Ce samedi 31 janvier 2026 marque une journée noire pour la sécurité crypto. Une baleine Ethereum a vu s’évaporer une fortune en quelques secondes.
L’investisseur a envoyé par erreur 4 556 ETH à un pirate informatique, soit une perte sèche de 12,4 millions de dollars. L’attaquant a utilisé une technique redoutable nommée address poisoning (empoisonnement d’adresse) pour piéger sa victime. Ce drame financier rappelle que dans le monde crypto, une simple erreur de copier-coller peut coûter des millions. Analyse de ce mécanisme sournois.
Ethereum : une attaque d’empoisonnement d’adresse coûte 12,4 millions $
Cette attaque ne repose pas sur une faille du code, mais sur la faillibilité humaine. Le pirate manipule la psychologie de l’utilisateur pour le forcer à l’erreur. D’après le post X de Lookonchain:
La victime 0xd674 transfère fréquemment des fonds vers Galaxy Digital via l’adresse 0x6D90CC…dD2E48.
L’attaquant a généré une adresse “poison” ayant les mêmes quatre premiers et quatre derniers caractères que l’adresse de dépôt de Galaxy Digital, puis a envoyé à plusieurs reprises de petites transactions (“dust”) à la victime.
Il y a 11 heures, la victime a copié une adresse directement depuis son historique de transactions pour effectuer un dépôt vers Galaxy Digital — mais elle a copié l’adresse “poison” à la place.
Une baleine Ethereum perd 4 556 ETH en quelques secondes
Les analystes de cette équipe ont décortiqué le mode opératoire du hacker. L’attaquant génère d’abord une fausse adresse crypto extrêmement ressemblante à celle du destinataire légitime. Dans ce cas précis, la cible visait une adresse appartenant à la société Galaxy Digital. Le pirate a créé une adresse imitant parfaitement les quatre premiers et les quatre derniers caractères de l’originale.
La technique du “dust” : inonder l’historique pour piéger l’utilisateur
Une fois l’adresse piège créée, le hacker passe à l’action. Il inonde le portefeuille de la victime avec de minuscules transactions, appelées poussière ou dust. Ces opérations sans valeur financière apparaissent alors en tête de l’historique des transactions récentes. Le piège visuel se referme. L’attaquant parie sur le fait que la victime copiera cette adresse familière lors de son prochain transfert.
L’erreur fatale : un simple clic fait disparaître 12,4 millions $
Le drame s’est joué en une fraction de seconde. L’utilisateur a privilégié la rapidité à la vérification stricte.
La confiance aveugle dans l’historique des transactions
Au moment d’exécuter le transfert, l’investisseur a ouvert son historique de transactions par commodité. Il pensait copier l’adresse connue de Galaxy Digital. En réalité, il a sélectionné l’adresse empoisonnée du pirate qui trônait dans sa liste récente.
Une vérification trop rapide qui coûte des millions en crypto
La ressemblance visuelle des caractères de début et de fin a totalement trompé sa vigilance. Il n’a pas pris la peine de vérifier la chaîne alphanumérique centrale avant de valider l’envoi. Cette négligence lui coûte la somme astronomique de 12,4 millions de dollars en Ethereum. Le pirate contrôle désormais les 4 556 ETH volés grâce à ce simple clic malheureux.
Une vague d’attaques ciblant les gros portefeuilles Ethereum
Ce vol n’est pas un cas isolé. L’écosystème crypto fait face à une recrudescence de ces attaques ciblant les porteuilles crypto les plus fortunés.
Le précédent record : 50 millions $ perdus en décembre 2025
Les pirates exploitent systématiquement la paresse naturelle lors des vérifications de sécurité. Un autre investisseur a subi un sort encore plus cruel en décembre 2025. Cette victime a perdu 50 millions de dollars après avoir copié une adresse spoofée visuellement similaire.
Les pirates détournent même les transactions de test
L’audace des pirates ne connaît aucune limite. Dans le cas de décembre, la victime avait pourtant effectué un test préalable de 50 dollars pour sécuriser son envoi. Le hacker a profité de cette transaction test pour insérer son adresse piège juste après dans l’historique. L’utilisateur a ensuite envoyé les 49,9 millions restants directement au voleur, pensant réutiliser l’adresse du test.
Comment sécuriser vos Ethereum face à ces attaques
Face à cette menace grandissante, les experts en sécurité crypto appellent à une vigilance extrême.
Ne jamais copier une adresse depuis l’historique crypto
La première règle de survie est simple : ne copiez jamais une adresse depuis votre historique de transactions. Cet historique est désormais un terrain miné par les hackers. Vous devez impérativement vérifier chaque caractère de l’adresse, et pas seulement les extrémités.
Diviser les transferts et utiliser ENS pour réduire les risques
Un expert du secteur conseille de prioriser la sécurité sur la vitesse. Il suggère de diviser les gros montants en plusieurs petites transactions, par exemple par tranches de 100 000 dollars, pour limiter l’impact d’une erreur. D’autres spécialistes recommandent l’utilisation de domaines ENS (Ethereum Name Service) ou de carnets d’adresses (whitelists) vérifiés. Ces outils réduisent considérablement le risque d’erreur humaine.
Synthèse : la prudence reste la meilleure protection en crypto
Ce samedi 31 janvier 2026 nous rappelle la dure réalité de la finance décentralisée.
- La Victime : Une baleine Ethereum.
- La Perte : 4 556 ETH (12,4 millions $).
- La Méthode : Address Poisoning (Empoisonnement).
- La Leçon : Ne jamais faire confiance à son historique de transactions.
Dans le monde crypto, vous êtes votre propre banque. Cette liberté implique une responsabilité totale sur la sécurité de vos fonds.
FAQ : Comprendre l’arnaque à l’adresse empoisonnée sur Ethereum
L’empoisonnement d’adresse est une technique où un pirate crée une fausse adresse crypto ressemblant visuellement à celle de votre destinataire habituel (mêmes caractères de début et de fin). Il envoie ensuite une petite transaction poussière à votre portefeuille pour que cette fausse adresse apparaisse dans votre historique, espérant que vous la copierez par erreur lors d’un futur transfert.
L’investisseur a perdu un total de 4 556 Ethereum (ETH), ce qui représente une valeur marchande de plus de 12,4 millions de dollars au moment des faits.
Les experts conseillent de ne jamais copier les adresses depuis l’historique des transactions récentes, car elles peuvent être falsifiées. Il faut toujours vérifier l’adresse complète caractère par caractère, utiliser un carnet d’adresses vérifié (whitelist) ou passer par des noms de domaine ENS.
Non, cette vérification est insuffisante et dangereuse. Les pirates utilisent des outils pour générer des adresses qui ont exactement les mêmes quatre premiers et quatre derniers caractères que votre adresse cible afin de tromper votre vigilance visuelle.
Disclaimer : Ce contenu analyse des faits liés à la sécurité blockchain et des incidents de marché récents. Il ne constitue pas un conseil en investissement. Les transactions en cryptomonnaies sont irréversibles et comportent des risques de perte totale des fonds.
