Actifs
Dépôt de cryptos
Acheter Crypto
Convertir
Transfert
Retrait
Mes coupons
Historique du fonds
Dashboard
Sécurité du compte
Vérification d'identité
Gestion des API
Rapport de la transaction
Déconnexion
inscrire
BTCC / BTCC Square / CryptopolitanFR /
Un utilisateur Ethereum perd 440 358 $ en USDC suite à une exploitation malveillante d’une faille de sécurité.

Un utilisateur Ethereum perd 440 358 $ en USDC suite à une exploitation malveillante d’une faille de sécurité.

Author:
CryptopolitanFR
Published:
2025-12-09 08:30:17
7
3

Un utilisateur Ethereum perd 440 358 $ en USDC suite à une exploitation malveillante d'une faille de sécurité.

Un portefeuille crypto saigné à blanc. Une vulnérabilité exploitée, et près d'un demi-million de dollars en stablecoin s'évapore dans la nature.

Le mécanisme de l'attaque

L'exploitation n'a pas nécessité de piratage spectaculaire. Elle a contourné les garde-fous par une manipulation astucieuse des signatures de transaction, transformant une fonctionnalité standard en porte dérobée. L'attaquant a détourné l'autorisation pour vider le compte, laissant derrière lui une trace blockchain immuable et un utilisateur lésé.

Les implications pour la DeFi

Cet incident rappelle une vérité fondamentale : dans la finance décentralisée, votre sécurité est souvent aussi solide que votre compréhension du code. Les contrats intelligents promettent l'autonomie, mais ils transfèrent aussi le fardeau de la vigilance. Une signature approuvée peut être une trappe, et la blockchain, un juge impitoyable qui n'annule aucune transaction.

Un petit coup de couteau pour l'utilisateur, une leçon coûteuse pour l'écosystème. Et pendant ce temps, dans la finance traditionnelle, on vous facturerait simplement des frais de gestion exorbitants pour perdre votre argent plus lentement.

L'auteur de la fraude par hameçonnage valide un transfert de 440 000 $ USDC de la victime

D'après les données blockchain d'Etherscan, l'attaquant a utilisé une transaction de « permission », un type de signature permettant le transfert de jetons sans confirmation manuelle du propriétaire. Même si aucun transfert d'argent n'apparaît au moment de la signature, l'attaquant peut ultérieurement renseigner le montant et l' cash sans autre consentement ; en l'occurrence, 440 358 $ ont été renseignés.

Une fois l'autorisation accordée, l'attaquant a effectué plusieurs transferts via letracFiatTokenProxy, qui gère les transactions en USDC. Lundi vers 10 h UTC, 22 000 usdc ont été envoyés simultanément à un compte frauduleux : 66 060 $ à l'adresse 0xbb4…666f682aF et 352 300 $ à l'adresse 0x6a3aF6…d8F9a00B.

victime :
0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605

Arnaqueurs :
0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF
0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00B https://t.co/GdyGP2iPYZ pic.twitter.com/IukksnpAl1

— Détecteur d'arnaques | Anti-arnaque Web3 (@realScamSniffer) 8 décembre 2025

Scam Sniffer a également signalé un autre incident d'hameçonnage dent 7 novembre, lorsqu'un autre utilisateur a perdu 1,22 million de dollars en USDC et un jeton PlaUSDT0 seulement 30 minutes après avoir signé des messages d'autorisation frauduleux.

Le rapport de novembre de la société de sécurité Web3 sur le phishing révèle des pertes totales s'élevant à 7,77 millions de dollars, soit une hausse de 1 137 % par rapport aux 3,28 millions de dollars d'octobre. Malgré cette forte augmentation des pertes, le nombre de victimes a diminué de 42 %, avec 6 344 utilisateurs touchés en novembre, contre 10 935 victimes recensées le mois précédent.

Il y a près d'une semaine, des pirates informatiques ont utilisé l'« empoisonnement d'adresse » pour dérober 1,1 million d'USDT sur Ethereum. Selon Kyle Soska, directeur des investissements de Ramiel Capital, le groupe a surveillé de petits transferts sortants depuis les portefeuilles de gros investisseurs, puis a utilisé des systèmes basés sur le GPU pour générer des adressesdentidentiques. 

« Dans ce cas précis, l'attaquant envoie une transaction Tether de très faible montant à la victime sur la blockchain afin que l'adresse frauduleuse apparaisse dans l'historique des transactions récentes du portefeuille web3 de la victime. La victime choisit alors pardentcette adresse pour y envoyer une somme importante », a expliqué Soska en réponse à un utilisateur de X qui s'interrogeait sur la faisabilité de cettedent .

