, généralement une adresse effectuant fréquemment des transferts de fonds, puis utilise un générateur d'adresses personnalisées. Le logiciel analyse plusieurs paires de clés candidates jusqu'à en trouver une dont l'adresse commence et se termine par les mêmes caractères qu'une adresse à laquelle la victime envoie régulièrement des fonds. Trouver une correspondance de quelques caractères est peu coûteux, et c'est là que le bât blesse : après la mise à jour Fusaka d'Ethereum qui a réduit les frais, une analyse a révélé que des attaquants avaient effectué trois millions de transferts de « dust » pour un montant total d'environ 5 175 $. À ces prix-là, l'empoisonnement d'adresses est une pratique courante, et non un simple vol.
Étape 2 : empoisonner votre historique de transactions
Ensuite, l'attaquant insère cette adresse frauduleuse dans vos enregistrements, de sorte qu'elle ressemble à une transaction que vous avez déjà effectuée. Il peut vous envoyer une petite quantité d'un jeton réel, déclencher un transfert sans valeur ou vous envoyer un jeton contrefait. Quelle que soit la méthode employée, l'objectif est le même : faire apparaître la fausse adresse dans votre historique, à côté de la vraie, avec les mêmes caractères au début et à la fin.
Étape 3 : le piège du copier-coller
Puis ils attendent. La prochaine fois que vous souhaitez payer votre destinataire habituel, par facilité, vous copiez l'adresse directement depuis votre historique de transactions récentes. Les caractères affichés correspondent, rien ne semble suspect, et vous envoyez. En agissant machinalement, vous risquez d'envoyer accidentellement des jetons à une adresse similaire au lieu de celle que vous aviez prévue. La blockchain exécute correctement le transfert, mais vers la mauvaise personne. C'est pourquoi l'empoisonnement d'adresse est parfois appelé le piège du copier-coller, et pourquoi il fonctionne aussi bien sur les utilisateurs expérimentés et prudents que sur les débutants. Son efficacité repose sur le timing : l'entrée malveillante est souvent insérée quelques minutes seulement après une transaction légitime, de sorte que la fausse adresse apparaît exactement là où votre œil s'attend à trouver la véritable. Il ne s'agit pas tant de négligence que d'efficacité, et c'est précisément sur cette efficacité que compte l'attaquant.
Les trois types d'empoisonnement d'adresse
Une étude universitaire de Carnegie Mellon datant de 2025 a classé les attaques réelles en trois catégories. Elles diffèrent par la manière dont la fausse adresse est implantée, ce qui influence les éléments dont vous devriez vous méfier dans votre historique.
| Taper | Comment la fausse adresse est implantée | Le dire |
|---|---|---|
| Transfert de poussière infime | Un montant symbolique réel mais infime envoyé depuis l'adresse usurpée | Une somme entrante insignifiante et inattendue |
| Transfert à valeur nulle | Un transfert de « 0 » jetons qui enregistre tout de même un événement de transfert dans votre historique | Affiche votre propre adresse comme expéditeur, valeur 0 |
| Jeton contrefait | Un faux contrat imitant un vrai jeton (un USDT ou un USDC contrefait) | Le nom du jeton semble correct, mais pas l'adresse du contrat. |
Des trois variantes, le transfert de valeur nulle est celle qui prête le plus à confusion, car elle peut sembler provenir de votre propre adresse. Ceci est possible car certains contrats de jetons permettent à quiconque d'émettre un événement « Transfert » pour zéro jeton sans l'autorisation du propriétaire. L'attaquant peut ainsi créer une entrée que votre portefeuille affichera fidèlement. Historiquement, la BNB Smart Chain a enregistré beaucoup plus de tentatives que Ethereum grâce à des frais moins élevés, mais la réduction des frais de Fusaka a inversé la tendance, déplaçant l'essentiel de l'activité vers Ethereum.
Combien d'argent vole l'empoisonnement d'adresse ?
