Le développement de la technologie blockchain a créé un grand paradoxe à l'ère numérique : la transparence absolue s'accompagne de l'illusion de l'anonymat. Alors que de nombreux utilisateurs croient encore que les adresses de portefeuille sous forme de hachages complexes constituent un bouclier qui protège les identités, la réalité en chaîne montre une image complètement différente. Selon les experts de Tan Phat Digital, le suivi des portefeuilles cryptographiques ne nécessite plus de super techniques comme dans les films fantastiques ; Il s’agit plutôt d’un processus systématique d’analyse des données, utilisant des algorithmes de clustering d’adresses, une surveillance en temps réel et exploitant les fuites de données hors chaîne. Les acteurs de la menace, depuis les profiteurs individuels du MEV jusqu’aux groupes cybercriminels parrainés par des États comme le groupe Lazarus, ont transformé la blockchain en un terrain de jeu de surveillance implacable. Ce rapport examinera les mécanismes techniques utilisés par les pirates pour identifier, suivre et finalement exproprier les actifs d'une cible en exploitant les propriétés essentielles du grand livre public.
Les fondements techniques de la surveillance : regroupement d'adresses et analyse en chaîne
Le cœur du suivi de portefeuille commence par la possibilité de relier plusieurs adresses apparemment distinctes à une seule entité via des méthodes heuristiques (test vrai-faux). La blockchain, en particulier les systèmes basés sur le modèle UTXO (Unspent Transaction Output) tels que Bitcoin et Cardano, fournissent des indices structurels que les pirates peuvent exploiter pour briser l'anonymat.
Heuristique multi-entrées
Il s'agit de la technique la plus importante en matière de clustering d'adresses. Le principe de base est basé sur la structure d'une transaction blockchain : lorsqu'une entité souhaite envoyer une somme d'argent supérieure au solde d'une seule adresse, elle doit regrouper plusieurs UTXO provenant de différentes adresses qu'elle contrôle en une seule transaction. Pour ce faire, l'expéditeur doit fournir des signatures valides pour toutes ces adresses d'entrée, ce qui prouve mathématiquement qu'une seule entité détient les clés privées de toutes ces adresses.
Les pirates utilisent des algorithmes comme Union-Find pour regrouper ces adresses en clusters. En conséquence, à partir d’une seule transaction, un pirate informatique peut identifier l’ensemble de « l’écosystème » du portefeuille d’un individu ou d’une organisation. Des études montrent que l'entité moyenne contrôle environ 9,67 adresses sur le réseau Cardano, et ce nombre est encore plus élevé pour les entités actives sur Bitcoin.
Changer l'adresse heuristique
Dans le modèle UTXO, chaque fois qu'une transaction est effectuée, la totalité du solde de l'UTXO d'entrée doit être dépensée. Si le montant envoyé est inférieur au montant total saisi, le reste sera envoyé à une « adresse de changement ». Les logiciels de portefeuille modernes génèrent souvent automatiquement une nouvelle adresse pour chaque transaction de retour afin de protéger la confidentialité, mais les pirates peuvent les identifier grâce à des modèles de comportement spécifiques :
Statut de l'adresse : l'adresse n'est souvent jamais apparue sur la blockchain auparavant, aidant les pirates à l'identifier comme une nouvelle adresse du même propriétaire.
Structure de sortie : apparaît uniquement pour identifier une nouvelle adresse parmi les sorties, la distinguant de celle du destinataire réel. adresse.
Valeur de la transaction : comporte généralement un nombre impair de décimales par rapport au montant rond envoyé, permettant au pirate informatique de prédire le flux de trésorerie résiduel de la victime.
Règle de synchronisation : l'adresse est générée en même temps que la transaction d'origine, reliant de manière permanente la nouvelle adresse à l'ancienne grappe d'adresses.
La détermination de l'adresse de retour permet aux pirates de maintenir une surveillance constante. alors même que les victimes tentent de disperser leurs actifs vers de nouveaux portefeuilles. Il s'agit d'un processus d'identification systématique, rendant les efforts d'anonymisation manuels inutiles face aux outils d'analyse automatisés.
En savoir plus : Blockchain Explorer, c'est quoi ?
