Imaginez ouvrir votre historique de transactions Ethereum et y découvrir soudain des dizaines d’adresses presque identiques à celles que vous utilisez quotidiennement. Vous cliquez sans réfléchir, copiez l’une d’elles pour envoyer des fonds… et perdez tout. C’est exactement ce que vivent des milliers d’utilisateurs en ce moment sur la blockchain Ethereum, victimes d’une vague massive d’arnaques appelées address poisoning. Et aujourd’hui, une voix influente s’élève pour dénoncer un acteur clé du problème : Etherscan.
Changpeng Zhao, plus connu sous le nom de CZ, l’ancien patron de Binance, n’a pas mâché ses mots. Sur X (anciennement Twitter), il a publiquement critiqué le célèbre explorateur de blockchain pour son refus apparent de filtrer ces transactions malveillantes. Selon lui, il serait techniquement simple d’éliminer ces spams qui polluent les historiques et mettent en danger les portefeuilles des utilisateurs. Cette sortie intervient alors que les attaques atteignent des niveaux records en 2026.
La montée en puissance alarmante des attaques d’address poisoning
Depuis plusieurs mois, et particulièrement après certaines mises à jour du réseau Ethereum, les cas d’address poisoning explosent. Les attaquants profitent de frais de transaction très bas pour envoyer des milliers de transferts de faible valeur (souvent zéro ou presque) depuis des adresses qui imitent parfaitement celles de leurs victimes. Le but ? Polluer l’historique visible sur les explorateurs et wallets pour que l’utilisateur copie par erreur la mauvaise adresse lors d’un prochain envoi.
Le cas récent d’un utilisateur nommé Nima illustre parfaitement l’ampleur du phénomène. Après seulement deux transferts de stablecoins, il a reçu 89 alertes d’Etherscan en moins de 30 minutes. Toutes provenaient de transactions spam conçues pour injecter des adresses frauduleuses dans son historique. « Beaucoup vont se faire avoir », a-t-il alerté sur les réseaux, soulignant le caractère automatisé et industriel de ces campagnes.
Les explorateurs de blocs ne devraient pas afficher ces transactions spam. Il devrait être simple de les filtrer complètement.
CZ sur X, mars 2026
Cette citation résume parfaitement la position de CZ. Pour lui, laisser ces transferts visibles revient à faciliter le travail des escrocs. Il cite en exemple Trust Wallet, qui masque déjà ces transactions par défaut, protégeant ainsi ses utilisateurs sans effort supplémentaire de leur part.
Comment fonctionne précisément l’address poisoning ?
L’attaque repose sur un mélange astucieux d’ingénierie sociale et d’exploitation des interfaces utilisateurs. Les escrocs surveillent les mouvements importants sur la chaîne (comme des transferts de stablecoins ou d’ETH). Dès qu’une adresse active apparaît, ils génèrent une adresse frauduleuse qui commence et finit par les mêmes caractères – les seuls visibles dans la plupart des interfaces réduites.
Ensuite, ils envoient un transfert de token à valeur nulle ou minime vers la victime, utilisant souvent la fonction transferFrom ou des contrats malveillants. Cela crée un événement visible dans l’historique de la victime. Comme les wallets et explorateurs affichent souvent les 6-8 premiers et derniers caractères, l’utilisateur peut facilement se tromper lors d’un copier-coller rapide.
Les étapes clés d’une attaque d’address poisoning réussie :
- Surveillance des transactions importantes sur Ethereum
- Génération d’adresses lookalike (similaires visuellement)
- Envoi massif de dust transfers ou zero-value tokens
- Pollution de l’historique de la victime
- Attente que la victime copie la mauvaise adresse
- Redirection des fonds vers le wallet de l’attaquant
Ce qui rend cette arnaque particulièrement vicieuse, c’est qu’elle ne nécessite aucun accès aux clés privées. Tout repose sur l’erreur humaine et la confiance aveugle dans l’historique des transactions.
Pourquoi Etherscan est-il pointé du doigt ?
Etherscan reste l’explorateur de référence pour des millions d’utilisateurs Ethereum. Pourtant, ses choix d’affichage posent problème. Par défaut, il montre les transferts à zéro valeur, qui sont précisément ceux utilisés dans les attaques de poisoning. Certains concurrents comme BscScan ou Basescan obligent l’utilisateur à cliquer sur un bouton « masquer les tx à 0 » – un réglage actif mais pas automatique.
CZ insiste : il est techniquement trivial de filtrer ces transactions. Trust Wallet le fait déjà avec succès, et d’autres outils commencent à suivre. En continuant d’afficher ces spams, Etherscan contribue indirectement à maintenir un environnement risqué pour les novices comme pour les habitués.