L'empoisonnement d'adresses semble anodin jusqu'à ce qu'on en prenne la mesure. Les chiffres ci-dessous sont volontairement datés, car dans ce secteur des cryptomonnaies, les chiffres évoluent rapidement et les totaux de l'année dernière sous-estiment largement l'ampleur du problème.
| Étui ou mesure | Montant | Quand | Résultat |
|---|---|---|---|
| Étude Carnegie Mellon / USENIX (ETH + BSC) | 270 millions de tentatives, 83,8 millions de dollars perdus, 17 millions de victimes | Juillet 2022 à juin 2024 | La plus vaste étude à ce jour |
| Baleine Bitcoin enveloppée | Environ 68 millions de dollars envoyés à un sosie | Mai 2024 | Les fonds ont été restitués ; le pirate a empoché environ 1,49 million de dollars. |
| Victime unique d'USDT | 49,9 millions de dollars | Décembre 2025 | Blanchi par Tornado Cash |
| Pertes Ethereum (ScamSniffer) | 62 millions de dollars | Décembre 2025 à janvier 2026 | Total sur deux mois |
Deux de ces cas méritent qu'on s'y attarde. La victime de l'escroquerie au bitcoin encapsulé, qui a failli perdre environ 68 millions de dollars en mai 2024 , a finalement récupéré ses fonds, car l'attaquant (après blanchiment et négociations) a restitué la majeure partie de la somme et est reparti avec environ 1,49 million de dollars ; les enquêteurs ont par la suite établi un lien entre cette seule campagne et 82 031 adresses usurpées. Rares sont ceux qui ont autant de chance. La victime de 49,9 millions de dollars en USDT en décembre 2025 a vu son argent disparaître directement dans Tornado Cash, sans possibilité de remboursement ni de recours.
La tendance est ce qui est véritablement inquiétant. Après la mise à jour Fusaka qui a réduit les frais d'Ethereum, les tentatives d'empoisonnement mensuelles sur le réseau ont plus que quintuplé. En janvier 2026, Citi a signalé que le record d'Ethereum de 2,8 millions de transactions par jour était principalement dû à des attaques par empoisonnement plutôt qu'à une véritable utilisation économique. Début 2000, les estimations du secteur faisaient état de pertes cumulées avoisinant le demi-milliard de dollars. Ce qui me perturbe, ce n'est pas tant l'ingéniosité de l'escroquerie que son coût : quelques milliers de dollars de frais permettent des millions de tentatives, et l'attaquant n'a besoin que d'une seule d'entre elles pour réussir.
Empoisonnement vs usurpation d'identité vs empoisonnement IP
Le terme « empoisonnement » est souvent utilisé à tort pour désigner des attaques très différentes ; il est donc utile de les distinguer. L’empoisonnement d’adresse, qui nous intéresse ici, est une escroquerie liée aux cryptomonnaies qui consiste à insérer une adresse similaire dans votre historique. L’usurpation d’adresse est un terme plus général qui désigne généralement le fait de falsifier l’expéditeur apparent d’un message ou d’une transaction pour usurper l’identité d’une personne. Quant à l’« empoisonnement d’IP », parfois recherché par erreur, il fait référence à des attaques réseau comme l’empoisonnement du cache ARP ou DNS, qui n’ont rien à voir avec les portefeuilles de cryptomonnaies . Un même verbe, trois contextes distincts.
Comment se protéger contre l'empoisonnement à l'adresse
Presque toutes les défenses contre l'empoisonnement d'adresse se résument à une seule règle : ne jamais se fier à son propre historique de transactions et ne jamais copier directement les adresses qui y figurent. La fausse adresse s'y trouve précisément parce que c'est là que vous regardez. Adoptez quelques habitudes en conséquence et l'attaque deviendra quasiment inopérante.
Vérifiez l'adresse complète, jamais le prénom et le nom.