Sweeper Bots : automatisé prédateurs dans Mempool
Une fois que les pirates ont obtenu la clé privée ou la phrase de départ de la victime, ils n'agissent souvent pas immédiatement si le solde actuel est faible ou si les actifs sont dans des jetons illiquides. Au lieu de cela, ils déploient des Sweeper Bots (robots de numérisation de pièces) pour surveiller les portefeuilles 24h/24 et 7j/7.
Course et mécanisme des frais d'essence
Sweeper Bot fonctionne sur la base de la surveillance du Mempool, une file d'attente dans laquelle les transactions attendent d'être confirmées par les mineurs ou les validateurs. Lorsqu'un utilisateur remarque que son portefeuille est compromis et essaie de déposer une petite somme d'argent (par exemple, ETH ou BNB) comme frais de gaz pour retirer d'autres actifs de valeur, le robot détectera cette transaction de dépôt dès qu'elle sera publiée sur le réseau.
Immédiatement, le robot créera sa propre transaction de retrait, ciblant l'argent nouvellement déposé ou les jetons de valeur dans le portefeuille. L’essentiel est que les pirates fixeront des frais de gaz extrêmement élevés (Gas_{hacker} > Gas_{user}) pour garantir que les mineurs donneront la priorité à leurs transactions en premier. Dans la structure d’Ethereum et des réseaux EVM équivalents, l’ordre dans lequel les transactions sont exécutées dans un bloc dépend en grande partie des frais que les utilisateurs sont prêts à payer. Cela rend une attaque « de premier plan » inévitable pour les utilisateurs courants.
MEV et extraction de valeur maximale
Le suivi des portefeuilles ne se limite pas aux portefeuilles dont les clés ont été volées. Les hackers professionnels surveillent également les portefeuilles des « Whales » pour mettre en œuvre des stratégies MEV (Maximal Extractable Value). Grâce aux robots GPS (Generalized Profit-Seeker), les pirates analysent les transactions en attente, simulent leurs résultats et effectuent des attaques Sandwich.
Dans une attaque Sandwich, le pirate place sa transaction aux deux extrémités de la transaction de la victime :
Front-run : Achetez d'abord des jetons pour faire monter le prix.
Victime Transaction Victime : Exécute un ordre d'achat à un moment donné. prix gonflé, augmentant encore la pression sur les prix.
Retour en arrière :Le pirate informatique vend immédiatement pour profiter du dérapage de prix subi par la victime.
L'ampleur de ces opérations est immense, avec des estimations de millions de dollars de bénéfices extraits chaque jour sur le seul réseau Ethereum.
Suivez les informations grâce à des outils professionnels d'analyse de blockchain
Les pirates informatiques sont de plus en plus sophistiqués, en utilisant les mêmes outils conçus à des fins de conformité et de recherche pour mener des activités de surveillance ciblées. Des plates-formes telles que Nansen, Chainalysis, Arkham Intelligence et Etherscan fournissent des fonctionnalités puissantes qui permettent aux pirates informatiques de configurer des systèmes d'alerte automatisés.
Système de liste de surveillance et alertes en temps réel
Les outils d'analyse modernes permettent aux utilisateurs d'étiqueter les adresses de portefeuille et de configurer des « alertes de liste de surveillance ». Lorsqu'un portefeuille cible effectue une action (du dépôt/retrait à l'échange de jetons sur un DEX, en passant par l'approbation d'un nouveau contrat intelligent), le pirate informatique reçoit des notifications instantanées via Telegram, Discord ou e-mail.
La combinaison de données en chaîne et d'étiquettes d'entité aide les pirates informatiques à classer efficacement les cibles :
Baleines : pour surveiller les fluctuations du marché ou attaquer Sandwich.
Portefeuilles du projet développeurs : pour détecter les ventes précoces ou les vulnérabilités dans les contrats nouvellement déployés.
Portefeuilles des victimes dont les informations ont été volées : pour attendre le temps de recharger les actifs des frais de gaz.
Vous trouverez ci-dessous les outils courants utilisés par les pirates et les analystes. Applications :
Arkham : fournit des fonctionnalités de visualisation et d'étiquetage d'entité pour lier les adresses de portefeuille aux adresses réelles identités ou organisations spécifiques.
