Un homme perd 3 millions de dollars en XRP : sa retraite s’envole d’un seul coup

Un investisseur crypto américain a perdu l’intégralité de sa retraite après que des hackers ont dérobé 3 millions de dollars d’XRP. L’attaque, survenue le 12 octobre, est qualifiée par des chercheurs blockchain comme l’un des piratages visant un particulier les plus marquants de l’année.

Une retraite partie en fumée

Brandon LaRoque, 54 ans, originaire de Caroline du Nord, mettait de côté depuis 2017 1,2 million d’XRP pour sa retraite et celle de son épouse. Selon LaRoque, cet investissement devait servir de matelas de long terme, mais son patrimoine numérique a été entièrement vidé en une nuit.

« C’était toute notre retraite. Je ne sais pas ce qu’on va faire. On devra sans doute simplement retourner travailler », a-t-il déclaré. « Heureusement, j’avais aussi un peu de métaux précieux, mais cela n’a rien à voir avec ce que j’avais en crypto. La crypto devait être notre filet de sécurité. »

Comment l’attaque s’est déroulée

Selon des chercheurs blockchain, dont le célèbre analyste ZachXBT, les auteurs ont commencé par deux transactions test de 10 XRP pour vérifier l’accès. Ensuite, le portefeuille a été vidé d’un seul coup et les fonds ont été transférés vers une nouvelle adresse.

Les hackers ont multiplié les étapes pour brouiller les pistes. Au total, plus de 120 transactions ont été effectuées, convertissant de l’XRP en Tron via des bridges. Les fonds ont ensuite été consolidés sur le réseau Tron puis envoyés à Huione, une entité au Cambodge déjà sanctionnée par le gouvernement américain pour son implication dans le blanchiment d’argent.

Erreur lors de l’importation de la seed phrase

Le fabricant de hardware wallets Ellipal, où LaRoque stockait ses crypto-actifs, a indiqué qu’il ne s’agissait pas d’une défaillance technique de leur appareil.

« Après enquête, nous concluons qu’il ne s’agit pas d’un piratage d’une cold wallet, mais d’un vol via une hot wallet », a déclaré Ellipal. « L’utilisateur a importé sa phrase de récupération en ligne, ce qui a connecté le portefeuille à Internet et l’a rendu vulnérable aux logiciels malveillants et aux attaques externes. »

Ellipal a exprimé sa sympathie envers l’investisseur lésé : « Nos pensées vont à Brandon en cette période difficile. Personne ne devrait avoir à subir une telle perte. »

Alerte aux investisseurs

Des experts soulignent que cet incident rappelle à quel point il est essentiel de ne jamais stocker ni partager ses phrases de récupération (seed phrase) en ligne. Dès qu’un portefeuille est connecté à Internet, il devient ce qu’on appelle une hot wallet et, de fait, une cible potentielle pour les hackers.

ZachXBT a averti sur X que ce type d’attaque se multiplie : « Dès que vous saisissez votre phrase de récupération sur un appareil connecté, partez du principe que vos avoirs ne sont plus en sécurité. Un simple moment d’inattention peut coûter des millions. »