Revues1 FR

Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.
Visitez www.DeepL.com/pro pour en savoir plus.
Reçu le 5 octobre 2021, accepté le 21 octobre 2021, date de publication le 27 octobre 2021, date de la version actuelle le 8 novembre 2021.
Digital Object Identifier 10.1109/ACCESS.2021.3123894
Escroqueries sur les crypto-monnaies : Analyse

et perspectives
MASSIMO BARTOLETTI , STEFANO LANDE , ANDREA LODDO , LIVIO
POMPIANU ET SERGIO SERUSI
Département de mathématiques et d'informatique, Université de Cagliari, 09124 Cagliari, Italie
Auteurs correspondants : Massimo Bartoletti (bart@unica.it), Andrea Loddo (andrea.loddo@unica.it) et Livio Pompianu
(livio.pompianu@unica.it)
Les travaux de Massimo Bartoletti et Andrea Loddo ont été soutenus en partie par la Convenzione Fondazione di Sardegna e Atenei Sardi
Project F74I19000900007 ''ADAM''. Le travail de Stefano Lande a été soutenu par le P.O.R. F.S.E. 2014-2020. Le travail de Livio Pompianu
a été soutenu en partie par la Convenzione Fondazione di Sardegna e Atenei Sardi Project F74I19000900007 ''ADAM'' et en partie par la
Regione Autonoma della Sardegna L.R. 07/2017 Fondo sociale di Coesione Project F76C18001090002 ''Lavoro e tecnologie digitali.
Risques et opportunités pour les travailleurs sur les marchés du travail en crise".
RÉSUMÉ Depuis la création du bitcoin en 2009, le marché des crypto-monnaies s'est développé au-delà
des attentes initiales, comme en témoignent les milliers d'actifs symbolisés disponibles sur le marché, dont
les échanges quotidiens dépassent des dizaines de milliards d'USD. Les caractéristiques de pseudonymat
des crypto-monnaies ont attiré l'attention des cybercriminels, qui les exploitent pour réaliser des
escroqueries potentiellement intraçables. Le large éventail d'escroqueries basées sur les crypto-monnaies
observées au cours des dix dernières années a favorisé l'étude de leurs effets et la mise au point de
techniques pour les contrer. La recherche dans ce domaine est entravée par plusieurs facteurs. Tout
d'abord, il n'existe que quelques sources de données publiques sur les escroqueries à la crypto-monnaie, et
elles contiennent souvent des données incomplètes ou mal classées. En outre, il n'existe pas de taxonomie
standard des escroqueries, ce qui conduit à des interprétations ambiguës et incohérentes de leur nature. En
effet, l'indisponibilité d'ensembles de données fiables rend difficile la formation de classificateurs
automatiques efficaces capables de détecter et d'analyser les escroqueries. Dans cet article, nous procédons
à un examen approfondi de la littérature scientifique sur les escroqueries à la crypto-monnaie, que nous
systématisons selon une nouvelle taxonomie. En collectant et en homogénéisant des données provenant de
différentes sources publiques, nous construisons un ensemble de données uniforme de milliers
d'escroqueries à la crypto-monnaie. Nous nous appuyons sur cet ensemble de données pour mettre en
œuvre un outil qui reconnaît automatiquement les escroqueries et les classe selon notre taxonomie. Nous
évaluons l'efficacité de notre outil à l'aide de mesures de performance standard. Nous analysons ensuite
les résultats de la classification, ce qui nous permet d'obtenir des informations essentielles sur la
répartition des types d'escroquerie et sur la corrélation entre les différents types. Enfin, nous proposons un
ensemble de lignes directrices que les décideurs politiques pourraient suivre pour améliorer la protection
des utilisateurs contre les escroqueries à la crypto-monnaie.
TERMES DE L'INDEX Bitcoin, blockchain, crypto-monnaie, fraudes.
investisseurs pour en tirer un avantage indu, suscitent de

I. INTRODUCTION
vives inquiétudes.
Selon le site web de suivi des prix coinmarket- cap.com, le
marché mondial des crypto-monnaies compte plus de 13 Il n'est pas facile pour l'utilisateur moyen de détecter les
000 crypto-actifs, avec une capitalisation totale dépassant escroqueries liées aux crypto-monnaies. Bien que quelques
les 2,5 billions de dollars [1]. Au fil des ans, les crypto- sites web permettent aux utilisateurs de signaler et de
monnaies ont suscité une attention croissante de la part des rechercher des escroqueries, ils ne sont pas complets et
investisseurs, des entrepreneurs, des régulateurs et du grand fournissent souvent des informations incohérentes, voire
public. Outre les préoccupations financières liées à erronées. L'un des principaux problèmes de ces sites est que
l'instabilité du marché des crypto-monnaies et à sa les rapports d'escroquerie doivent être insérés manuellement,
dynamique de bulle présumée [2], les escroqueries sur les Le rédacteur en chef adjoint qui a coordonné l'examen de ce manuscrit et
crypto-monnaies, où des fraudeurs tentent de tromper les en a approuvé la publication est Jiafeng Xie.
Cependant, la classification automatique des escroqueries
Ces outils ne peuvent donc pas suivre le rythme rapide est une tâche difficile, pour diverses raisons :
auquel les escroqueries sont créées. Pour faire face à ce
• Manque de données publiques fiables sur les
problème, il serait bon de disposer d'outils qui
escroqueries. L'entraînement d'un classificateur
reconnaissent et suivent automatiquement les escroqueries
d'escroqueries nécessite des informations fiables sur
liées aux crypto-monnaies. La classification des
des milliers d'escroqueries. Bien qu'il existe quelques
escroqueries serait également cruciale pour comprendre
sources de données publiques sur les escroqueries à la
leur évolution et étudier les contre-mesures possibles.
crypto-monnaie, elles contiennent de nombreuses
Dans le même ordre d'idées, une taxonomie de référence
données erronées, par exemple des URL pointant vers
des escroqueries à la crypto-monnaie serait utile pour
des pages web vides ou vers des pages web ne
établir une classification fiable. Notre objectif est de mettre
contenant pas suffisamment de données utilisables. Le
au point une technique de classification des escroqueries
problème est même
qui puisse servir de base à de nouveaux outils de détection.
Ce travail est soumis à une licence Creative Commons Attribution 4.0. Pour plus d'informations, voir https://creativecommons.org/licenses/by/4.0/
VOLUME 9, 2021 148353
M. Bartoletti et al : Cryptocurrency Scams : Analyse et perspectives
caractéristiques les plus courantes pour les escroqueries