Nansen : se spécialise dans le suivi intelligent de l'argent pour suivre les flux de trésorerie des fonds d'investissement et des grands portefeuilles de poissons.
Bubblemaps : fournit des cartes de distribution de jetons pour détecter que les clusters de portefeuilles centralisent le contrôle.
Tenderly : prend en charge le traçage en temps réel pour surveiller les appels de fonction détaillés au sein de smart contrats.
Dune Analytics : permet d'exécuter des requêtes SQL personnalisées pour analyser en profondeur les modèles de comportement financier à grande échelle.
En savoir plus : La blockchain est-elle complètement anonyme ?
Dé-anonymisation : lorsque les données IP et hors chaîne deviennent célèbres
La blockchain est peut-être anonyme, mais interagir avec elle laisse souvent des traces numériques que les pirates informatiques peut utiliser pour identifier les utilisateurs. Il s'agit du processus de « désanonymisation », transformant un hachage sans vie en une personne spécifique.
Fuite d'adresse IP via les services RPC
La majorité des utilisateurs interagissent actuellement via des portefeuilles de navigateur comme MetaMask. Ces portefeuilles envoient des requêtes via des services RPC comme Infura. Les dernières recherches montrent que les attaquants peuvent effectuer la désanonymisation avec un taux de réussite allant jusqu'à 95 % en exploitant la corrélation temporelle entre les paquets TCP et les transactions du grand livre.
La conservation des adresses IP permet aux pirates de :
Géolocaliser : localiser les cibles pour effectuer des attaques physiques ou de phishing.
Attaque DDoS : paralyse l'interaction réseau de la victime pendant un moment critique.
Exploration de données des FAI : liens plus profonds vers des identités réelles grâce à des fuites de données provenant de tiers.
Ingénierie sociale et identité sociale
Les pirates informatiques utilisent des techniques de reconnaissance open source (OSINT) pour suivre des cibles sur X, Discord et Telegram. Les utilisateurs publiant accidentellement les adresses de portefeuille pour recevoir des parachutages, reliant les portefeuilles aux domaines .eth ou .sol, créent des ancres d'identité. Une fois qu'un pirate informatique a lié une adresse de portefeuille à un compte de réseau social, toute la confidentialité de cet utilisateur sur la chaîne prend fin.
L'art de la tromperie : attaque par empoisonnement d'adresse
L'attaque par empoisonnement d'adresse est une méthode sophistiquée de suivi et de fraude, ciblant l'habitude de copier-coller et le manque de vigilance de l'utilisateur.
Le mécanisme de fabrication d'adresses personnalisées
Les pirates utilisent un logiciel générateur d'adresses personnalisées pour créer des portefeuilles qui ont le premier et derniers caractères identiques aux adresses avec lesquelles la victime interagit fréquemment. Étant donné que les interfaces de portefeuille raccourcissent souvent la partie centrale de l'adresse, cette différence est presque impossible à détecter d'un seul coup d'œil.
Processus d'empoisonnement de l'historique des transactions
Suivi du comportement : les pirates utilisent des robots qui surveillent l'historique des transactions de la cible pour identifier les partenaires fréquents.
Dépôt de poussière : les pirates envoient une quantité extrêmement petite d'actifs de la fausse adresse à celle de la victime. wallet.
Créez un piège : les fausses transactions apparaissent dans la dernière liste. Lorsque les victimes ont besoin de transférer de l'argent réel, elles copient facilement la mauvaise adresse du pirate informatique dans l'historique.
Les chiffres de 2024 et 2025 montrent que l'ampleur de ce type est très grande, avec plus de 270 millions de tentatives d'attaque enregistrées. Un incident typique survenu en décembre 2025 a vu un trader perdre près de 50 millions de dollars américains en raison d'une erreur de copie d'adresse empoisonnée.
Exploiter les autorisations d'approbation : ERC-20, Permit et Permit2
Le suivi du portefeuille va au-delà du solde, mais également des autorisations d'approbation (approbations) que les utilisateurs ont accordées aux contrats intelligents. Les approbations sont souvent permanentes et en nombre illimité, créant des risques énormes.
