Même Wang Chun n’a pas été épargné : 50 millions de dollars de « frais de scolarité » et pourquoi le « address poisoning » continue de faire des ravages

22 déc. 2025

Points clés

• L'empoisonnement d'adresses repose sur des erreurs humaines et la manipulation des interfaces utilisateur.

• Même des experts comme Wang Chun peuvent tomber dans le piège de l'address poisoning.

• Des pratiques de sécurité rigoureuses sont essentielles pour protéger les fonds en crypto-monnaie.

Le vol de près de 50 millions de dollars en USDT, survenu le 20 décembre 2025, a ravivé les débats autour de l’une des arnaques les plus rudimentaires mais dévastatrices du monde crypto : l’empoisonnement d’adresses (« address poisoning »). Des enquêteurs on-chain ont rapporté sur X qu’une victime avait copié une adresse qui semblait familière dans son historique récent, et y avait transféré 49 999 950 USDT — un piège que l’attaquant a exploité en quelques minutes. Les données publiques sur Etherscan confirment que l’adresse réceptrice a depuis été signalée comme liée à du phishing, tandis que les analystes notent que la victime venait de retirer des fonds depuis Binance juste avant l’erreur de transfert. Plusieurs médias ont confirmé le déroulement de l’attaque ainsi que la méthode basée sur la ressemblance trompeuse entre les adresses. (etherscan.io)

Que s’est-il réellement passé dans cette fraude à 50 millions ?

  • La victime a d’abord envoyé un petit test de 50 USDT vers la bonne adresse se terminant en …F8b5.
  • Un escroc a rapidement généré une adresse personnalisée (vanity address) reprenant les mêmes premiers et derniers caractères, puis a semé l'historique de la victime avec un transfert de poussière (dust).
  • Quelques minutes après, la victime a copié cette adresse falsifiée depuis son historique et y a envoyé 49 999 950 USDT, qui ont atterri dans le portefeuille pirate.

Plusieurs reconstitutions de l’incident concordent sur ces étapes, ainsi que sur les adresses impliquées dans la supercherie. (blockchain.news)

L’attaquant a ensuite cherché à rendre les fonds impossibles à geler, en les convertissant depuis l’USDT vers le DAI, puis en ETH, avant de les acheminer via Tornado Cash — une méthode typique visant à contourner tout processus de confiscation et à compliquer la traçabilité. (phemex.com)

Vous pouvez suivre la piste on-chain ici : portefeuille de la victime 0xcB80784…0819 et celui de l’attaquant 0xBaFF2F…08f8b5 sur Ethereum. (etherscan.io)

Pourquoi l'address poisoning fonctionne encore

Ce type de fraude ne casse pas la cryptographie ; il s’appuie plutôt sur nos habitudes humaines et la simplification des interfaces utilisateur :

  • La plupart des portefeuilles n’affichent que les débuts et fins d’adresse, poussant les utilisateurs à vérifier uniquement ces fragments. Les fraudeurs créent alors des adresses « vanity » imitant ces extrémités et polluent l’historique des victimes avec de minuscules transferts. Lors d’un prochain envoi, l’utilisateur pourrait, par erreur, copier l’adresse du pirate depuis son historique. Consultez l’explication officielle du centre d’aide de MetaMask. (support.metamask.io)
  • Le mécanisme de checksum en casse mixte d’Ethereum (EIP‑55) permet de détecter les fautes de frappe, mais pas les adresses différentes mais valides générées délibérément. Comprendre l’EIP‑55 et ses limites est essentiel — il ne protège pas contre des adresses ayant sciemment une forte ressemblance visuelle. (eips.ethereum.org)

« Même les vétérans se font piéger » : l’erreur de Wang Chun

Wang Chun, cofondateur de F2Pool, a révélé sur X qu’il soupçonnait une fuite de clé privée en 2024 et qu’il avait voulu tester sa théorie en envoyant 500 BTC à l’adresse suspecte — 490 BTC ont été immédiatement détournés, seuls 10 BTC ont été laissés derrière. Son expérience souligne que ce sont souvent des erreurs opérationnelles, plus que des failles de protocole, qui entraînent les pertes les plus importantes. Plusieurs médias crypto ont relayé son témoignage et l’adresse impliquée. (theblockbeats.info)

« Pourquoi ne pas juste geler l’USDT ? »