Ce phénomène est encore plus évident pour les
hybrides.
rapports d'escroquerie publiés par les utilisateurs, qui
contiennent souvent des descriptions inexactes ou 5) Sur la base des connaissances acquises au cours de nos
trompeuses de l'escroquerie. Nous examinons plus en travaux et des résultats de notre analyse, nous
détail les problèmes posés par les sources de données proposons un ensemble de lignes directrices que les
publiques dans la section IV. décideurs politiques pourraient suivre pour améliorer la
• Absence de taxonomie des escroqueries. Les
protection des utilisateurs contre les escroqueries à la
systèmes de signalement des escroqueries en ligne, crypto-monnaie.
ainsi que la plupart des travaux dans la littérature, Pour favoriser la reproductibilité de nos résultats, nous
utilisent une variété de taxonomies différentes des mettons à la disposition du public la chaîne d'outils que nous
escroqueries. Ces taxonomies associent généralement avons développée pour construire notre ensemble de données
une escroquerie à une seule catégorie, ce qui ne permet et effectuer nos analyses [3], ainsi que l'ensemble de données
pas de rendre compte de la nature d'une multitude obtenu et les résultats des analyses [4]-[6].
d'escroqueries "hybrides", qui mélangent des Le reste du document est organisé comme suit. Dans la
caractéristiques de différentes catégories. L'absence section II, nous passons en revue la littérature scientifique
d'une taxonomie standard et exhaustive des sur les escroqueries à la crypto-monnaie et nous présentons
escroqueries à la crypto-monnaie entrave le notre taxonomie. Dans la section III, nous décrivons les
développement de classificateurs d'escroqueries précis. sources de données publiques que nous utilisons dans ce
• Mauvaise catégorisation des escroqueries. Les
travail. Dans la section IV, nous détaillons notre
rapports d'escroquerie insérés par les utilisateurs ne méthodologie de collecte et de classification des
sont pas toujours exacts, c'est-à-dire qu'ils associent escroqueries. Dans la section V, nous détaillons la
souvent une escroquerie à la mauvaise catégorie et conception de notre classificateur d'escroqueries, ainsi que
classent parfois des sites légitimes dans la catégorie l'analyse de l'impact des escroqueries sur l'environnement.
des escroqueries. Par exemple, les escroqueries par
chantage sont une source fréquente d'erreurs, car les
utilisateurs prennent souvent au sérieux l'affirmation
des fraudeurs concernant la présence d'un logiciel
malveillant sur l'appareil de la victime, et classent donc
l'escroquerie dans la catégorie des "logiciels
malveillants". Dans l'ensemble, cette imprécision rend
les données extraites des rapports d'escroquerie
inadéquates pour l'entraînement des classificateurs.
Contributions : Dans ce travail, nous abordons ces
questions afin de développer un outil efficace pour détecter
et classer les escroqueries sur les crypto-monnaies. Plus
précisément, nos principales contributions sont les suivantes
:
1) Nous passons en revue l'ensemble de la littérature
informatique existante.
ature sur les crypto escroqueries, en les organisant
dans une nouvelle taxonomie. Notre taxonomie se
compose de sept caractéristiques principales, qui
permettent de représenter les escroqueries "pures", qui
ne présentent qu'une seule caractéristique, et les
escroqueries "hybrides", qui mélangent deux
caractéristiques ou plus.
2) Nous construisons un ensemble de données de milliers
d'escroqueries en rassemblant et en homogénéisant des
données provenant de sources publiques.
3) Nous utilisons cet ensemble de données pour former
un classificateur d'escroqueries, que nous évaluons à
l'aide de mesures de performance standard.
4) Nous appliquons ensuite notre outil pour obtenir un
instantané de l'état actuel des escroqueries, en les
classant selon notre taxonomie. Cela nous permet
d'analyser divers aspects des escroqueries, par exemple
leur répartition par type et les combinaisons de
148354 VOLUME 9, 2021
dont la plupart présentent des caractéristiques diverses. En
la méthodologie
M. Bartoletti que nous Scams
et al : Cryptocurrency utilisons pour
: Analyse le valider. Dans la
et perspectives
effet, la classification stricte des escroqueries en catégories
section VI, nous appliquons notre outil pour analyser les
isolées est inadéquate, car la frontière entre les types
escroqueries dans notre ensemble de données. Dans la
d'escroquerie est souvent floue. Par exemple, les
section VII, nous concluons en synthétisant nos résultats
escroqueries au faux minage peuvent être très similaires aux
dans un ensemble de propositions visant à améliorer la
combines à la Ponzi, dans la mesure où toutes deux font la
protection des utilisateurs, et en proposant quelques
publicité de programmes d'investissement qui promettent de
orientations pour les travaux futurs.
rapporter une somme plus importante à l'investisseur. C'est
pourquoi nous proposons une taxonomie des escroqueries à
II. ESCROQUERIES AUX CRYPTO-MONNAIES DANS LA
LITTÉRATURE la crypto-monnaie qui se compose de sept caractéristiques
La littérature scientifique sur les crypto-arnaques principales, qui englobent différents types d'activités
comprend des travaux issus de différents domaines de illégales et peuvent être combinées pour caractériser les
recherche, allant de l'informatique à l'économie, la finance escroqueries hybrides.
et le droit [7], [8]. Dans notre étude, nous nous Étant donné que la plupart des travaux de recherche se
concentrons sur la littérature dans le domaine de concentrent sur les escroqueries pures, nous répartissons
l'informatique, où nous couvrons, à notre connaissance, les dans cette section l'étude documentaire en fonction de la
travaux les plus pertinents de 2013 (lorsque les premiers principale caractéristique abordée par les travaux étudiés.
travaux sur les crypto-arnaques ont été publiés) jusqu'à la
fin de l'année 2020.
Avant de commencer, il convient de définir le sens du
terme "escroquerie" tel qu'il est utilisé dans ce travail.
Nous définissons l'escroquerie comme tout comportement
illégal d'une ou plusieurs personnes qui trompent
intentionnellement les gens pour obtenir quelque chose
d'illégal ou d'injuste. Plus précisément, dans une crypto-
arnaque, les fraudeurs exploitent l'une des caractéristiques
particulières des technologies blockchain, à savoir la
disponibilité de crypto-actifs qui peuvent être échangés
anonymement (ou pseudonymement) contre des monnaies
fiduciaires. Il convient de noter que cette définition exclut
plusieurs activités illégales qui peuvent être menées par
l'intermédiaire des blockchains. Par exemple, elle exclut la
publication de matériel illégal (comme des contenus
pornographiques ou blasphématoires) sur la blockchain, ce
qui est possible en intégrant ce matériel dans les
transactions [9], [10]. En outre, nous ne tenons pas compte
des stratagèmes "pump and dump", dans lesquels les
fraudeurs créent intentionnellement un battage médiatique
autour de certains crypto-actifs afin d'en augmenter le prix
et de vendre leurs actions immédiatement. Bien que les
systèmes de "pump and dump" soient illégaux dans de
nombreux pays, ils se distinguent difficilement des
campagnes de marketing d'investissement légitimes ; par
prudence, nous préférons donc les exclure de notre
analyse.
Dans la littérature, les escroqueries sont classées en
plusieurs catégories, selon différents critères [11], [12].
Certaines catégorisations sont également induites par les
services de signalement des escroqueries. Par exemple, le
groupe de travail sur l'anti-hameçonnage (Anti-Phishing
Working Group) [13] propose un système de signalement
en ligne qui classe les données relatives aux escroqueries
en : (i) URL d'hameçonnage ; (ii) courriels d'hameçonnage
; (iii) adresses IP malveillantes ; (iv) adresses IP
malveillantes ; et (v) adresses IP malveillantes.
(v) les crypto-monnaies (échanges suspects, fournisseurs
de portefeuilles, plateformes d'échange et fonds
d'investissement).
L'un des inconvénients des catégorisations existantes est
qu'elles ne parviennent pas à rendre compte de la nature
multidimensionnelle des escroqueries à la crypto-monnaie,
VOLUME 9, 2021 148355
TABLEAU 1. Nombre de publications par type d'arnaque.
et bitcointalk.org, et 6 400 adresses non escroquées

A. SCHÉMAS DE PONZI
provenant d'autres sources. Bartoletti et al. et Toyoda et al.
Les pyramides de Ponzi sont des escroqueries qui se ont tous deux utilisé des techniques de regroupement
présentent comme des programmes d'investissement à haut d'adresses [33], [34] (en particulier, l'heuristique à entrées
rendement (HYIP) [14], [15]. Elles attirent typiquement les multiples) pour étendre leurs ensembles de données
utilisateurs en leur promettant des profits élevés en échange d'adresses frauduleuses, et tous deux ont appliqué des
de leurs investissements, en leur versant des intérêts techniques d'apprentissage automatique supervisé pour
importants (voir par exemple la figure 1). Dans la pratique,
détecter les arnaques à la Ponzi. En particulier, Toyoda et al.
les systèmes de Ponzi ne paient les utilisateurs qu'avec les
ont utilisé des classificateurs XGboost et Random Forest,
fonds investis par les nouveaux utilisateurs et implosent
reconnaissant correctement 83 % des HYIP, avec un faux
donc dès que les nouveaux investisseurs cessent de les
rejoindre. Par conséquent, la plupart des investisseurs dans
les systèmes de Ponzi perdent tout simplement leur argent.
L'Office of Investor Education and Advocacy de la
Securities and Exchange Commission [16] a fourni
quelques signaux d'alerte courants permettant de
comprendre si un investissement est une escroquerie :
• il fait la publicité d'un investissement à haut rendement
avec peu ou pas de risque
(tout investissement comporte un certain degré de
risque) ;
• il prétend générer un rendement régulier quelles que
soient les conditions générales du marché ;
• l'investissement n'est pas enregistré et les vendeurs ne
sont pas agréés ;
• il présente des stratégies d'investissement secrètes ou
complexes ;
• il est difficile de trouver des informations complètes à
ce sujet ;
• il y a des problèmes avec la documentation ou des
excuses pour expliquer pourquoi il n'est pas possible
d'examiner les informations sur l'investissement ;
• il y a des impayés ou des difficultés de recouvrement
de l'investissement ;
• quelques leaders respectés peuvent être enrôlés pour
répandre l'"investment" dans le monde.
Plusieurs travaux étudient les schémas de Ponzi opérant
sur Bitcoin [17], [18], [20], [22], [25], [30] et sur Ethereum
[22], [31]. Parmi eux, [18], [20] et [30] visent à détecter
automatiquement les systèmes de Ponzi en analysant leurs
transactions.
Toyoda et al [18] ont collecté sur bitcointalk.com un
ensemble de données de 1 500 adresses Bitcoin entre HYIP
et non-HYIP, qui a ensuite été porté à 2 026 adresses HYIP
et 26 976 adresses non-HYIP [30]. Bartoletti et al [20] ont
collecté 1 211 adresses d'escroqueries à la Ponzi sur Reddit
148356 VOLUME 9, 2021
Le taux
M. Bartoletti et al :de positivitéScams
Cryptocurrency est de: Analyse
4,4 %.et Bartoletti
et al. ont
perspectives
utilisé un classificateur Random Forest sensible aux coûts,

