Escroquerie sur la Blockchain : Une Perte de 50 Millions de Dollars
Récemment, l’une des plus grandes pertes dues à des escroqueries sur la blockchain a eu lieu. Une attaque de poisoning d’adresse, une fraude qui exploite la manière dont les blockchains basées sur des comptes gèrent l’historique des transactions et la réutilisation des adresses, a conduit un utilisateur à perdre près de 50 millions de dollars en USDT. Selon Charles Hoskinson, cela ne se serait pas produit sur certaines architectures qui sont intrinsèquement plus résilientes à ce type d’erreurs.
Le Déroulement de l’Escroquerie
Voici comment cela s’est déroulé :
Un autre exemple des avantages du modèle UTXO. Bitcoin et Cardano ne sont pas affectés après que l’argent a été retiré de Binance. Le portefeuille de la victime, actif depuis environ deux ans et principalement utilisé pour des transferts d’USDT, a reçu près de 50 millions de dollars. L’utilisateur a d’abord envoyé une brève transaction de test au destinataire prévu, un comportement que beaucoup considéreraient comme sûr. Le montant total a été envoyé quelques minutes plus tard, mais une adresse incorrecte a été utilisée pour ce second transfert.
Auparavant, l’escroc avait réalisé une attaque de poisoning d’adresse en envoyant une petite quantité d’USDT depuis un portefeuille conçu pour ressembler à une véritable adresse que la victime avait utilisée précédemment. La victime a par erreur choisi l’adresse empoisonnée plutôt que la bonne lorsqu’elle a copié l’adresse de son historique de transactions. En conséquence, 50 millions de dollars ont été perdus d’un simple clic. Bien qu’il soit probable que ces fonds soient déplacés ou échangés, l’USDT volé est actuellement toujours à l’adresse de destination.
« C’est une autre raison pour laquelle le modèle UTXO est excellent, » a déclaré Hoskinson en réponse à cet incident.
Les Limites du Modèle Basé sur des Comptes
Il n’a pas tort. Le modèle basé sur des comptes, utilisé par Ethereum et de nombreuses autres chaînes EVM, conduit directement à ce type d’escroquerie. Les adresses sont affichées sous forme de chaînes dans l’historique des transactions, et les portefeuilles encouragent la copie à partir d’échanges précédents. C’est précisément ce dont profitent les hackers.
En revanche, les chaînes comme Bitcoin et Cardano, qui reposent sur le modèle UTXO, fonctionnent différemment. Chaque transaction produit de nouvelles sorties tout en consommant des sorties existantes. Les portefeuilles créent généralement des transactions à partir de sélections UTXO explicites plutôt que de points de terminaison de compte réutilisés, et les utilisateurs ne s’appuient pas sur la copie des adresses de destination à partir des historiques de comptes de la même manière. Un état de compte persistant à empoisonner visuellement n’existe pas.
Ce n’était pas un défaut de protocole ni une exploitation de contrats intelligents. C’était une faille dans la conception qui interagissait avec la nature humaine, et en moins d’une heure, cela a coûté 50 millions de dollars.