La critique est d’autant plus forte que les volumes ont explosé récemment. Après une mise à jour majeure d’Ethereum (souvent appelée Fusaka dans les discussions de 2026), les frais ont chuté drastiquement, permettant aux bots d’envoyer des millions de dust transfers sans coût prohibitif. Résultat : des campagnes automatisées ciblant des milliers d’adresses simultanément.
Les chiffres qui font froid dans le dos
Entre mi-2022 et mi-2024, on recensait déjà environ 17 millions de tentatives d’address poisoning sur Ethereum, touchant 1,3 million d’utilisateurs et causant au moins 79 millions de dollars de pertes confirmées. En 2026, après la baisse des frais, le phénomène a pris une ampleur industrielle.
Le taux de succès reste faible (environ 0,01 % par tentative), mais avec des volumes aussi massifs, même un petit pourcentage représente des pertes colossales. Un seul utilisateur peut perdre des centaines de milliers, voire des millions, en une seule erreur de copier-coller.
Les implications futures : IA et micro-transactions
CZ va plus loin dans sa réflexion. Il anticipe que les futures micro-transactions entre agents IA (un usage émergent sur blockchain) pourraient générer elles aussi des transferts minuscules légitimes. Filtrer aveuglément tout ce qui est à faible valeur risquerait donc de bloquer ces usages innovants.
Sa solution ? Utiliser l’intelligence artificielle pour distinguer le spam malveillant des transferts légitimes. « D’ici là, nous pourrons employer l’IA pour filtrer le spam », explique-t-il. Une vision prospective qui montre que la sécurité crypto évolue en parallèle des technologies qu’elle protège.
Ce spam pourrait impacter les micro-transactions entre agents IA plus tard. Mais d’ici là, l’IA filtrera le spam.
CZ, mars 2026
Cette perspective ouvre un débat passionnant : comment équilibrer transparence totale des blockchains et protection des utilisateurs contre les abus ? Les explorateurs doivent-ils devenir des gardiens actifs ou rester de simples fenêtres neutres sur la chaîne ?
Que peuvent faire les utilisateurs pour se protéger dès aujourd’hui ?
En attendant que les outils s’améliorent, voici les réflexes à adopter immédiatement :
- Vérifiez toujours les 42 caractères complets de l’adresse de destination avant d’envoyer.
- Utilisez des wallets qui intègrent déjà des filtres anti-poisoning (comme Trust Wallet).
- Activez les alertes avancées et vérifiez manuellement les historiques suspects.
- Évitez de copier-coller depuis l’historique si possible ; saisissez l’adresse manuellement ou utilisez des contacts enregistrés.
- Signalez systématiquement les adresses malveillantes sur les explorateurs et communautés.
Ces gestes simples sauvent des fortunes chaque jour. Mais ils ne suffisent pas face à l’automatisation croissante des attaques. La responsabilité repose aussi sur les plateformes et les développeurs d’outils.
La réponse (ou l’absence) d’Etherscan et l’avenir des explorateurs
Pour l’instant, Etherscan a émis des avertissements généraux sur les risques d’address poisoning, mais n’a pas annoncé de changement majeur dans ses filtres par défaut. Cela contraste avec d’autres acteurs qui évoluent rapidement vers plus de protection proactive.
La polémique lancée par CZ pourrait accélérer les choses. Dans un écosystème où la confiance est reine, ignorer les critiques d’une figure comme lui risque de coûter cher en réputation et en utilisateurs. Les explorateurs pourraient bientôt devoir choisir : rester des outils neutres ou devenir des alliés actifs contre les scams.
Ce que les experts en sécurité recommandent aux plateformes :
- Filtrage automatique des zero-value transfers suspects
- Alertes contextuelles sur les adresses lookalike récentes
- Intégration de listes noires communautaires partagées
- Collaboration avec les wallets pour une détection en temps réel
- Utilisation future d’IA pour une analyse comportementale
Le débat ne fait que commencer, mais une chose est sûre : l’address poisoning est devenu l’une des menaces les plus insidieuses de 2026 sur Ethereum. Ignorer le problème n’est plus une option.
Conclusion : vers une blockchain plus sûre pour tous
L’appel de CZ à filtrer les spams d’address poisoning dépasse le simple clash entre deux acteurs. Il pose une question fondamentale : comment concilier la transparence absolue des blockchains publiques avec la nécessité de protéger les utilisateurs contre leurs propres erreurs ?
En attendant des solutions techniques plus avancées (IA, listes partagées, filtres intelligents), la vigilance reste de mise. Vérifiez deux fois, trois fois si nécessaire, chaque adresse avant d’envoyer des fonds. Car dans le monde crypto, une seconde d’inattention peut coûter une fortune.
Et vous, avez-vous déjà été confronté à une tentative d’address poisoning ? Partagez votre expérience en commentaires – ensemble, on sensibilise et on protège mieux la communauté.
