270 millions de tentatives. 17 millions de wallets ciblés. Et 83,8 millions de dollars partis en fumée en deux ans. Ces chiffres viennent d'une étude de Carnegie Mellon publiée en janvier 2026, et ils m'ont fait relire trois fois mon historique de transactions.
L'address poisoning, c'est l'arnaque qui ne ressemble pas à une arnaque. Pas de faux site, pas de message louche, pas de "connectez votre wallet ici". Juste une ligne de plus dans votre historique de transactions. Une ligne qui ressemble à s'y méprendre à l'adresse de votre ami, de votre exchange, ou de votre propre second wallet.
Comment fonctionne l'address poisoning exactement ?
Le principe est d'une simplicité presque agaçante. Un attaquant génère une adresse crypto qui ressemble à celle que vous utilisez souvent. Pas identique, mais suffisamment proche pour tromper un coup d'oeil rapide.
Concrètement, une adresse Ethereum fait 42 caractères. La plupart d'entre nous ne vérifient que les 4-5 premiers et les 4-5 derniers. L'attaquant le sait. Il utilise des systèmes GPU pour créer des adresses qui correspondent sur ces portions visibles, et change tout ce qu'il y a au milieu.
Ensuite, il envoie une micro-transaction depuis cette fausse adresse vers votre wallet. Parfois quelques centimes, parfois rien du tout (les fameuses "zero-value transfers" qui ne coûtent quasi rien à envoyer). Cette transaction apparaît dans votre historique.
La prochaine fois que vous devez envoyer des fonds, vous ouvrez votre historique, vous copiez ce que vous pensez être la bonne adresse... et vos cryptos partent chez l'attaquant.
Pourquoi ça marche aussi bien en 2026 ?
Parce qu'on copie-colle tous nos adresses. C'est un réflexe. Et les interfaces des wallets ne nous aident pas vraiment.
L'étude de Carnegie Mellon, menée par Taro Tsuchiya et Nicolas Christin, a analysé deux ans de données sur Ethereum et Binance Smart Chain. Le taux de réussite est d'environ 1 attaque sur 10 000. Ça paraît faible, sauf quand on lance 270 millions de tentatives. Les groupes organisés gagnent entre 10 et 20 fois leur investissement initial.
Certains investissent des millions en infrastructure (serveurs GPU, automatisation) pour générer des adresses qui matchent. C'est devenu une industrie. En décembre 2025, un seul incident a coûté 50 millions de dollars à une victime. Sur les deux derniers mois de 2025 et janvier 2026, les pertes sur Ethereum seul ont atteint 62 millions de dollars selon ScamSniffer.
Les zero-value transfers : la variante qui change la donne
C'est la version la plus récente et la plus vicieuse. Au lieu d'envoyer quelques centimes (ce qui coûte quand même des frais de gas), les attaquants envoient des transactions à 0 dollar.
Ces transactions apparaissent dans votre historique. Elles ne vous coûtent rien. Mais elles coûtent presque rien à l'attaquant non plus, ce qui lui permet d'automatiser l'opération à une échelle massive. Des millions de wallets bombardés pour quelques dollars de frais.
Les analystes de Citi ont d'ailleurs relevé ces schémas dans les transactions Ethereum début 2026 et tiré la sonnette d'alarme.
Comment savoir si vous êtes ciblé ?
Quelques signaux à surveiller dans votre wallet.
Vous recevez des micro-transactions de sources inconnues. Pas des airdrops classiques, mais des montants ridicules (0,001 USDT, 0 ETH) depuis des adresses que vous n'avez jamais vues.
Votre historique contient des adresses qui ressemblent étrangement à celles que vous utilisez régulièrement. Prenez deux minutes pour comparer les caractères du milieu. Si une adresse familière a des caractères différents au centre, c'est probablement du poisoning.
L'outil Toxin Tagger, développé par les chercheurs de Carnegie Mellon, permet de surveiller les incidents d'address poisoning en temps réel. Ce n'est pas l'outil le plus accessible pour un débutant, mais il existe.
Comment se protéger concrètement ?
Je ne vais pas vous sortir la liste habituelle "soyez vigilants, faites attention". Voici ce qui fonctionne vraiment.
Utilisez le carnet d'adresses de votre wallet. La plupart des wallets (MetaMask, Ledger Live, Rabby) permettent d'enregistrer des adresses de confiance. Une fois enregistrée, vous sélectionnez l'adresse au lieu de la copier depuis l'historique. C'est la parade la plus simple et la plus efficace.
Ne copiez jamais une adresse depuis votre historique de transactions. C'est exactement là que l'attaquant veut que vous alliez chercher. Si vous devez envoyer des fonds à quelqu'un, demandez-lui son adresse à nouveau ou utilisez un QR code.
Vérifiez l'adresse complète avant d'envoyer. Pas juste le début et la fin. Les 42 caractères. C'est pénible, oui. Mais c'est moins pénible que de perdre 50 000 euros.
Envoyez un petit montant test d'abord. Avant un gros transfert, envoyez l'équivalent de quelques euros. Confirmez la réception avec le destinataire. Ensuite, envoyez le reste.
Activez les alertes de votre wallet. Certains wallets comme Rabby signalent automatiquement les adresses similaires dans votre historique. Si le vôtre ne le fait pas, c'est peut-être le moment d'en changer.
Le phishing par signature : l'autre menace qui explose
Tant qu'on parle de sécurité, impossible d'ignorer le phishing par signature qui a bondi de 207% en janvier 2026 par rapport à décembre 2025. Le principe : on vous demande de signer une transaction qui semble anodine, mais qui autorise en réalité le transfert de tous vos tokens.
Les attaquants ciblent moins de victimes mais visent les gros portefeuilles. Les chercheurs en sécurité appellent ça le "whale hunting". En janvier 2026, 6,27 millions de dollars ont été volés à 4 741 victimes par ce biais.
La règle d'or : ne signez jamais une transaction dont vous ne comprenez pas le contenu. Si un dApp vous demande une signature et que vous ne savez pas exactement ce que vous autorisez, refusez.
Ce que les wallets devraient faire (mais ne font pas encore)
La plupart des interfaces pourraient régler le problème assez facilement. Afficher les adresses complètes par défaut. Mettre en surbrillance les caractères qui diffèrent entre deux adresses similaires. Alerter l'utilisateur quand une adresse dans l'historique ressemble à une autre.
Certains wallets commencent à intégrer ces fonctionnalités. Rabby est probablement le plus avancé sur ce point. MetaMask a ajouté des avertissements basiques. Mais on est loin d'une protection universelle.
En attendant, c'est à vous de compenser. Les gestes de protection sont simples. Mais il suffit d'un moment d'inattention pour que ça coûte très cher.
Dernière mise à jour : avril 2026