qui a correctement classé 31 schémas de Ponzi sur 32.
Vasek et Moore [17], [25] ont analysé le comportement
des systèmes de Ponzi sur Bitcoin. Dans [17], ils ont
compilé une liste de 349 escroqueries provenant de
diverses sources, notamment bitcointalk.org, badbitcoin et
le site web de suivi HYIP cryptohyip.com, et les ont
analysées en fonction de diverses métriques, par exemple
leur durée de vie et les gains réalisés par les fraudeurs. Dans
[25], ils ont trouvé des preuves empiriques que les
escroqueries annoncées avec des comptes nouvellement
créés meurent plus rapidement que celles avec des comptes
plus anciens. Bartoletti et al [31], Chen et al [22], [27] et
Jung et al [28] ont analysé des schémas de Ponzi
développés sous forme de contrats intelligents sur
Ethereum. Les travaux [31] ont proposé un ensemble de
critères permettant de déterminer si un contrat intelligent
met en œuvre les éléments suivants
une chaîne de Ponzi : 1) le contrat distribue de l'argent aux
investisseurs, 2) le contrat ne reçoit de l'argent que des
investisseurs,
3) chaque investisseur réalise un profit si suffisamment
d'investisseurs investissent ensuite suffisamment d'argent
dans le contrat, 4) plus un investisseur rejoint tardivement
le contrat, plus le risque de perdre son investissement est
grand. En examinant le code source de plusieurs contrats
intelligents, ils les ont classés en fonction du mécanisme
utilisé pour redistribuer l'argent. Le même travail a
également proposé un outil pour détecter les schémas de
Ponzi cachés sur Ethereum, en exploitant le fait que de
nombreux schémas de Ponzi partagent des fragments de
code, et donc la distance de Levenshtein entre le bytecode
d'un schéma de Ponzi caché est généralement proche de
celui d'un schéma de Ponzi connu. Chen et al [22] ont
proposé une technique d'apprentissage automatique pour
détecter les pyramides de Ponzi sur Ethereum, sur la base
d'un ensemble de données de 131 pyramides de Ponzi et de
1 251 contrats sans pyramide de Ponzi collectés sur
etherscan.io. Les caractéristiques utilisées pour former le
classificateur sont principalement basées sur le bytecode du
contrat, par exemple le type d'opcodes utilisés. Les auteurs
ont constaté que SLOAD et CALLER sont les opcodes les
plus utilisés dans les schémas de Ponzi (pour obtenir
l'adresse de l'appelant) et LT. En utilisant un modèle
d'arbre de régression (XGBoost), ils ont obtenu une
précision de 97 % et un rappel de 81 %. Sur la base des
résultats de la classification, les auteurs ont estimé que
près de 434 schémas de Ponzi ont opéré sur Ethereum
avant mai 2017. Un travail ultérieur des mêmes auteurs
[27] a amélioré l'ensemble de données et la technique de
classification, atteignant une précision de 95 % avec un
classificateur Random Forest. Jung et al [28] ont analysé à
la fois le comportement et la fréquence du code des
contrats pour détecter les schémas de Ponzi, obtenant une
précision de 99 % et un rappel de 97 %. En 2017,
Bartoletti et al. ont analysé manuellement le code source
des contrats intelligents sur
VOLUME 9, 2021 148357

FIGURE 1. Schéma de Ponzi cryptographique (d'après https://bitcointalk.org/index.php?topic=633822.0).
exemple, les portefeuilles). En particulier, les crypto

Ethereum [35] pour repérer les schémas de Ponzi, et a
loggers tentent d'obtenir la clé privée nécessaire pour
trouvé 120 cas d'escroquerie.
transférer des crypto-actifs du compte de la victime vers
celui du fraudeur. Ils travaillent souvent en tant que
B. MALWARE
La prétendue intraçabilité des crypto-monnaies a été
largement exploitée par les développeurs de logiciels
malveillants. Il existe deux types de logiciels malveillants
étroitement liés aux crypto-monnaies :
Ransomware Après avoir infecté l'appareil de la victime,
ce type de logiciel malveillant chiffre les données qu'il
contient et le verrouille jusqu'à ce que l'utilisateur paie
une rançon (généralement en bitcoins). La figure 2
montre une capture d'écran d'un appareil infecté par
Wannacry, ainsi que les instructions pour payer la
rançon.
FIGURE 2. L'écran de Wannacry demande un paiement.
Crypto loggers Ce type de logiciel malveillant tente de

voler des informations sur les comptes de la victime
dans les services de crypto-monnaie (comme, par
148358 VOLUME 9, 2021
une et
M. Bartoletti interface transparente
al : Cryptocurrency pendant
Scams : Analyse que l'utilisateur
et perspectives
surfe sur le web ou recherche des fichiers de mots de

passe.
Liao et al [36] ont réalisé un cadre de détection des
escroqueries basé sur l'heuristique à entrées multiples et à
changement d'adresses. Ils ont collecté des données de la
blockchain et identifié automatiquement les paiements aux
adresses Bitcoin liés au ransomware CryptoLocker. En
outre, ils ont estimé les dommages financiers de
l'escroquerie de septembre 2013 à janvier 2014. Les
auteurs de [37] ont développé un cadre pour identifier,
classer et analyser les adresses qui appartiennent au même
utilisateur. Ils ont également proposé une approche pour
classer les paiements en tant que rançons. Enfin, ils ont
étudié l'impact économique de vingt ransomwares
exploités avant décembre 2017. Huang et al [38] ont
effectué une analyse sur deux ans de l'écosystème des
ransomwares à l'aide de l'heuristique à entrées multiples.
Ils ont notamment collecté 25 adresses de rançon de départ
auprès de victimes réelles dans huit familles de
ransomwares, telles que
Locky, Cerber et Spora. Les auteurs ont découvert que ces
escroqueries génèrent des adresses uniques pour chaque
victime. Les travaux [39] ont mis en œuvre un outil
permettant d'identifier, d'extraire et d'analyser les
transactions en bitcoins liées à des attaques de ransomware.
En outre, ils ont retracé les flux monétaires de ces attaques
en calculant le graphe des transactions entre les adresses
regroupées. Ils ont également réalisé un ensemble de
données (rassemblant des données de walletexplorer.com
et blockchain.info) pour améliorer l'interprétation des flux
monétaires et les associer à des acteurs (par exemple, des
échanges et des sites de jeu). Cet ensemble de données
comprend 7 118 adresses liées à 35 familles de
ransomware.
Liao et al. [36] ont recueilli un ensemble de données de
968 adresses Bitcoin liées au groupe CryptoLocker. Ils ont
estimé les paiements à 310 473 USD pour la période 2013-
2014, ce qui n'est pas très éloigné des estimations de Conti
et al. [37] (449 274 USD, période 2013-2017) et de
Paquet-Clouston et al. [39] (519 991 USD, période 2013-
2017). Huang et al [38] ont retracé 16 millions USD en 19
750 paiements de rançon appartenant à cinq familles de
ransomware sur une période de 22 mois. La plupart des
adresses de rançon n'ont qu'une seule
VOLUME 9, 2021 148359

TABLEAU 2. Synthèse de la littérature sur les schémas de Ponzi.
mesuré que WannaCry a reçu un taux de paiement d'environ

tandis que d'autres en ont deux ou plus, probablement parce
0,14 %. Plusieurs facteurs en sont la cause, mais l'un des
que certaines victimes n'ont pas pris en compte les frais de
principaux pourrait être qu'il n'y a aucune garantie que les
transaction. Les auteurs ont également mesuré que les
données soient déverrouillées après le paiement aléatoire.
bitcoins sont restés en moyenne 79,8 jours dans Wannacry,
tandis que dans Cerber et Locky, ils sont restés
5,3 et 1,6 jours, respectivement. Conti et al [37] ont
découvert que 83 % des adresses Bitcoin utilisées par
Cryptolocker ont reçu au maximum deux paiements, sur les
804 paiements de rançon qui ont contribué à extorquer 1
403 BTC. CryptoDefense a infecté des ordinateurs par le
biais de spams et a reçu 108 paiements de rançon
correspondant à 126 BTC, soit l'équivalent de 63 859 USD ;
Wan- naCry a reçu plus de 238 paiements et extorqué 47
BTC. Paquet-Clouston et al [39] ont estimé à 12 millions
USD le marché global des paiements de ransomware entre
2013 et le milieu de l'année 2017. En outre, ils ont souligné
que quelques acteurs étaient responsables de la plupart des
paiements et que les auteurs de ransomwares avaient
tendance à conserver leur argent à une ou plusieurs
adresses. L'un des ransomwares les plus performants, Locky,
a reçu des paiements d'une valeur de 8 millions de dollars,
soit plus de 50 % du total des paiements de ransomwares. En
outre, les trois premières familles (Locky, Cryp- tXXX et
DMALockerv3) représentaient collectivement 86 % du
marché. Bien qu'un seul ransomware puisse infecter de
nombreux ordinateurs, le nombre de paiements reçus par les
victimes est beaucoup plus faible. Kshetri et Voas [40] ont
148360 VOLUME 9, 2021
En outre, etlaal :plupart
M. Bartoletti des Scams
Cryptocurrency polices d'assurance
: Analyse refusent de
et perspectives
payer les ransomwares sans approbation préalable. Enfin,