Vérifiez la chaîne entière, ou au moins une large portion au milieu et aux extrémités. Un attaquant peut facilement faire correspondre les premiers et derniers caractères, mais faire correspondre une longue séquence au milieu est beaucoup plus difficile. La plupart des portefeuilles modernes utilisent la norme de somme de contrôle EIP-55, et les conventions d'affichage récentes mettent davantage en évidence l'adresse, ce qui facilite la détection des anomalies.
Utilisez un carnet d'adresses, ne recopiez jamais d'historique
Enregistrez l'adresse de chaque destinataire une seule fois, après l'avoir vérifiée auprès d'une source fiable, puis envoyez vos paiements depuis ce contact enregistré au lieu de copier les adresses de vos transactions récentes. Les portefeuilles comme MetaMask appellent cela des « Contacts » ; le principe est le même partout. L'entrée enregistrée ne peut pas être corrompue par un virement entrant, ce qui est l'essentiel.
Tests de transactions, écrans matériels et listes d'autorisation de paiement
Pour les transactions importantes, envoyez d'abord un petit montant test et vérifiez l'adresse du destinataire avant d'envoyer le reste ; les quelques centimes de frais constituent une assurance bon marché contre une erreur qui pourrait coûter très cher. Les portefeuilles matériels sont également utiles, car ils affichent la destination réelle sur un écran séparé, ce qui empêche les logiciels malveillants présents sur votre ordinateur de la modifier discrètement. Les entreprises effectuant fréquemment des paiements en cryptomonnaies sont particulièrement vulnérables, car elles copient et collent des adresses toute la journée et délèguent souvent cette tâche à des employés qui n'ont peut-être jamais entendu parler d'empoisonnement de cryptomonnaie. Limiter les paiements à une liste blanche pré-approuvée (un ensemble fixe de destinations vérifiées que le système ne modifiera pas) élimine tout risque d'erreur humaine. Si vous acceptez les paiements en cryptomonnaies via une passerelle de paiement, vérifiez si celle-ci verrouille déjà les adresses de retrait, précisément pour cette raison.
Que font les portefeuilles et les plateformes d'échange ?
Les outils évoluent, mais aucun ne remplace les bonnes pratiques mentionnées précédemment. Les explorateurs de blocs comme Etherscan masquent ou signalent désormais les transferts de valeur nulle afin d'éviter qu'ils n'encombrent votre historique. Ledger Live et Trezor Suite filtrent les entrées suspectes, et en mars 2026, Trust Wallet a déployé une protection automatique contre l'empoisonnement d'adresses sur 32 blockchains . Les plateformes d'échange centralisées présentent également ce risque, car les utilisateurs réutilisent fréquemment la même adresse de dépôt ; une entrée empoisonnée peut donc s'avérer tout aussi coûteuse. Rien n'est infaillible : un attaquant déterminé peut toujours réussir à contourner un filtre qui n'a pas encore détecté une adresse similaire. Ces outils vous offrent donc une marge de sécurité supplémentaire, et non une immunité totale. Considérez chacune de ces fonctionnalités comme un filet de sécurité renforcé par votre propre vigilance, et non comme un substitut à celle-ci.
Qui est visé et quelles sont les conclusions à en tirer ?
Il est tentant de croire que seuls les novices imprudents tombent dans le panneau, mais les données prouvent le contraire. Les pertes les plus importantes touchent les expéditeurs et les entreprises actifs et expérimentés, précisément ceux qui effectuent fréquemment des transferts de fonds et qui ont pris l'habitude de copier-coller rapidement, sans même y réfléchir. L'empoisonnement d'adresse est peu coûteux à mettre en œuvre, irréversible lorsqu'il réussit, et repose entièrement sur une habitude que nous partageons presque tous, ce qui explique sa grande persistance. La vigilance est véritablement la meilleure solution, car une fois le piège connu, la simple vérification d'une adresse complète suffit à le désamorcer. La vraie question n'est pas de savoir si vous comprenez l'arnaque, mais plutôt si vous la repéreriez à deux heures du matin, sur votre téléphone, en train de payer quelqu'un à qui vous avez déjà fait confiance des centaines de fois.
