Home Sciences et technologies Comprendre l’empoisonnement d’adresse sur la blockchain TRON
Sciences et technologies

Comprendre l’empoisonnement d’adresse sur la blockchain TRON

0 comments 134 views
0 FacebookTwitterPinterestEmail

Publié le 2025-10-22 20:05:00. Une nouvelle technique de fraude, baptisée « empoisonnement d’adresse » ou « attaque par poussière », gagne en sophistication. Elle consiste à envoyer des montants infimes de cryptomonnaies sur un grand nombre de portefeuilles pour tromper les utilisateurs et subtiliser leurs fonds.

  • Les arnaqueurs exploitent la faible coût des transactions sur la blockchain TRON pour envoyer des sommes dérisoires, souvent moins de 0,01 USD, à des milliers d’adresses.
  • Ces micro-transactions, surnommées « poussière TRX », visent à inciter les victimes à interagir avec des adresses frauduleuses ressemblant à des contacts légitimes, menant ainsi au vol de fonds.
  • Les attaques de dépoussiérage se distinguent des AirDrops par leur intention malveillante, cherchant à tromper plutôt qu’à promouvoir.

Cette tactique d’arnaque, de plus en plus sophistiquée, repose sur l’envoi de petites quantités de cryptomonnaies à un grand nombre d’adresses de portefeuille. Sur la blockchain TRON, ces micro-transactions sont souvent étiquetées « poussière TRX ». Bien qu’elles paraissent anodines, ces opérations sont conçues pour exploiter l’infrastructure de TRON, permettant des transferts à faible coût et haut débit, dans le but d’inciter les utilisateurs à interagir avec des adresses usurpées ou malveillantes qui miment des entités de confiance.

Les attaques de dépoussiérage diffèrent des AirDrops non sollicités par leur intention et leur méthode. Elles peuvent inclure le traitement d’empoisonnement (envoi depuis une adresse imitant une contrepartie légitime), le spam et l’obscurcissement des transactions (pour encombrer les historiques et augmenter le risque d’erreur), ou encore des tentatives de désanonymisation en suivant les mouvements de fonds des utilisateurs afin de regrouper la propriété des portefeuilles et de réduire leur pseudonymat.

Bien que le dépoussiérage puisse survenir sur diverses blockchains, l’architecture de TRON, notamment sa bande passante gratuite pour les transferts de TRX de base, la rend particulièrement vulnérable à ce type d’activité à haute fréquence.

Les objectifs de ces attaques sont multiples et majoritairement malveillants. Ils incluent le phishing et le vol, où des fonds sont envoyés depuis une adresse usurpée ressemblant à une entité légitime, incitant les utilisateurs à copier-coller la mauvaise adresse et à transférer involontairement des fonds vers une adresse frauduleuse. L’analyse comportementale est également un objectif, les fraudeurs surveillant la gestion des transactions de poussière par les utilisateurs pour identifier des modèles de propriété de portefeuille ou des adresses à plus forte valeur, ouvrant ainsi de nouvelles surfaces d’attaque. Enfin, la promotion frauduleuse et les leurres peuvent être utilisés, avec des jetons AirDropped contenant des liens de phishing intégrés dans leurs noms ou métadonnées, conçus pour pousser les utilisateurs à interagir avec des contrats ou des sites Web malveillants.

Bien que toutes les transactions de poussière ne soient pas intrinsèquement malveillantes, TRM Labs recommande de considérer les micro-dépôts non sollicités sur TRON comme suspects par défaut et d’éviter toute interaction avec des jetons ou des adresses inconnus jusqu’à ce que leur légitimité puisse être vérifiée.

Le volume important de poussière TRX observé suggère une activité coordonnée et automatisée. Les attaquants utilisent probablement des robots pour surveiller l’activité en chaîne en temps réel et cibler les portefeuilles actifs. Ils emploient également des outils de génération d’adresses personnalisées pour créer des adresses usurpées visuellement similaires à des contreparties légitimes et déploient des transactions anti-poussière immédiatement après l’activité de l’utilisateur pour tenter de manipuler l’historique des transactions.

