Cet article de Chainalysis met en lumière une campagne de scam par empoisonnement d’adresses qui cible les utilisateurs actifs de cryptomonnaies. Les attaquants génèrent des adresses similaires à celles utilisées fréquemment par les victimes et envoient de petites transactions pour contaminer l’historique des transactions. Les victimes, en copiant des adresses depuis leur historique pour des transactions futures, envoient par inadvertance des fonds vers des adresses contrôlées par les attaquants.

L’analyse a révélé que cette campagne a ciblé 82,031 adresses avec un taux de réussite de seulement 0,03%. Cependant, le retour sur investissement est exceptionnel, atteignant 1,147% même après le retour de 68 millions de dollars. Les attaquants utilisent des infrastructures de kits d’outils disponibles sur les marchés du darknet pour mener ces attaques.

Techniquement, l’attaque s’appuie sur la génération algorithmique d’adresses avec des préfixes ou suffixes correspondants à ceux des adresses légitimes dans l’historique des transactions des victimes. Les fonds volés sont blanchis à travers des protocoles DeFi et des échanges centralisés. Des outils d’analyse blockchain comme Chainalysis Reactor permettent de suivre les flux de fonds à travers plusieurs portefeuilles intermédiaires et d’identifier des schémas indicatifs de campagnes d’empoisonnement d’adresses grâce à des heuristiques en temps réel et à la détection d’anomalies.

L’article est une analyse de menace destinée à informer sur les méthodes utilisées dans cette campagne et à sensibiliser les utilisateurs de cryptomonnaies aux risques potentiels.

🧠 TTPs détectés

TTPs

T1566.002 - Spearphishing Link, T1586 - Compromise Infrastructure, T1587 - Develop Capabilities, T1588 - Obtain Capabilities, T1071.001 - Application Layer Protocol: Web Protocols, T1071.004 - Application Layer Protocol: File Transfer Protocols, T1556 - Modify Authentication Process, T1590 - Gather Victim Network Information, T1592 - Gather Victim Host Information, T1595 - Active Scanning, T1608 - Stage Capabilities, T1608.005 - Stage Capabilities: Implant Container Image, T1612 - Network Sniffing, T1614 - System Location Discovery, T1622 - Debugger Evasion, T1629 - Resource Hijacking

🔗 Source originale : https://www.chainalysis.com/blog/address-poisoning-scam-japanese/

🖴 Archive : https://web.archive.org/web/20250731090637/https://www.chainalysis.com/blog/address-poisoning-scam-japanese/