Récemment, l'une des plus grandes pertes dues à des arnaques on-chain s'est produite. Une attaque de type "address poisoning", une fraude qui exploite la manière dont les blockchains basées sur les comptes gèrent l'historique des transactions et la réutilisation des adresses, a conduit un utilisateur à perdre près de 50 millions de dollars en USDT.
Commentaire de Charles Hoskinson
Selon Charles Hoskinson, cela ne se serait pas produit sur certaines architectures qui sont intrinsèquement plus résistantes à ce type d’erreur. Voici comment cela s’est passé.
Peu de temps après que l'argent ait été retiré de Binance, le portefeuille de la victime, actif depuis environ deux ans et principalement utilisé pour des transferts d’USDT, a reçu près de 50 millions de dollars. L'utilisateur a d'abord envoyé une petite transaction de test au destinataire prévu, ce que beaucoup considèrent comme un comportement prudent. Le montant total a été envoyé quelques minutes plus tard. C’est lors de ce second transfert que la mauvaise adresse a été utilisée.
Auparavant, l’escroc avait réalisé une attaque d’empoisonnement d’adresse en envoyant une petite quantité d’USDT depuis un portefeuille conçu pour ressembler à une véritable adresse que la victime avait déjà utilisée. La victime a choisi par erreur l’adresse empoisonnée au lieu de la bonne lorsqu’elle a copié l’adresse depuis l’historique des transactions. En conséquence, 50 millions de dollars ont été perdus en un seul clic.
Pourquoi UTXO est meilleur dans ces cas
Bien qu'il soit probablement sur le point d'être déplacé ou échangé, l’USDT volé se trouve actuellement toujours à l’adresse de destination.
« C’est une autre raison pour laquelle UTXO est génial », a déclaré Hoskinson en réponse à l’incident. Il n’a pas tort. Le modèle basé sur les comptes qu’utilisent Ethereum et de nombreuses autres chaînes EVM conduit directement à ce type d’arnaque. Les adresses sont affichées comme des chaînes de caractères libres dans l’historique des transactions, et les portefeuilles encouragent la copie depuis des échanges précédents. C’est précisément ce dont profitent les hackers.
Les chaînes comme Bitcoin et Cardano, qui sont basées sur le modèle UTXO, fonctionnent différemment. Chaque transaction produit de nouveaux outputs tout en consommant les existants. Les portefeuilles créent généralement des transactions à partir de sélections explicites d’UTXO plutôt que de points de terminaison de compte réutilisés, et les utilisateurs ne dépendent pas de la copie des adresses de destination depuis l’historique des comptes de la même manière. Il n’existe pas d’état de compte persistant à empoisonner visuellement.
Il ne s’agissait pas d’une faille du protocole ni d’une exploitation de smart contract. C’était une faille de conception qui interagissait avec la nature humaine, et en moins d’une heure, elle a coûté 50 millions de dollars.