La sélection des cibles dans les campagnes de dépoussiérage TRX est guidée par plusieurs indicateurs, tant sur la chaîne qu’en termes de comportement. Les attaquants peuvent prioriser les portefeuilles ayant une activité récente, les soldes de grande valeur (en particulier en USDT, une cible fréquente dans les variantes liées au phishing), les premières interactions avec des adresses inconnues (pour introduire des adresses usurpées imitant des expéditeurs légitimes), et les portefeuilles non dépositaires (plus vulnérables aux exploits basés sur les interactions, contrairement aux plateformes de conservation qui peuvent filtrer ces transactions).

Les signaux d’enquête du dépoussiérage TRX

Malgré son utilisation malveillante, le dépoussiérage de TRX peut générer des signaux d’enquête utiles pour les efforts d’intelligence blockchain. La cartographie de l’infrastructure, en retraçant l’origine et le flux des transactions de poussière, permet d’identifier des groupes d’adresses ou de portefeuilles contrôlés par les attaquants. L’identification des victimes peut se faire en détectant les utilisateurs ayant interagi avec des adresses usurpées, souvent révélé par des transferts sortants vers des destinations similaires après un événement de dépoussiérage. Enfin, les liens entre les campagnes, tels que l’infrastructure réutilisée, les modèles de comportement ou les caractéristiques des adresses personnalisées, peuvent relier des opérations de phishing ou d’escroquerie apparemment distinctes.

L’analyse de la blockchain, comme illustré ci-dessous, montre qu’une adresse intitulée « Destinataire de la poussière » a déposé de l’USDT à une adresse « Destinataire prévu ». Environ 18 secondes plus tard, la même adresse a reçu de la poussière TRX d’une « Adresse de dépoussiérage TRX ». Il est notable que les deux premiers et derniers caractères de cette dernière adresse correspondaient à ceux du « destinataire prévu », l’adresse d’envoi de la poussière ayant été conçue pour ressembler au destinataire légitime.


L’analyse de la blockchain révèle que l' »Adresse de dépoussiérage TRX » a été activée à la mi-juillet 2025 et a depuis effectué environ 920 transactions sortantes, totalisant environ 120 TRX (soit environ 40 USD à ce jour). TRM Labs a identifié deux entités connectées à cette adresse : la première semble avoir financé l' »Adresse de dépoussiérage TRX » avec le TRX utilisé dans les activités de dépoussiérage ultérieures, tandis que la seconde a probablement créé ou activé cette adresse et pourrait être la source de son TRX initial.

En remontant cette infrastructure sur plusieurs sauts, une connexion a été établie avec un Fournisseur de services d’actifs virtuels (VASP). Si l’implication de l' »Adresse de dépoussiérage TRX » dans une campagne d’escroquerie légitime est confirmée, ce VASP pourrait fournir une voie potentielle vers des informations « Know Your Customer » (KYC), en fonction des accords juridictionnels applicables en matière d’accès et de partage de données.


En analysant les transactions sortantes de l’adresse qui a activé l' »Adresse de dépoussiérage TRX », TRM Labs a identifié trois nœuds supplémentaires. Chacun de ces nœuds a reçu des dépôts TRX correspondants de sources distinctes et a ensuite lancé une activité de dépoussiérage. L’adresse d’activation a effectué environ 4 800 transactions « AccountCreateContract », suggérant la création de jusqu’à 4 800 nouvelles adresses, probablement dans le but de déployer des attaques de dépoussiérage à grande échelle. Cette observation souligne l’évolutivité et l’automatisation des opérations de dépoussiérage sur TRON, tout en renforçant l’idée que ces comportements produisent des signaux traçables, permettant aux enquêteurs de cartographier les infrastructures, d’établir des relations et de rechercher l’attribution au fil du temps.


