L'attaquant par empoisonnement d'adresse qui aurait trompé un utilisateur en lui envoyant 68 millions de dollars de Wrapped Bitcoin (WBTC) a renvoyé 153 000 $ d'Ether (ETH) à la victime en signe apparent de bonne foi. Dans la même transaction, l'attaquant a envoyé un message acceptant de négocier et demandant à la victime un nom d'utilisateur Telegram où elle peut être contactée. Le montant renvoyé ne représente que 0,225 % du total des fonds prétendument volés.

Les données de la blockchain montrent que le 5 mai, la victime de l'attaque, dont le compte se termine par 8fD5, a envoyé trois messages à un compte se terminant par dA6D. Le destinataire du message avait reçu des fonds du compte attaquant, intitulé « FakePhishing327990 » sur Etherscan, via plusieurs comptes intermédiaires. Cela implique que dA6D était probablement contrôlé par l’attaquant.

Les messages laissaient entendre que la victime était prête à donner à l'attaquant 10 % des fonds à titre de prime et à s'abstenir de poursuivre s'il rendait les 90 % restants. La victime a déclaré :

« Nous savons tous les deux qu'il n'y a aucun moyen de nettoyer ces fonds. Vous serez tracé. Nous comprenons également tous les deux que l’expression « bien dormir » ne concernait pas vos qualités morales et éthiques. Néanmoins, nous gérons officiellement votre droit aux 10 %. Renvoyez 90 %. Vous avez 24 heures avant 10h UTC, le 6 mai 2024, pour prendre une décision qui changera votre vie, dans tous les cas.

Le 9 mai à 11 h 37 UTC, un autre compte se terminant par 72F1 a répondu en envoyant 51 Ether (ETH) (d'une valeur de 153 000 $ au prix d'aujourd'hui) à la victime. 72F1 avait également reçu des fonds de FakePhishing327990 via plusieurs comptes intermédiaires, indiquant qu'il était également sous le contrôle de l'attaquant.

Dans la transaction qui a envoyé les 51 ETH, l'attaquant a également publié un message indiquant "Veuillez laisser votre télégramme et je vous contacterai". Ils ont ensuite tenté de corriger leur mauvaise ponctuation à 11h43, en publiant un message supplémentaire indiquant : « Veuillez laisser votre télégramme et je vous contacterai[.] »

En réponse, la victime a publié un nom d'utilisateur Telegram où elle peut être contactée.

La victime d'empoisonnement négocie avec l'agresseur. Source : Etherscan.

La négociation a eu lieu après que l'attaquant aurait trompé la victime en lui envoyant par erreur 1 155 Wrapped Bitcoin (WBTC) (d'une valeur de 68 millions de dollars à l'époque) sur son compte, ce qu'il a fait via une transaction « d'empoisonnement d'adresse ».

Les données de la blockchain montrent qu'à 9 h 17 le 3 mai, l'attaquant a utilisé un contrat intelligent pour transférer 0,05 jeton du compte de la victime vers le compte de l'attaquant. Le jeton transféré n’avait aucun nom répertorié sur Etherscan et était simplement appelé « ERC-20 ». Dans des circonstances normales, un attaquant ne peut pas transférer un jeton d'un autre utilisateur sans son consentement. Mais dans ce cas, le jeton avait une conception personnalisée qui permettait de le transférer depuis un compte sans le consentement de l’utilisateur.

Le même jour, à 10h31, la victime a envoyé 1 155 WBTC à cette adresse, apparemment par erreur. L'adresse peut ressembler à une adresse utilisée par la victime pour déposer des fonds dans un échange centralisé ou pour une autre raison.

De plus, la victime a peut-être remarqué qu'elle avait envoyé 0,05 token à cette adresse dans le passé et a donc supposé qu'elle était sûre. Cependant, les jetons de 0,05 ont été envoyés par l’attaquant et semblent uniquement provenir de la victime.

Lorsqu’un attaquant tente de confondre les victimes en leur envoyant des transactions qui semblent provenir d’elles, mais qui proviennent en réalité de l’attaquant, les experts en sécurité appellent cela une « attaque par empoisonnement d’adresse ». Les experts recommandent aux utilisateurs d'inspecter soigneusement l'adresse d'envoi d'une transaction avant de la confirmer, afin d'éviter des erreurs coûteuses liées à ce type d'attaques.

Connexe : Comment éviter les attaques d'empoisonnement d'adresse de transfert de valeur nulle