comme les processus de vérification KYC peuvent prendre
plusieurs jours, le délai de trois jours pour WannaCry était
trop court pour de nombreuses victimes. Liao et al [36] ont
développé Gephi, un logiciel permettant de visualiser le
graphe des transactions et de découvrir des preuves qui
relient des services cryptographiques populaires, comme
les bourses, à d'autres cybercrimes, comme par exemple
l'escroquerie Sheep Marketplace.
C. FAUX SERVICES DE CRYPTOGRAPHIE

Dans l'écosystème des crypto-monnaies, il existe de
nombreux services destinés à simplifier leur utilisation et
leur gestion. Il s'agit notamment des services d'échange,
des portefeuilles et des mélangeurs. Cependant, de
nombreux criminels développent ces types de services sous
forme de fraude, comme décrit ci-dessous.
Faux échange Les faux échangeurs trompent les
utilisateurs en proposant des prix de marché
incroyablement compétitifs pour l'achat de crypto-
monnaies. En fait, ils trompent les utilisateurs en leur
offrant un accès rapide et facile à des devises bon
marché. La figure 3 montre un faux service de change
sur paybillsbitcoin.com, reproduit à partir de
BtcToPal.com.
Faux portefeuille Les services de portefeuille permettent
aux utilisateurs de gérer, d'envoyer et de recevoir des
crypto-monnaies. Dans ce scénario, les utilisateurs
peuvent être confrontés à des escroqueries sur les
portefeuilles, caractérisées par différents types de
comportements frauduleux. Par exemple, certains
portefeuilles volent le montant total sans distinction,
tandis que d'autres prennent une partie de la somme.
VOLUME 9, 2021 148361

TABLEAU 3. Résumé de la littérature sur les logiciels malveillants.
FIGURE 3. Un exemple de faux service d'échange.

utilisateurs précédemment enregistrés.
Faux don Généralement, les donateurs font des dons à des
projets ou à des personnes pour le bien. Les fraudeurs
un petit pourcentage du dépôt quotidien. Enfin, exploitent la vertu des gens en créant de fausses
d'autres se retirent lorsque le dépôt dépasse un certain seuil. campagnes de dons et, au lieu de donner l'argent en tant
Faux mixage Les transactions dans les systèmes de que don, ils le volent et disparaissent.
blockchain (ex. Bit- coin) sont liées entre elles, il est donc
possible d'inspecter les mouvements de crypto-monnaies
entre les adresses. Cependant, les services de mixage
permettent d'effacer les liens entre l'adresse initiale et
l'adresse finale, de randomiser le nombre de crypto-
monnaies entre les adresses.
Les faux mixeurs, quant à eux, reçoivent l'argent et le
volent sans l'envoyer au client. D'autre part, les faux
mixeurs reçoivent l'argent et le volent sans l'envoyer au
client. La figure 1 représente le site web d'un faux
mixeur appelé "BitcoinMixer", en ligne jusqu'au 30
décembre 2020. Plusieurs utilisateurs ont envoyé de
l'argent à ce faux mélangeur et ne l'ont jamais reçu en
retour, comme cela a été rapporté sur BitcoinTalk. En
outre, un sujet de BitcoinTalk présente une liste de
faux mixeurs.
Faux pool minier Les crypto-monnaies basées sur le
mécanisme de la preuve de travail (POW) nécessitent
un effort de calcul pour créer des blocs. Par
conséquent, les utilisateurs qui créent des blocs,
appelés mineurs, reçoivent une récompense. Ce type
d'escroquerie demande aux utilisateurs de participer en
investissant de l'argent pour acheter du matériel de
minage. Malgré la promesse de l'escroc, l'argent
investi n'est pas utilisé pour acheter du nouveau
matériel, mais plutôt pour payer des intérêts aux
148362 VOLUME 9, 2021
FIGURE 4. Faux mélange sur https://bitcoinmixer.eu/.
FIGURE 5 : Slush-pool est un exemple de faux minage qui se fait passer

pour le vrai service de Slushpool [41].
Vasek et Moore [17] ont identifié 192 escroqueries sur

349 can- didats à partir de bitcointalk.com, d'une liste de
services soupçonnés d'être frauduleux et d'un site web qui
suit les HYIP basés sur le bitcoin, appelé cryptohyips.com.
Ils les ont classées en quatre catégories :
VOLUME 9, 2021 148363

de détection de l'exploitation minière frauduleuse. Le

1) les combines à la Ponzi, 2) les escroqueries minières, 3)
premier [45] examine un système défini comme le Bitcoin
les portefeuilles frauduleux, 4) et les bourses frauduleuses.
''GeneratorScam'' (BGS), dans lequel les escrocs promettent
Ils ont également découvert que deux utilisateurs de
de ''générer'' de nouveaux bitcoins en utilisant ceux que les
Bitcointalk avaient versé plus de 10 milliards d'euros sur
utilisateurs leur ont envoyés. En particulier, les attaquants
leur compte, mais qu'ils étaient restés avec
prétendent qu'ils fourniront des bitcoins gratuits en échange
0,099 B. D'après leurs calculs, le chiffre d'affaires des
portefeuilles frauduleux jusqu'au 11 septembre 2014 était d'une petite commission de minage, en utilisant des
de 4 100 B, soit près d'un million de dollars américains. En affirmations douteuses telles que la possibilité de "pirater le
outre, ils ont analysé quatre escroqueries aux échanges de grand livre de la chaîne de blocs". Les auteurs ont constitué
bitcoins : 1) BTC Promo, 2) btc-Quick, 3) CoinOpend, 4) et un ensemble de données de BGS, composé de 500 domaines
d'escroquerie uniques. Ces adresses ont reçu un total de 5
Ubitex. Ces escroqueries offraient des fonctionnalités que
les autres bourses ne proposent pas, par exemple les 098 178 USD, avec une moyenne de 47,3 USD par
paiements PayPal, les paiements par carte de crédit, etc. transaction. En revanche, la deuxième étude [46] a identifié
et de meilleurs taux de change. Les bourses d'escroquerie 3 000 sites web avec des activités de minage actives et cinq
les plus anciennes ont survécu trois mois, les plus rapides campagnes de grande envergure avec plus de 50 sites web
moins d'un mois, et le revenu total de ce type d'escroquerie infectés.
s'est élevé à 0,36 million d'USD.
Moore et Christin [42] ont étudié le risque auquel les
investisseurs sont confrontés du fait des bourses de Bitcoin.
Ils ont notamment suivi 40 bourses de Bitcoin au cours des
trois dernières années et ont constaté que 18 d'entre elles
avaient fermé. Onze bourses ont remboursé les clients,
tandis que les sept autres ne l'ont pas fait. Ensuite, pour
chaque bourse, ils ont calculé le volume moyen des
transactions et la durée de vie (ils ont considéré qu'une
bourse était fermée si elle n'avait pas effectué de
transactions au cours des deux dernières semaines). Ils ont
calculé que la durée de vie médiane des bourses est de 381
jours.
Andryukhin [43] a examiné et classé les principales
fraudes qui se sont produites dans les blockchains, la manière
dont les fraudeurs les ont mises en œuvre et la manière
d'atténuer les escroqueries. En analysant les attaques
d'ingénierie sociale, les auteurs ont trouvé " Clone", un site
web clone permettant de créer des clés de portefeuilles
IOTA, et ont estimé que des jetons MIOTA d'une valeur de
4 millions USD avaient été volés. Holub et O'Connor [7]
ont suivi pendant plus de six mois une campagne
d'hameçonnage en bitcoins appelée "Coinhoarder". La
campagne a volé 10 millions de dollars en lançant des
domaines typosquattés contenant des clones de sites web
d'échange de crypto-monnaies. Par exemple, ils ont trouvé
" block-chain.info" et "block-chain.info", qui sont des clones
de sites d'échange de crypto-monnaies.
''blockchian.info/wallet''.
Chen et al [44] ont proposé un classificateur pour
détecter les comptes d'hameçonnage en se basant sur les
transactions de la blockchain. Les auteurs ont suggéré de
l'intégrer dans les portefeuilles de crypto-monnaie des
utilisateurs pour les alerter des risques potentiels lorsqu'ils
interagissent avec des comptes dangereux. Ils ont développé
et testé la méthode sur plus de 7 millions de transactions
Ethereum, plus de 534 milliers d'adresses, dont 323 sont des
adresses de phishing. Leur meilleur classificateur est
DElightGBM, qui a obtenu 82 % de préci- sion, 80 % de
rappel et 81 % d'AUC.
Les auteurs de [45] et [46] ont étudié et proposé des outils
148364 VOLUME 9, 2021
Ethereum. Ils ont ensuite utilisé des techniques de
àM. Bartoletti
travers etchacun d'entre Scams
al : Cryptocurrency eux. : En outre,
Analyse ils ont proposé
et perspectives
regroupement pour analyser à la fois le contenu des sites
MiningHunter, un cadre d'exploration du web qui permet
web frauduleux et les détails relatifs à l'enregistrement et à
d'identifier les activités minières sur les sites web grâce au
la propriété. Ils ont constaté que les mêmes entités géraient
trafic WebSocket et à d'autres indicateurs.
différents types d'arnaques au prépaiement. En outre, le
Bijmans et al [47] ont également analysé les relations
regroupement du contenu des sites web a permis d'identifier
entre les sites web qui pratiquent le crypto minage et les
171 groupes avec 24 sites web par groupe. Les plus grands
acteurs qui se cachent derrière eux. Ils ont étudié 1 136
domaines de premier niveau (TLD), soit 48,9 millions de
sites web. Ils ont comparé la base d'installation avec le
trafic minier réel sur l'internet à l'aide de données NetFlow,
et ont constaté que le mineur le plus installé n'est pas celui
qui génère le plus d'activité minière dans la pratique. En
outre, ils ont estimé que le cryptojacking est présent sur
0,011 % de tous les domaines.
En ce qui concerne les faux services de mélange, Wu et
al [48] ont extrait les données de transaction de Bitcoin en
utilisant WalletExplorer, un explorateur de blocs Bitcoin
intelligent qui fournit des informations sur les étiquettes
des adresses. Les auteurs ont analysé l'intervalle de temps
entre novembre 2014 et janvier 2016, et ont découvert que
les adresses étiquetées appartenaient à trois services de
mélange : Bitcoin Fog, BitLaunder et Helix. En outre, ils
ont proposé un outil de détection d'adresses qui peut
distinguer les adresses appartenant à des services de
mélange en analysant les transactions critiques
impliquées.
D. ESCROQUERIES AUX AVANCES DE FRAIS