L’exploitation du champ mémo par les acteurs malveillants

Sur la blockchain TRON, les utilisateurs peuvent joindre des champs mémo aux transactions, souvent utilisés pour fournir un contexte ou des instructions supplémentaires. Cependant, cette fonctionnalité peut également être détournée par des acteurs malveillants pour promouvoir des escroqueries ou intégrer des liens de phishing directement dans les métadonnées de la chaîne. Un exemple de champ mémo, visible sur Tronscan, illustre comment ces champs peuvent être utilisés pour attirer les utilisateurs vers des sites Web ou services hors chaîne. TRM encourage la prudence lors de la visite de ces sites.

Source : Tronscan.org

Conseils pour atténuer le risque d’attaques de poussière sur TRON

TRM Labs recommande aux utilisateurs de vérifier systématiquement les adresses des destinataires avant d’envoyer une transaction, de se méfier des transactions entrantes au niveau de la poussière impliquant la réception de micro-quantités de TRX, et d’éviter de cliquer sur les liens trouvés dans les champs mémo à moins que la source ne soit vérifiée et fiable.

Ce billet de blog est destiné uniquement à des fins d’information. Veuillez contacter TRM pour des informations complémentaires ou des demandes d’enquête.

{{ligne horizontale}}

Foire aux questions (FAQ)

1. Qu’est-ce qu’un empoisonnement d’adresse ?

L’empoisonnement d’adresse est une tactique frauduleuse dans laquelle un acteur malveillant envoie une petite quantité de cryptomonnaie – souvent d’une valeur inférieure à 0,01 USD – dans le portefeuille d’un utilisateur. Ces transactions usurpées sont conçues pour imiter des adresses légitimes dans l’historique des transactions d’un utilisateur, augmentant ainsi le risque que l’utilisateur copie et réutilise accidentellement une adresse frauduleuse.

2. Pourquoi est-ce appelé « dépoussiérage » ?

La « poussière » fait référence aux petites quantités de crypto (par exemple, TRX) envoyées dans le portefeuille d’un utilisateur, souvent trop petites pour être échangées ou retirées. Le dépoussiérage est utilisé pour obscurcir l’historique des transactions, promouvoir des jetons frauduleux ou tromper les utilisateurs dans des interactions dangereuses.

3. Comment fonctionne la lutte contre l’empoisonnement sur TRON ?

Sur TRON, les attaquants envoient souvent des TRX de niveau poussière à partir d’adresses qui ressemblent visuellement aux contreparties précédentes d’un utilisateur. Cela exploite l’infrastructure à faible coût de TRON, où les micro-transactions sont pratiquement gratuites, rendant possibles des campagnes d’empoisonnement d’adresses à grande échelle.

4. Quelle est la différence entre le dépoussiérage et les AirDrops ?

Bien que les deux impliquent des transferts de jetons non sollicités, les AirDrops sont généralement promotionnels et transparents. Les attaques de poussière, en revanche, visent à confondre, induire en erreur ou surveiller les utilisateurs – souvent à des fins de phishing, de désanonymisation ou de promotion frauduleuse.

5. Qu’espèrent les fraudeurs en faisant du dépoussiérage ?

Les objectifs communs incluent :

  • Phishing : Inciter les utilisateurs à envoyer des fonds à des adresses similaires.
  • Suivi comportemental : Observer comment les utilisateurs gèrent les petits soldes pour lier des portefeuilles ou identifier des cibles de grande valeur.
  • Promotion frauduleuse : Intégration de liens de phishing ou de fausses métadonnées de jeton pour attirer l’interaction des utilisateurs.

