Une seule victime a été arnaquée deux fois en trois heures, perdant un total de 2,6 millions de dollars de stablecoins.

Selon les données partagées le 26 mai par la société de conformité crypto Cyvers, la victime a envoyé 843 000 USDT (USDT), suivi de 1,75 million USDT encore environ trois heures plus tard.

A single victim was scammed two times within three hours, losing a total of $2.6 million in stablecoins, according to data shared by crypto compliance firm Cyvers.

Une seule victime a été arnaquée deux fois en trois heures, perdant un total de 2,6 millions de dollars de stablecoins, selon les données partagées par la société de conformité Crypto Cyvers.

The victim sent 843,000 worth of USDt (USDT), followed by another 1.75 million USDT around three hours later, the firm said on May 26. The scam used a method known as a zero-value transfer, a sophisticated form of onchain phishing.

La victime a envoyé 843 000 USDT (USDT), suivi de 1,75 million USDT supplémentaires environ trois heures plus tard, a déclaré la firme le 26 mai. L'arnaque a utilisé une méthode connue sous le nom de transfert de valeur zéro, une forme sophistiquée de phishing en ondes.

A zero-value transfer occurs when an attacker exploits the token transfer From function to transfer zero tokens from the victim’s wallet to a spoofed address. Since the amount transferred is zero, no signature by the victim’s private key is necessary for onchain inclusion.

Un transfert de valeur zéro se produit lorsqu'un attaquant exploite le transfert de jeton de la fonction pour transférer des jetons zéro du portefeuille de la victime à une adresse usurpée. Étant donné que le montant transféré n'est nul, aucune signature de la clé privée de la victime n'est nécessaire pour l'inclusion d'Onchain.

The victim will then see the incoming transaction in their history, and may trust this address since it is included in their transaction history, making them think it’s a known or safe recipient. They may then send real funds to the attacker’s address in a future transaction.

La victime verra alors la transaction entrante dans son histoire et peut faire confiance à cette adresse car elle est incluse dans l'historique des transactions, ce qui leur fait penser que c'est un destinataire connu ou sûr. Ils peuvent ensuite envoyer des fonds réels à l'adresse de l'attaquant dans une future transaction.

In one high-profile case, a scammer using a zero-transfer phishing attack managed to steal $20 million worth of USDT before getting blacklisted by the stablecoin’s issuer in the summer of 2023.

Dans un cas très médiatisé, un escroc utilisant une attaque de phishing zéro a réussi à voler pour 20 millions de dollars USDT avant d'être mis sur liste noire par l'émetteur de la stablecoin à l'été 2023.

A zero-value transfer is an evolution of address poisoning, a tactic where attackers send small amounts of cryptocurrency from a wallet address that resembles a victim’s real address, often with the same starting and ending characters. The goal is to trick the user into accidentally copying and reusing the attacker’s address in future transactions, resulting in lost funds.

Un transfert de valeur zéro est une évolution de l'empoisonnement de l'adresse, une tactique où les attaquants envoient de petites quantités de crypto-monnaie à partir d'une adresse de portefeuille qui ressemble à l'adresse réelle d'une victime, souvent avec les mêmes personnages de départ et de fin. L'objectif est de inciter l'utilisateur à copier accidentellement et à réutiliser l'adresse de l'attaquant dans les transactions futures, entraînant des fonds perdus.

The technique exploits how users often rely on partial address matching or clipboard history when sending crypto. Custom addresses with similar starting and ending characters can also be combined with zero-value transfers.

La technique exploite la façon dont les utilisateurs comptent souvent sur la correspondance d'adresses partielle ou l'historique du presse-papiers lors de l'envoi de crypto. Les adresses personnalisées avec des caractères de démarrage et de fin similaires peuvent également être combinées avec des transferts à valeur nul.

A January study by TRGARD found that over 270 million poisoning attempts occurred on BNB Chain and Ethereum between July 1, 2022, and June 30, 2024. Of those, 6,000 attempts were successful, leading to losses over $83 million.

Une étude de janvier de Trgard a révélé que plus de 270 millions de tentatives d'empoisonnement se sont produites sur la chaîne BNB et Ethereum entre le 1er juillet 2022 et le 30 juin 2024. Parmi celles-ci, 6 000 tentatives ont été réussies, ce qui a entraîné des pertes de plus de 83 millions de dollars.

The report followed crypto cybersecurity firm Trugard and onchain trust protocol Webacy announcing an artificial intelligence-based system for detecting crypto wallet address poisoning. The new tool has a success score of 97%, tested across known attack cases.

Le rapport faisait suite à la société de cybersécurité cryptographique Trugard et au protocole d'Onchain Trust Weleacy annonçant un système basé sur l'intelligence artificielle pour détecter l'empoisonnement d'adresse du portefeuille cryptographique. Le nouvel outil a un score de réussite de 97%, testé dans les cas d'attaque connus.