Selon le FBI [49], "on parle de système d'avance de frais
lorsque la victime verse de l'argent à quelqu'un dans
l'attente de recevoir quelque chose de plus grande valeur -
comme un prêt, un contrat, un investissement ou un cadeau
- et qu'elle ne reçoit rien ou presque en retour".
Dans le cas d'une escroquerie par avance de frais, les
escrocs contactent généralement la victime par courrier
électronique ou par les médias sociaux en utilisant une
fausse adresse électronique ou un faux compte de médias
sociaux. Ils promettent à la victime une somme d'argent
importante en échange d'un petit paiement initial que les
escrocs prétendent utiliser pour obtenir une somme
substantielle en guise de récompense. Si la victime effectue
le paiement, l'escroc disparaît ou ajoute plusieurs frais
supplémentaires que la victime doit payer. Récemment,
plusieurs de ces campagnes d'escroquerie ont eu lieu sur
Twitter, en utilisant des personnalités connues telles
qu'Elon Musk, comme le montre l'exemple de la figure 6.
Phillips et Wilder [50] ont analysé des données
publiques et basées sur la blockchain pour comprendre les
arnaques aux frais d'avance. Les auteurs utilisent
CryptoScamDB, qui fournit une liste de sites web
d'escroquerie à la crypto-monnaie, même si la plupart des
sites web d'escroquerie répertoriés ne sont plus en ligne.
Avec l'outil URLScan, ils ont produit des instantanés
détaillés contenant le code HTML brut, l'adresse IP et le
contenu de la page. Ils ont également capturé des
informations supplémentaires, par exemple l'identité de la
personne qui a enregistré le domaine. Ensuite, ils ont
extrait les adresses de la blockchain à partir des instantanés
des pages web frauduleuses en utilisant des expressions
régulières. Ils ont constaté que 18,1 % des sites web
contenaient
VOLUME 9, 2021
une adresse Bitcoin et 38,7 % une adresse 148365
TABLEAU 4. Synthèse de la littérature sur les faux services de cryptographie.
d'échanges et que ces derniers recevaient plus de 67 % des

fonds ciblés.
FIGURE 6. Faux largage de bitcoins sur elonmuskdrop.com.
contient 1 359 sites web de prépaiement. Enfin, ils ont

utilisé les détails de l'enregistrement et les identifiants de
propriété pour créer des groupes par campagne, ce qui a
permis d'identifier 25 campagnes, avec une moyenne de 17
sites web par groupe de campagne. Statistiquement, 29 %
des campagnes identifiées utilisent plus d'un type
d'escroquerie au paiement anticipé et 54 % ont des adresses
IP américaines. Les auteurs ont également constaté que 55,4
% des transferts de crypto-monnaie ont eu lieu au cours de
la première semaine suivant l'enregistrement du domaine,
71,8 % après deux semaines et 91 % après 30 jours. Enfin,
en analysant les sources de financement, les auteurs ont
découvert que plus de 94 % des revenus provenaient
148366 VOLUME 9, 2021
M.
E. Bartoletti
BLACKMAIL et al : Cryptocurrency Scams : Analyse et perspectives
Dans les cas de chantage, les escrocs prétendent

généralement avoir piraté l'appareil de la victime et installé
un enregistreur de frappe, ou avoir enregistré la victime
avec sa webcam. Le courrier demande généralement une
rançon en bitcoins pour supprimer le matériel, en menaçant
de le vendre ou de le publier sur les réseaux sociaux. La
figure 7 montre un exemple réel de chantage que l'escroc a
envoyé à une victime potentielle. Les fraudeurs les plus
avancés adaptent les courriels personnalisés aux victimes en
exploitant des bases de données de courriels et de mots de
passe piratés.
Paquet-Clouston et al [51] ont étudié les escroqueries
par chantage dans l'écosystème Bitcoin. À cette fin, ils ont
utilisé un ensemble de données de 4 340 736 chantages,
dont ils ont extrait les adresses Bitcoin auxquelles les
rançons étaient censées être payées. Les auteurs ont
observé que les fraudeurs utilisent intentionnellement des
fautes de grammaire, des synonymes et des traductions
linguistiques dans les courriels pour éviter les filtres anti-
spam. En outre, ils ont proposé une heuristique pour
regrouper les courriels de spam en fonction de leur
similarité textuelle, ce qui a permis d'obtenir 96 groupes de
courriels. Ces groupes contiennent 12 533 adresses Bitcoin
(avant le regroupement des adresses), même si seules 245
d'entre elles ont reçu des paiements. Au cours d'une
analyse de 11 mois, les auteurs ont constaté que les
escroqueries au chantage ont généré un revenu de 1,3
million USD. Oggier et al [52] ont étudié les escroqueries
de type "sextorsion" opérées sur Bitcoin de février à avril
2019. Les auteurs ont proposé une technique, basée sur
l'analyse des réseaux sociaux, pour trouver des relations
entre les adresses Bitcoin utilisées par les fraudeurs, par
exemple pour détecter quelles adresses sont contrôlées par
la même entité, et quelles adresses sont utilisées avant
d'échanger ou de blanchir des Bitcoins.
F. FAKE ICO
Un Initial Coin Offering (ICO) est un moyen pour les
monnaies liées à la blockchain de lever des fonds avant
leur lancement officiel,
VOLUME 9, 2021 148367

FIGURE 7. Un courriel de chantage typique.
a découvert qu'elle avait atteint 4 milliards d'USD de

