Une cyberattaque vole des millions en un seul clic

window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});

Comment l'attaque par address poisoning s'est produite

Au cœur de l'incident se trouve un portefeuille actif depuis près de deux ans et principalement utilisé pour des transferts d'USDT. Après avoir retiré des fonds de Binance, l'utilisateur a reçu environ 50 millions de dollars en USDT. Pensant utiliser une méthode sûre, l'utilisateur a d'abord effectué un petit transfert test. Quelques minutes plus tard, le transfert principal a été réalisé, mais sans le savoir, l'utilisateur a utilisé la mauvaise adresse.

Avant d'en arriver là, l'escroc avait déjà mis en place l'attaque d'« address poisoning ». Un portefeuille ressemblant fortement à une adresse fréquemment utilisée par la victime a été créé, et une infime quantité d'USDT y a été envoyée, ajoutant ainsi à l'historique des transactions. Étant donné que les adresses dans l'interface du portefeuille apparaissent comme des chaînes longues et complexes, l'utilisateur a, sans s'en rendre compte, copié cette fausse adresse depuis l'historique des transactions en voulant transférer des fonds, ce qui a entraîné le transfert de près de 50 millions de dollars vers le portefeuille de l'attaquant en un seul clic.

La controverse autour du modèle UTXO et le point de vue de Charles Hoskinson

Charles Hoskinson, le fondateur de Cardano, s'est exprimé sur l'incident, affirmant qu'une telle perte est bien plus difficile à subir dans certaines architectures blockchain. Il a souligné que les modèles basés sur les comptes, utilisés par Ethereum et les réseaux basés sur EVM, permettent structurellement des fraudes comme l'address poisoning. Dans ce modèle, les adresses sont conservées comme des comptes permanents, et les portefeuilles invitent souvent les utilisateurs à copier des adresses à partir de transactions précédentes, une habitude ciblée par les fraudeurs.

Selon Hoskinson, les réseaux utilisant le modèle UTXO, comme Bitcoin et Cardano, sont plus résilients sur ce point. Dans le modèle UTXO, chaque transaction génère de nouveaux outputs tout en consommant les anciens, éliminant ainsi l'idée d'un « solde de compte » permanent. Par conséquent, il n'existe pas d'historique d'adresses persistant pouvant être visuellement empoisonné. Il souligne que cet incident n'est pas une faille du protocole ou une erreur de smart contract, mais une interaction dangereuse entre la conception et le comportement humain.

Des risques similaires ont récemment été signalés par d'autres rapports. Au cours des dernières semaines, un important fournisseur de portefeuilles a publié une mise à jour de sécurité pour avertir les utilisateurs contre l'habitude de copier les adresses et a repensé ses écrans de vérification d'adresse. Ces évolutions soulignent l'importance de la conception des portefeuilles en plus des précautions individuelles.