Risque d'approbation infini et Permit2
De nombreux protocoles DeFi nécessitent un maximum d'approbations pour économiser du gaz. Les pirates suivent ces commandes via Etherscan. S'ils prennent le contrôle de l'interface Web ou découvrent une vulnérabilité dans un contrat approuvé, ils peuvent drainer des actifs sans aucune autorisation supplémentaire.
Avec des normes telles que Permit et Permit2, les approbations peuvent être effectuées via des signatures hors chaîne. Les pirates ont profité de cette fonctionnalité pour développer des boîtes à outils de phishing comme Inferno Drainer :
Track and leurre : les pirates utilisent de fausses publicités pour diriger les victimes vers des sites Web frauduleux.
Signer une notification : le site Web nécessite de signer une notification de « Connexion » ou de « Vérification ». Il s'agit essentiellement d'une signature Permit2 autorisant le retrait de jetons.
Délai : le pirate informatique ne retire pas d'argent immédiatement. Ils surveillent les portefeuilles pendant des jours, en attendant le solde le plus élevé pour effectuer des retraits sur la chaîne.
Cas clinique : attaque Bybit de 1,5 milliard de dollars
En février 2025, le vol de 1,5 milliard de dollars dans les portefeuilles froids de Bybit était la combinaison ultime de suivi de la chaîne d'approvisionnement et de surveillance en chaîne. Le groupe Lazarus a infiltré le système Safe{Wallet} via un poste de travail de développeur.
Le 19 février 2025, des pirates ont modifié des fichiers JavaScript sur le serveur S3. Le malware ne s'active que lorsqu'il identifie l'adresse du portefeuille source comme étant le portefeuille froid de Bybit :
Trigger = (Address_{source} == Address_{Bybit_Cold})
Lorsque l'administrateur Bybit exécute un ordre de transfert d'argent, le malware modifie silencieusement le contenu de la transaction en une commande delegatecall qui mène au contrat du pirate informatique, lui permettant d'ajouter une fonction de retrait et de siphonner les actifs sans avoir besoin de signatures supplémentaires. autres.
Reconnaître les signes que votre portefeuille est suivi
Perte immédiate des frais de gaz : un signe clair d'un Sweeper Bot. Si vous déposez des frais de gaz et qu'ils disparaissent en quelques secondes, votre portefeuille a votre clé privée sous contrôle.
Transactions fréquentes de type "poussière" : les pirates tentent de regrouper vos adresses ou de se préparer à une attaque d'empoisonnement d'adresse.
Demandes de signature de messages inhabituelles : formats JSON particulièrement complexes liés à Permit2 lorsque vous utilisez DApp.
Mesures de prévention du point de vue de Tan Phat Digital
Bien que le suivi en chaîne soit un défi majeur, les utilisateurs peuvent appliquer les stratégies suivantes pour protéger les actifs :
Abstraction de compte (ERC-4337)
L'introduction de portefeuilles intelligents (comptes intelligents) améliore considérablement la sécurité, notamment :
Liste blanche : autorisez uniquement le transfert de fonds transférés à des adresses pré-approuvées, désactivant complètement le piège d'empoisonnement d'adresse.
Limites de transaction : définissez une limite de retrait quotidienne, empêchant Sweeper Bot de drainer immédiatement les actifs, c'est-à-dire.
Paymasters : permet de payer les frais de gaz avec d'autres jetons ou de parrainage de frais, évitant ainsi l'exposition des flux de trésorerie des frais de gaz natifs.
Social Récupération : aide à restaurer l'accès au portefeuille via des amis ou d'autres appareils, éliminant complètement les risques liés aux phrases de départ.
Gestion et approbation de la confidentialité
L'utilisation de solutions telles que Wasabi Wallet (protocole CoinJoin) permet de mélanger les transactions, perturbant ainsi l'algorithme de clustering. De plus, l’utilisation d’un nœud RPC privé ou d’un VPN permet d’éviter les fuites IP. Les utilisateurs doivent régulièrement utiliser Revoke.cash pour révoquer les approbations qui ne sont plus nécessaires.
Foire aux questions (FAQ)
Qu'est-ce qu'une attaque de dépoussiérage ? Les pirates informatiques envoient de petites quantités de cryptomonnaie à des millions d'adresses pour les « étiqueter » et suivre la façon dont vous gérez ou regroupez ces fonds, identifiant ainsi les propriétaires.