Les ICO ressemblent à bien des égards à des offres
revenus. Savedroid a été financé en 2015 et a recueilli 50
publiques initiales d'actions. Les escroqueries aux fausses
millions USD jusqu'en 2018. À l'heure où nous écrivons ces
ICO appliquent la même stratégie en incitant les utilisateurs
lignes, elle est toujours cotée en bourse. Enfin, AriseCoin
à acheter de fausses pièces. En règle générale, une société
était une tentative d'ICO par une fausse banque nommée
de crypto-monnaie émet un nombre prédéterminé de pièces
AriseBank. La SEC l'a arrêtée en janvier 2018.
sur le marché libre, de la même manière que des actions
sont émises lorsqu'une société entre en bourse. De
nombreuses ICO sont des crypto-monnaies légitimes qui
peuvent permettre à un investisseur de gagner autant
d'argent que n'importe quelle autre action [53]. Les fausses
crypto-monnaies s'annoncent avec des caractéristiques
particulières que d'autres n'ont pas, par le biais de sites web
flambant neufs. Pour tenter d'atténuer ce problème, la SEC
a lancé en 2018 un site web parodique qui se moque des
ICO [54], avec un faux livre blanc de huit pages, de faux
soutiens de célébrités et une fausse équipe travaillant sur
l'ICO. Selon une étude réalisée par Satis Group en 2018,
environ 80 % des ICO menées en 2017 étaient des
escroqueries, sans produit réel à offrir [55]. En outre, en
2017, les ICO ont rapporté 1,6 milliard USD, dont 150
millions USD appartiennent à de fausses ICO [43].
La catégorisation générale des fausses ICO varie
fortement selon la définition des différents auteurs. En effet,
Andryukhin [43] les a placées dans le contexte plus général
des systèmes d'hameçonnage par ingénierie sociale, tandis
que Conlon et McGee les ont assimilées à des systèmes de
Ponzi [55].
Pour citer quelques exemples de fausses ICO [53], [55],
Pincoin a été lancé en 2018 et a levé 660 millions USD.
PlexCoin en 2017 a levé 8,5 millions USD, tandis que
Bitconnect en 2016, a atteint une capitalisation boursière de
plus de 2,6 milliards USD. OneCoin est peut-être le plus
célèbre. Il a été lancé en 2014 en tant que crypto-monnaie
minée alors qu'il s'agissait d'une pyramide de Ponzi. Le FBI
148368 VOLUME 9, 2021
M.
G. Bartoletti et al : Cryptocurrency
BLANCHIMENT D'ARGENT Scams : Analyse et perspectives
Le blanchiment d'argent consiste à faire passer pour

légitimes d'importantes sommes d'argent provenant
d'activités illégales. Il comporte trois étapes : le placement,
la superposition et l'intégration. Dans un premier temps,
l'argent sale est introduit dans le système financier
légitime. Ensuite, l'argent est déplacé plusieurs fois pour
créer la confusion, en passant par de nombreux comptes.
Enfin, il est intégré au système financier par le biais d'autres
transactions jusqu'à ce que le processus soit terminé. Le
principal problème lié à cette activité criminelle est de
rendre les produits légaux sans éveiller les soupçons des
services répressifs.
Moser et al [56] se concentrent sur le blanchiment
d'argent en analysant trois mélangeurs sur la base du
graphique de transaction extrait de la blockchain et en
essayant d'établir des relations entre les entrées et les
sorties. Les auteurs ont constaté que BitcoinFog et
Blockchain.info rendent difficile l'établissement d'un lien
entre les transactions d'entrée et de sortie. En effet, ils n'ont
pu trouver aucune connexion directe dans leurs graphes de
transaction.
Brenig et al [57] se sont concentrés sur le blanchiment
d'argent mis en œuvre dans les crypto-monnaies d'un point
de vue économique. Ils présentent la structure du processus
de blanchiment d'argent et le principal contrôle anti-
blanchiment et analysent les facteurs contextuels et
transactionnels qui facilitent le blanchiment d'argent. En
conclusion, ils affirment que les crypto-monnaies peuvent
en fait encourager l'exploitation des blanchisseurs de
capitaux. Fanusie et Robinson [58] ont utilisé l'outil
d'analyse judiciaire d'Elliptic, qui utilise les données de la
blockchain avec un ensemble de données propriétaires
d'adresses bitcoin associées à 102 entités illicites connues.
Les auteurs ont découvert que les places de marché du
darknet, telles que Silk Road ou AlphaBay, étaient la
source de la quasi-totalité des bitcoins illégaux blanchis
par l'intermédiaire des services de conversion (bourses,
mélangeurs, distributeurs automatiques de billets, sites de
jeux en ligne) identifiés
VOLUME 9, 2021 148369

FIGURE 8. Fausses bourses reliées par un site web frauduleux suggérant comment gagner de l'argent avec des crypto-monnaies.
• BadBitcoin, un site web qui recueille les escroqueries

dans leur étude. Si l'on considère les schémas liées aux cryptomonnaies depuis
géographiques, les services de conversion basés en Europe 2014. Les escroqueries sont signalées par les
ont reçu la part la plus importante de bitcoins illicites parmi utilisateurs au moyen d'un formulaire de contact (voir
les régions identifiables. figure 9). Les rapports d'escroquerie sont ensuite
Hu et al [59] ont analysé les activités de blanchiment modérés par les administrateurs du site.
d'argent via le réseau Bitcoin. Ils ont utilisé les données • EtherAddressLookup, un module complémentaire de
collectées entre juillet 2014 et mai 2017 pour différencier navigateur qui alerte les utilisateurs lorsqu'ils tentent
les transactions de blanchiment d'argent des transactions d'accéder à des domaines connus pour être des
normales, en mettant en œuvre différents classificateurs escroqueries dans l'internet.
basés sur les deepwalk embeddings.
Les travaux de Weber et al [60] visaient à classer les
transactions de blanchiment d'argent. Les auteurs ont
également proposé un nouvel ensemble de données de
transactions Bitcoin, doté de caractéristiques élaborées à la
main. Ils l'ont réalisé avec les données fournies par Elliptic,
une société de renseignement sur les crypto-monnaies dont
l'objectif est de protéger les écosystèmes de crypto-
monnaies contre les activités criminelles.
Lorenz et al [61] ont cherché à détecter des schémas de
blanchiment d'argent. Ils proposent notamment un système
de détection utilisant un accès minimal aux transactions
étiquetées en utilisant un ensemble de données [62]
composé de 200 000 transactions.
III. MATÉRIAUX ET MÉTHODES

Dans cette section, nous décrivons les sources de données à
partir desquelles nous avons collecté les escroqueries, ainsi
que la chaîne d'outils open-source que nous avons
développée pour soutenir notre travail.
A. SOURCES DE DONNÉES
À notre connaissance, il ne semble pas exister d'ensemble de
données publiques englobant toutes les escroqueries
identifiées dans la section II. C'est pourquoi nous
construisons notre ensemble de données sur les escroqueries
en rassemblant et en homogénéisant des données provenant
de diverses sources :
148370 VOLUME 9, 2021
FIGURE 9. Formulaire de signalement des escroqueries sur BadBitcoin.
Ethereum. À cette fin, le module complémentaire

exploite une liste noire d'escroqueries établie par les
auteurs et accessible au public sur GitHub.
• BitcoinAbuse, une base de données publique
d'adresses Bitcoin utilisées par des escrocs. La base
de données est constituée à partir des rapports des
utilisateurs, apparemment sans modération. Le
formulaire de rapport (voir figure 10) permet aux
utilisateurs de spécifier l'adresse de l'escroquerie et
son type, parmi les suivants : (i) ransomware ;
(ii) chantage ; (iii) sextorsion ; (iv) marché du darknet ;
(v) Bitcoin tumbler ; (vi) autre. En outre, les utilisateurs
peuvent spécifier l'auteur de l'abus (par exemple,
l'adresse électronique à partir de laquelle la victime de
l'escroquerie a été contactée) et une description (par
exemple, le corps d'un courriel de chantage). La base
de données est accessible par le biais d'API publiques.
Outre ceux énumérés ci-dessus, il existe d'autres sites
web qui collectent les crypto-arnaques, mais ils présentent
des inconvénients qui les rendent inutilisables pour nos
besoins. CryptoScamDB est un site public de
VOLUME 9, 2021 148371