Il est vrai que Tether, l’émetteur de l’USDT, peut geler des jetons ; mais ce processus n’est ni instantané, ni automatique. Les attaquants exploitent cette lenteur en convertissant rapidement les fonds en tokens non gelables ou en les envoyant à travers des mixers. Des recherches récentes ont mis en lumière ces délais procéduraux sur les principales blockchains — ce qui motive d’autant plus les fraudeurs à passer en DAI ou ETH avant le blanchiment. (cointelegraph.com)

Le contexte plus large de 2025 : la vulnérabilité des portefeuilles personnels

Selon le rapport de fin d’année de Chainalysis, les vols crypto devraient dépasser les 3,4 milliards de dollars en 2025, avec une recrudescence notable de compromissions de portefeuilles personnels, malgré une baisse relative des attaques DeFi. Certains cas massifs gonflent les statistiques, mais les erreurs d’utilisateur comme les empoisonnements d’adresse pèsent de plus en plus lourd. (chainalysis.com)

Un guide pratique et éprouvé pour contrer l’empoisonnement d’adresses

Pour toute transaction significative, suivez ces bonnes pratiques :

  1. Vérifiez l’adresse complète — pas seulement les premiers/derniers caractères. Si vous ne pouvez pas contrôler chaque caractère visuellement, ne transférez pas. MetaMask ne mâche pas ses mots : ne copiez jamais une adresse depuis votre historique. (support.metamask.io)
  2. Utilisez un carnet d’adresses ou une liste blanche. Créez des contacts fiables et nommés pour les destinataires réguliers et bloquez les retraits à d’autres adresses.
  3. Validez via un écran physique. Affichez et approuvez toujours l’adresse de destination depuis votre appareil matériel pour empêcher les détournements par logiciels malveillants ou historiques falsifiés.
  4. Vérification hors-bande. Pour les gros transferts, demandez à votre interlocuteur de signer un court message avec son adresse, ou validez via un canal sécurisé préalablement convenu (PGP, Signal).
  5. Simulez la transaction et analysez les risques. Utilisez des outils réputés pour anticiper l’envoi et détecter les adresses ou autorisations suspectes.
  6. Envisagez les noms lisibles par l’homme, comme ENS, pour les flux récurrents — mais vérifiez toujours l’adresse résolue à la signature.
  7. Pour les institutions : mettez en place des procédures internes exigeant une double validation, l’utilisation de listes blanches, et des captures d’écran des appareils matériels pour chaque autorisation.

Pour les utilisateurs de OneKey

Si vous utilisez déjà OneKey, voici les réflexes à adopter :

  • Vérifiez l’adresse du destinataire sur l’écran de l'appareil OneKey avant de signer. La validation directe sur le hardware élimine le risque que le logiciel ou l’historique insère une fausse adresse au dernier moment.
  • Utilisez les contacts/liste blanche de l’application pour les destinataires fréquents. Pour les montants importants, combinez cela à des approbations multiples.
  • Gardez le firmware et l’application OneKey à jour. Son code open source et les vérifications d’attestation garantissent l’intégrité du logiciel.

Rien ne vous rend invulnérable — mais cela complique fortement la tâche des attaquants.

En conclusion

L’address poisoning rappelle que les plus gros risques en crypto viennent souvent de l’humain, pas de la technologie. L’affaire des 50 millions perdus montre à quel point un copier-coller malheureux peut anéantir des années de travail. Si vous gérez des montants importants, adoptez une posture paranoïaque : traitez chaque adresse comme des coordonnées bancaires, validez-les en dehors de l’application, et surtout, contrôlez-les directement sur votre dispositif physique – systématiquement.

Références : reconstitutions d’incidents et données on-chain, guide sur la sécurité des portefeuilles, et tendances macro 2025. Voir notamment le rapport de Cointelegraph, les adresses sur Etherscan, le guide de MetaMask sur le poisoning, l’EIP-55, le bilan 2025 de Chainalysis, et les résumés chinois de la déclaration de Wang Chun sur BlockBeats. (cointelegraph.com)

Si vous ne disposez pas encore d’un portefeuille matériel ni d’une procédure rigoureuse, il est grand temps de vous en équiper. Pour les utilisateurs OneKey : « vérifiez toujours sur l’appareil », enregistrez vos contacts de confiance, et activez les contrôles à plusieurs niveaux pour les gros transferts — ces réflexes simples neutralisent les mécanismes de base du address poisoning.

Sécurisez votre parcours crypto avec OneKey

View details for Boutique OneKeyBoutique OneKey

Boutique OneKey

Le portefeuille matériel le plus avancé au monde.

View details for Télécharger l'applicationTélécharger l'application

Télécharger l'application

Alertes contre les arnaques. Toutes les pièces supportées.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clarté Crypto—À un appel de distance.