Comment fonctionne le clustering d'adresses ? Il s'agit d'une technique permettant de regrouper de nombreuses adresses de portefeuille différentes qui appartiennent potentiellement à la même entité, en fonction de règles concernant la structure des transactions et le comportement en matière de dépenses.
Qu'est-ce que l'heuristique à entrées multiples ? Une règle qui suppose que si plusieurs adresses de portefeuille contribuent aux fonds d'une seule transaction, elles sont sous le contrôle de la même personne car toutes les clés privées sont nécessaires pour signer.
Les adresses IP peuvent-elles être divulguées via des portefeuilles cryptographiques ? Oui, lorsque vous utilisez des portefeuilles légers ou des plugins de navigateur, votre adresse IP peut être divulguée via des requêtes RPC, aidant ainsi les pirates informatiques à associer votre véritable identité à l'adresse du portefeuille.
Que fait le robot Sweeper lorsqu'un portefeuille est piraté ? Il surveille la file d'attente des transactions (mempool) et effectue immédiatement des retraits avec des frais d'essence extrêmement élevés pour usurper n'importe lequel de vos dépôts de frais d'essence.
Qu'est-ce qu'une attaque Sandwich ? Les pirates informatiques passent des ordres d'achat avant et des ordres de vente immédiatement après la transaction de la victime pour profiter du dérapage de prix créé par la victime.
Dans quelle mesure l'approbation illimitée est-elle dangereuse ? Elle permet à un contrat intelligent de vider ce jeton de votre portefeuille à tout moment sans que vous ayez à le signer à nouveau.
Quels sont les risques de Permit2 par rapport à Permit classique ? Étant donné que Permit2 est très flexible et peut approuver plusieurs jetons en même temps, les pirates peuvent inciter les utilisateurs à signer des avis complexes qu'ils ne comprennent pas entièrement afin de retirer des fonds.
En quoi l'empoisonnement d'adresse est-il différent de l'attaque de poussière ? L'empoisonnement d'adresse est utilisé pour le suivi, tandis que l'empoisonnement d'adresse crée une adresse qui ressemble à l'adresse que vous utilisez habituellement pour vous inciter à copier-coller la mauvaise adresse lors du transfert d'argent.
Comment le piratage Bybit de 1,5 milliard de dollars a-t-il été réalisé ? Les pirates du groupe Lazarus ont injecté du code malveillant dans l'infrastructure cloud de Safe{Wallet}, modifiant l'interface afin que les utilisateurs puissent signer des commandes leur transférant le contrôle des portefeuilles froids.
Qu'est-ce que l'abstraction de compte (AA) ? La technologie qui transforme votre portefeuille en contrat intelligent est-elle capable de programmer sa propre logique de sécurité, au lieu d'une simple paire de clés privées.
Comment l'ERC-4337 aide-t-il à empêcher les robots Sweeper ? AA permet de définir des limites de retrait et de mettre en liste blanche les adresses de réception, ce qui rend impossible aux robots de retirer immédiatement tous les fonds vers une adresse inconnue.
Quels sont les inconvénients de l'utilisation de l'ERC-4337 ? Cela augmente la complexité des transactions, entraîne des frais de gaz plus élevés et peut augmenter le risque d'attaques par déni de service (DoS) en raison d'une logique d'authentification complexe.
Quels sont les meilleurs outils pour suivre les mouvements des baleines aujourd'hui ? Nansen, Arkham Intelligence et Bubblemaps sont des outils de pointe qui fournissent des données nominales professionnelles et des visualisations des flux de trésorerie.
Comment sécuriser complètement votre portefeuille contre le suivi ? Utilisez des portefeuilles prenant en charge CoinJoin (comme Wasabi), connectez-vous via Tor/VPN, révoquez régulièrement les approbations et ne copiez jamais les adresses de l'historique des transactions.
Tan Phat Digital a souligné qu'à l'avenir, la confidentialité en chaîne n'est plus une simple dissimulation de chiffres, mais la possibilité de contrôler les données. Jusqu'à ce que les technologies de sécurité telles que Zero-Knowledge Proofs deviennent populaires, la vigilance et la compréhension sont les niveaux de protection les plus importants pour chaque investisseur.
Partager