TABLEAU 5. Synthèse de la littérature sur le blanchiment de capitaux.
• un script qui télécharge une liste d'instantanés pour

chaque URL signalée comme une escroquerie à partir
de la Wayback Machine. Le script suit les instantanés
de redirection potentiels jusqu'à ce qu'il obtienne un
code de réponse d'erreur ou une source HTML, et classe
chaque escroquerie en conséquence (section IV-B) ;
FIGURE 10. Formulaire de signalement des escroqueries sur BitcoinAbuse.
base de données d'URL malveillantes, mais nous l'excluons

parce qu'il s'agit d'un sous-ensemble strict
d'EtherAddressLookup. ScamAlert et BitcoinWhosWho
recueillent les rapports des utilisateurs sur les escroqueries
liées aux cryptomonnaies et les rendent accessibles au
moyen d'un formulaire de recherche. Comme il n'existe
aucun moyen de télécharger les rapports de ces sites web,
nous ne pouvons pas les inclure dans notre collection.
Nous classons les escroqueries en deux catégories
principales, en fonction de la manière dont elles sont
indexées par les sources de données :
Les escroqueries signalées par une URL sont celles qui
sont indexées par leur URL, comme BadBitcoin et
EtherAddressLookup ;
les escroqueries signalées par l'adresse sont celles qui
sont indexées par l'adresse Bitcoin signalée par les
utilisateurs, comme dans BitcoinAbuse.
B. TOOLCHAIN
Pour soutenir notre travail, nous mettons à disposition une
chaîne d'outils, qui comprend les outils suivants :
• des scripts qui téléchargent des listes d'escroqueries à
partir de nos données
à l'aide des API BadBitcoin, EtherAddressLookup et
BitcoinAbuse (voir les sections IV-A et IV-B) ;
148372 VOLUME 9, 2021
• un script
M. Bartoletti qui parcourt
et al : Cryptocurrency BitInfoCharts
Scams et Vivigle
pour
: Analyse et perspectives
établir une liste d'adresses Bitcoin appartenant à des
entités réputées (par exemple des portefeuilles) que
nous utilisons pour filtrer notre liste d'escroqueries
signalées par des adresses (section IV-A) ;
• un script qui classe un texte selon notre taxonomie.
Nous classons les escroqueries signalées par l'adresse
en utilisant les descriptions des escroqueries dans
BitcoinAbuse, et les fraudes signalées par l'URL en
inspectant des instantanés des sites web (section V).
IV. COLLECTE DE DONNÉES SUR LES FRAUDES

Dans cette section, nous illustrons la méthodologie suivie
pour collecter les escroqueries à la crypto-monnaie sur le
web, et nous établissons quelques statistiques initiales sur
l'ensemble des données obtenues.
A. COLLECTE DES ADRESSES DES ESCROQUERIES

SIGNALÉES
Les rapports téléchargés à partir de BitcoinAbuse
contiennent souvent des données erronées que nous devons
corriger afin de construire un ensemble de données fiable.
En effet, le type d'escroquerie signalé par les utilisateurs ne
reflète pas toujours la réalité : par exemple, les utilisateurs
signalent souvent les escroqueries par chantage comme
étant des logiciels malveillants, simplement parce que le
chantage qu'ils reçoivent prétend que leur ordinateur a été
piraté. En outre, certains utilisateurs signalent comme
frauduleuses des adresses de bitcoins qui appartiennent à
des bourses et à des mineurs. Par exemple, un rapport
concernant l'adresse
1CK6KHY6MHgYvmRQ4PAafKYDrg1ejbH1cE décrit
l'escroquerie comme suit : "Shipping scam Fake logistics
company used as front to blackmail people out of money
and personal information [. . . ]" (escroquerie à
l'expédition Fausse société de logistique utilisée comme
façade pour faire chanter les gens et leur soutirer de
l'argent et des informations personnelles). Ce rapport
semble totalement trompeur, car l'adresse est contrôlée par
Slush Pool, le plus ancien pool minier de Bitcoin. Nous
expliquons ci-dessous comment nous filtrons les rapports
imprécis ou trompeurs.
1) Nous commençons par télécharger tous les rapports
via les API de BitcoinAbuse. Cette procédure permet
d'obtenir 163 840 rapports (jusqu'à la date du 2020-
05-15), qui se réfèrent à 47 099 adresses uniques.
Nous éliminons le type d'escroquerie des rapports.
2) Pour filtrer les rapports erronés, nous établissons une
liste d'adresses sûres appartenant à des entités
réputées, telles que
par exemple, les bourses et les pools miniers. À cette
fin, nous interrogeons BitInfoCharts et vivigle, deux
sites web qui associent les adresses Bitcoin à leurs
propriétaires. Nous ajoutons à notre liste de sécurité
les adresses dont l'étiquette renvoie à un pool minier ou
à une bourse connus (par exemple, Coinbase).
VOLUME 9, 2021 148373

plupart des sites Web d'escroquerie ne sont plus en ligne et

TABLEAU 6. Statistiques relatives à l'ensemble de données sur les ne le sont peut-être que depuis peu de temps. Pour ces
escroqueries signalées par les adresses. raisons, nous avons exploré Web Archive, une archive
numérique du World Wide Web, qui contient également des
instantanés (c'est-à-dire des copies archivées) de sites
désormais hors ligne. Nous pouvons résumer le processus de
collecte des escroqueries de domaine par les étapes
suivantes.
3) Nous supprimons de l'ensemble de données les 167

adresses sûres recensées à l'étape précédente.
L'ensemble de données filtré contient un total de 47
075 adresses d'escroquerie.
Le tableau 6 résume les résultats de ces étapes, tandis
que la figure 11 montre la distribution des rapports dans
l'ensemble de données Bit- coinAbuse. La figure
représente, en ordonnée, le nombre d'adresses Bitcoin
signalées N fois, où N appartient à l'intervalle de l'axe des
abscisses. Bien que la figure n'affiche pas les adresses avec
moins de 20 rapports, nous comptons 30 191 adresses avec
un seul rapport, et 15 928 adresses avec 2 < N < 20
rapports. Nous comptons également 2 adresses avec plus
de 500 rapports. Bien que la figure n'affiche que 978
adresses, le nombre de rapports associés est pertinent et
représente en effet ∼ 40 % du total. Dans l'ensemble,
~ Environ 70 % des signalements concernent une
adresse Bitcoin qui a été
déjà signalée.
FIGURE 11. Répartition des signalements entre les escroqueries.
B. COLLECTE DES ESCROQUERIES SIGNALÉES PAR L'URL

Nous recueillons les URL de fraudes signalées par
BadBitcoin et EtherAddress-Lookup. Étant donné que nous
identifions plusieurs problèmes dans les éléments des
ensembles de données, notre liste finale de fraudes ne
comprend pas toutes les URL publiées par BadBitcoin et
EtherAddress- Lookup. Plus précisément, nous
téléchargeons d'abord toutes les URL des ensembles de
données, puis, pour chaque problème identifié, nous
effectuons une analyse ad hoc qui filtre les URL
concernées. Certaines de nos analyses nécessitent
l'inspection des pages HTML des sites web frauduleux,
mais les deux ensembles de données se concentrent sur les
URL et ne fournissent aucune page HTML. En outre, la
148374 VOLUME 9, 2021
M. Bartoletti et al : Cryptocurrency Scams : Analyse et perspectives téléchargement des instantanés à partir de Web Archive
1) Datasets crawling : téléchargez des escroqueries à produit parfois des erreurs internes, soit pour l'URL entière,
partir d'ensembles de données ; soit pour certains de ses instantanés. Dans le tableau 7, nous
2) Filtrage des URL : suppression des escroqueries dont indiquons le nombre total d'URL et d'instantanés que nous
l'URL n'est pas valide ; excluons de l'ensemble de données en raison d'erreurs
3) Exploration de l'archive Web : exploration internes. La ligne "total items crawled" du tableau 7 indique
d'instantanés de l'archive Web en cas d'escroquerie ; le nombre d'URL/photos qui restent dans l'ensemble de
4) Filtrage HTML : suppression des escroqueries qui ne données après cette étape de filtrage.
comportent pas au moins un cliché valide ;
Dans ce qui suit, nous présentons notre méthodologie de
collecte des escroqueries signalées par les URL. Les
résultats sont présentés dans le tableau 7. Chaque ligne est
consacrée à une analyse différente et indique, pour
BadBitcoin et EtherAddressLookup, le nombre total
d'instantanés (colonnes "Instantanés") et d'URL (colonnes
"URL") concernés par l'analyse en cours.
1) EXPLORATION D'ENSEMBLES DE DONNÉES

Nous commençons par explorer BadBitcoin et
EtherAddressLookup pour extraire la liste des escroqueries
signalées (il est à noter que BadBitcoin ne met plus à
disposition la liste des escroqueries). Nous obtenons ainsi
une liste de 6 721 URL signalées par BadBitcoin et de 12
338 URL signalées par EtherAddressLookup.
2) FILTRAGE D'URL
Le premier problème que nous rencontrons est que certains
URL signalés ne sont pas valides. Par exemple, ils ne
contiennent pas le protocole ou des parties du nom d'hôte,
incluent des espaces dans le nom d'hôte ou sont tout
simplement absurdes (par exemple, War et Religion sont
signalés comme des URL d'escroquerie dans BadBitcoin).
Dans la mesure du possible, nous essayons de corriger ces
URL malformées, par exemple en ajoutant le préfixe
http:// ou https:// manquant. Nous supprimons de
l'ensemble de données les URL malformées que nous
n'avons pas réussi à corriger. BadBitcoin et
EtherAddressLookup ont tous deux signalé certains URL :
nous les marquons comme des doublons dans le tableau 7,
en les comptant uniquement dans la colonne
EtherAddressLookup.
3) EXPLORATION D'ARCHIVES WEB