La période des fêtes est inondée d'escroqueries par usurpation d'identité

L'escalade du phishing lié aux cryptomonnaies survient peu après une recrudescence des arnaques numériques pendant la période des fêtes. Darktrace trac une entreprise de cybersécurité trac les tendances mondiales du phishing auprès des consommateurs, a signalé une augmentation de 201 % des escroqueries visant à usurper l'identité de grandes enseignes américaines durant la semaine précédant Thanksgiving, par rapport à la même semaine d'octobre.

Les courriels usurpant l'identité de Macy's, Walmart et Target ont augmenté de 54 % en une seule semaine, mais Amazon a été l'entreprise la plus usurpée au total, représentant 80 % des tentatives d'hameçonnage, soit plus que les marques numériques grand public Apple, Alibaba et Netflix. 

Début novembre seulement, Kaspersky a détecté 146 535 courriels indésirables faisant référence à des réductions saisonnières, dont 2 572 liés aux campagnes de la Fête des célibataires. Nombre de ces messages réutilisaient des modèles éprouvés recyclés des années précédentes, les escrocs imitant Amazon, Walmart et Alibaba pour annoncer des ventes en avant-première qui redirigeaient les utilisateurs vers de fausses pages de paiement afin de voler leursdentet d'effectuer des validations malveillantes.

Les données de Kaspersky Security Network (KSN) montrent qu'entre janvier et octobre, l'entreprise a bloqué 6 394 854 tentatives d'hameçonnage ciblant des boutiques en ligne, des banques et des systèmes de paiement. Près de la moitié de ces tentatives (48,2 %) visaient spécifiquement les acheteurs en ligne.

Au cours de la même période, Kaspersky adentplus de 20 millions d'attaques sur des plateformes de jeux, dont 18,56 millions exploitant Discord, que la société considère comme un point de distribution de fichiers malveillants déguisés en logiciels de jeux.

Les plateformes de divertissement ont également été la cible de nombreuses attaques, avec 801 148 tentatives d’hameçonnage visant Netflix et 576 873 visant Spotify enregistrées en 2025. L’entreprise a également recensé 2 054 336 tentatives d’hameçonnage usurpant l’identité des plateformes de jeux Steam, PlayStation et Xbox.

De plus, Kaspersky a enregistré 20 188 897 tentatives d'infection par des logiciels malveillants déguisés en « logiciels courants », Discord représentant la majorité avec 18 556 566 détections, soit plus de 14 fois plus que lesdentsignalés l'année dernière.

Vous souhaitez que votre projet soit présenté aux plus grands noms de la cryptomonnaie ? Présentez-le dans notre prochain rapport sectoriel, où données et impact se rencontrent.

|Square

Obtenez l'application BTCC pour commencer votre expérience avec les cryptomonnaies

Download on the App Store GEI IT ON Google Play

Commencer aujourd'hui Scannez pour rejoindre nos + de 100 millions d’utilisateurs

Exchange for a better future

Produits
Services
Guides
À propos de nous
Conditions et accord
Service client

Avertissement concernant les risques : Le trading d’actifs numériques est une industrie émergente avec de belles perspectives, mais elle comporte également d’énormes risques car il s’agit d’un nouveau marché. Les risques sont particulièrement élevés dans le trading à effet de levier, car l’effet de levier amplifie les profits et amplifie en même temps les risques. Veuillez vous assurer d'avoir une très bonne compréhension du secteur, des modèles de trading à effet de levier et des règles de trading avant d'ouvrir une position. De plus, nous vous recommandons fortement d’identifier votre tolérance au risque et d’accepter uniquement les risques que vous êtes prêt à prendre. Tout trading comporte des risques, vous devez donc être prudent lorsque vous entrez sur le marché.

L'échange de cryptomonnaies le plus ancien au monde depuis 2011 © 2011 - 2025 BTCC.com. All rights reserved

Avertissement : Les articles reproduits sur ce site proviennent de réseaux publics et sont partagés dans le seul but de transmettre des informations sectorielles, sans représenter une position officielle de BTCC. Les droits de création reviennent à leurs auteurs respectifs. Si vous constatez des violations de droits d’auteur ou de contenu litigieux, veuillez nous contacter à [email protected] pour que nous puissions traiter la demande conformément à la loi. BTCC ne garantit pas l'exactitude, l'actualité ou l'exhaustivité des informations reproduites et décline toute responsabilité, explicite ou implicite, découlant de l'utilisation de ces informations. Tous les contenus sont fournis à titre de référence pour la recherche sectorielle et ne constituent en aucun cas une suggestion d'investissement, de décision juridique ou commerciale. BTCC ne saurait être tenu responsable des actes entrepris sur la base de ces informations.