6. Comment puis-je savoir si mon portefeuille a été dépoussiéré ?

Si vous recevez un transfert TRX d’une valeur d’une fraction de centime provenant d’une adresse inconnue ou suspecte – en particulier une adresse qui ressemble visuellement à un contact connu – cela peut faire partie d’une tentative de dépoussiérage. Les utilisateurs de TRON les appellent souvent des transactions « poussière TRX ».

7. Ces attaques peuvent-elles être automatisées ?

Oui. De nombreuses campagnes de dépoussiérage sont menées par des robots qui :

  • Surveillent l’activité de la blockchain pour les portefeuilles nouvellement actifs ou de grande valeur.
  • Génèrent des adresses usurpées à l’aide d’outils personnalisés.
  • Déclenchent des transactions de dépoussiérage quelques secondes après l’activité de l’utilisateur.

8. Qui est le plus susceptible d’être ciblé par l’époussetage ?

Les attaquants ont tendance à se concentrer sur :

  • Portefeuilles avec une activité récente ou de grande valeur.
  • Premières interactions entre portefeuilles (pour insérer des expéditeurs similaires).
  • Portefeuilles non dépositaires, qui offrent moins de filtres de transactions.

9. Le dépoussiérage est-il toujours malveillant ?

Pas nécessairement, mais il est souvent suspect par défaut. Bien que quelques cas d’utilisation puissent être inoffensifs, le dépoussiérage sur TRON est majoritairement associé à une infrastructure frauduleuse et à des tactiques de tromperie. Il est conseillé aux utilisateurs de ne pas utiliser de jetons non sollicités.

10. La poussière TRX peut-elle être retracée ?

Oui. Les outils d’intelligence blockchain peuvent :

  • Identifier et regrouper l’infrastructure des attaquants.
  • Signaler les utilisateurs qui ont interagi avec des adresses usurpées.
  • Connecter les portefeuilles de dépoussiérage à travers les campagnes frauduleuses.

Cela fournit des signaux d’enquête qui soutiennent les efforts d’attribution et de remédiation.

11. Quel est le rôle des champs mémo dans les escroqueries TRON ?

Les fraudeurs peuvent utiliser les champs mémo pour intégrer des liens de phishing ou des messages frauduleux dans les transactions. Ces champs sont visibles dans des outils comme Tronscan et peuvent rediriger les utilisateurs vers des sites Web dangereux s’ils cliquent dessus.

12. Que dois-je faire si je reçois de la poussière TRX ?

TRM Labs recommande :

  • Évitez de vous engager avec des jetons ou des adresses inconnus.
  • Vérifiez les adresses avant de copier et coller.
  • Ignorez les liens dans les champs mémo sauf si la source est confirmée.

En cas de doute, considérez les micro-dépôts non sollicités comme suspects et n’interagissez pas.

{{ligne horizontale}}

À propos des laboratoires TRM

TRM Labs fournit des solutions d’analyse blockchain pour aider les forces de l’ordre et les agences de sécurité nationale, les institutions financières et les entreprises de cryptomonnaie à détecter, enquêter et perturber la fraude et la criminalité financière liées à la crypto. La plateforme d’intelligence blockchain de TRM comprend des solutions pour retracer la source et la destination des fonds, identifier les activités illicites, monter des dossiers et dresser un tableau opérationnel des menaces. TRM est approuvé par les principales agences et entreprises du monde entier qui comptent sur TRM pour permettre un écosystème cryptographique plus sûr et plus sécurisé. TRM est basé à San Francisco, en Californie, et recrute dans les domaines de l’ingénierie, des produits, des ventes et de la science des données. Pour en savoir plus, visitez www.trmlabs.com.

0 FacebookTwitterPinterestEmail

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Tu pourrais aussi aimer

Agent’s Take: How Lamar Jackson can use Patrick...

Which NBA Teams are Built for Long-Term Success

⭐ Dybansta, Boozer top NBA draft superlatives

Itauma set for sternest test to date

Mum’s lesson fuelling Rowe desire to make most...

Ryan Cook steps down as Netherlands men’s head...