EtherAddressLookup signale à l'avance certaines URL
comme étant des escroqueries. C'est par exemple le cas de
myetherieumwal- let.com, myetheresswallet.com, et de
nombreuses autres URL ressemblant à celle de
MyEtherWallet, un portefeuille Ethereum très répandu. Il
semble que les administrateurs d'EtherAddress- Lookup
aient téléchargé de nombreuses variantes de l'URL
originale dans un seul commit pour contraster les attaques
de phishing à l'avance. Le commit est disponible à cette
URL.
Pour détecter les URL exploitées par les escrocs, nous
inspectons les sites web exploités par les escrocs. Étant
donné que la plupart de ces sites ont été fermés au fil du
temps, nous récupérons leurs instantanés sur Web Archive.
Cette procédure permet d'obtenir 516 699 instantanés des
sites web signalés par BadBitcoin et 113 457 instantanés
pour EtherAddressLookup. Nous notons que le
VOLUME 9, 2021 148375
Pour classer les escroqueries signalées par les adresses, nous

TABLEAU 7. Analyse des ensembles de données sur les escroqueries développons une analyse textuelle des rapports d'escroquerie.
signalées par URL. L'analyse est basée sur une préprogrammation des rapports.
Nous commençons par inspecter manuellement des centaines
de rapports d'escroquerie afin de comprendre leur structure
typique et d'identifier les mots-clés caractérisant chaque type.
Sur cette base, nous associons chaque paire (type
d'escroquerie, mot-clé) à un poids, reflétant la pertinence du
mot-clé pour identifier le type d'escroquerie. Nous
développons ensuite un classificateur textuel basé sur ce
dictionnaire de mots-clés pondérés. Pour chaque rapport
d'escroquerie, le
4) HTML FILTRAGE
La dernière étape consiste à analyser le contenu HTML des
instantanés afin de supprimer de l'ensemble de données ceux
qui n'ont pas de contenu pertinent. Plus précisément, nous
supprimons les instantanés des formes suivantes :
• les pages HTML vides, contenant un minimum de
balises HTML, mais sans contenu réel ;
• les pages d'erreur, contenant des messages tels que
''L'URL demandée n'a pas été trouvée sur ce serveur''
ou ''Les paramètres sont cassés. Contactez les
développeurs s'il vous plaît" ;
• les pages d'annonces de domaines, contenant des
messages tels que ''Domaine expiré. Contacter le
fournisseur d'hébergement".
Nous excluons ensuite les URL pour lesquelles tous les
instantanés sont de l'une des trois formes ci-dessus (y
compris les URL sans aucun instantané). Le tableau 7 montre
que les URL sans instantané sont prédominants dans
EtherAddressLookup, ce qui est cohérent avec notre hypothèse
selon laquelle ce service avait l'habitude de signaler les URL
de manière préemptive.
La dernière ligne du tableau 7 regroupe les données des
deux ensembles de données sur les escroqueries signalées
par URL.
V. CONCEPTION DU CLASSIFICATEUR D'ARNAQUES

Dans cette section, nous présentons notre technique de
classification des escroqueries. Cette technique est basée sur
la détection de mots-clés caractéristiques dans les rapports
(pour les escroqueries signalées par une adresse) ou les sites
web (pour les escroqueries signalées par une URL). Étant
donné que les détails varient pour les deux types
d'escroquerie, nous les examinons séparément. Nous
concluons la section en évaluant l'efficacité de notre
technique par rapport à des paramètres pertinents.
A. CLASSIFICATION DES ESCROQUERIES SIGNALÉES PAR

LES ADRESSES
148376 VOLUME 9, 2021
M. Bartoletti et al : Cryptocurrency Scams : Analyse et perspectives 2) Nous construisons un dictionnaire de mots-clés liés
TABLEAU 8. Classification des escroqueries signalées. aux crypto-monnaies. Nous utilisons ce dictionnaire
pour étiqueter chaque instantané comme "fiat" ou
"crypto" : plus précisément, nous comptons les
occurrences des mots-clés dans les instantanés, et nous
étiquetons comme crypto les instantanés qui atteignent
un seuil donné.
3) Nous appliquons ensuite le classificateur de la section
V-A à chaque cliché pour détecter s'il s'agit d'une
escroquerie ou non et les types d'escroquerie associés.
calcule le score pour chaque type d'escroquerie. Ce score 4) Nous classons les sites web en agrégeant les résultats
est la somme des pondérations de tous les mots-clés figurant de leurs instantanés. Plus précisément, nous classons
dans le rapport (en ne tenant compte que des mots-clés un site web comme suit :
associés au type d'escroquerie pour lequel nous calculons
le score).
Nous qualifions une adresse d'escroquerie si au moins
un de ses rapports a un score supérieur à un seuil donné
pour un certain type d'escroquerie. Dans ce cas, les types
d'escroquerie associés à l'adresse sont ceux pour lesquels le
score est supérieur au seuil.
Pour les adresses qui ne sont pas identifiées comme des
escroqueries selon cette condition, nous distinguons en outre
celles pour lesquelles tous les rapports sont trop courts
pour permettre une classification ("pas assez de données"),
et les "autres" adresses. Il convient de noter que l'adresse
d'une escroquerie réelle peut ne pas être reconnue comme
telle lorsque tous ses rapports contiennent des descriptions
superficielles ou peu informatives.
Le tableau 8 recense les adresses dans chaque catégorie.
La comparaison avec les escroqueries signalées par URL
est reportée à la section VI.
B. CLASSIFICATION DES ESCROQUERIES SIGNALÉES PAR

L'URL
La technique de classification des escroqueries signalées par
une URL étend celle des escroqueries signalées par une
adresse, présentée dans la section V-A, pour laquelle elle
doit faire face à des problèmes supplémentaires. Un
premier problème est que certains sites web des ensembles
de données ne sont pas liés aux crypto-monnaies : c'est le
cas, par exemple, de certaines combines à la Ponzi qui
n'acceptent que des paiements en monnaie fiduciaire.
Notre objectif est de classer ces éléments comme des
escroqueries, en précisant qu'il s'agit d'escroqueries en
monnaie fiduciaire. Un autre problème est que l'ensemble
de données contient également des sites web non
frauduleux : c'est le cas, par exemple, des sites web de
discussion sur les crypto-monnaies et des sites web de
"spamdexing" qui tentent d'altérer les algorithmes des
moteurs de recherche en contenant de longs morceaux de
texte non informatif sur les crypto-monnaies. Étant donné
que le spamdexing ne correspond pas à notre définition des
escroqueries, nous ne souhaitons pas classer ces sites web
dans cette catégorie.
Pour classer les escroqueries signalées par URL, nous
procédons comme suit :
1) Nous inspectons d'abord l'horodatage des instantanés
afin d'exclure les
les sites web pour lesquels tous les instantanés sont
antérieurs à la date de publication du bitcoin (3
janvier 2009).
VOLUME 9, 2021 148377
TABLEAU 9. Classification des escroqueries signalées par URL. dans l'ensemble des résultats positifs, et mesure la qualité du
classificateur lorsque la prédiction est positive :
TP
Précision =
TP +
FP
La spécificité est la proportion de résultats négatifs qui
sont correctement identifiés, et la sensibilité (appelée rappel
dans la classification multiclasse) est la proportion de
résultats positifs qui sont correctement identifiés :
• ''crypto scam'', si au moins un de ses clichés est TN
Spécificité =
étiqueté comme ''crypto'' et s'il est associé à au TN +
moins un type d'escroquerie. Les exemples courants FPTP
de ces escroqueries sont les combines à la Ponzi qui Sensibilité =
TP +
acceptent les bitcoins et les escroqueries à l'avance FN
qui prétendent qu'une célébrité récompense les La mesure F est la moyenne pondérée de la précision et du
utilisateurs en leur offrant des crypto-monnaies.
• ''escroquerie au fiat'', si aucun de ses instantanés
rappel :
n'est lié à 2 × Précision × Rappel
crypto-monnaies, mais elle mène toujours des F - mesure =
activités frauduleuses. Les exemples les plus Précision + rappel
courants de ces escroqueries sont les pyramides de
Ponzi
qui acceptent les monnaies fiduciaires et ne prennent Étant donné que la classification multiclasse réalisée dans
pas en charge les crypto-monnaies. ce travail est
Comme pour les escroqueries signalées par les adresses, multi-label (ML), nous utilisons les métriques suivantes
le classificateur qualifie de "pas assez de données" les sites pour considérer que nous avons un TP lorsque, pour une
web pour lesquels aucun cliché n'a suffisamment de arnaque, les étiquettes réelles sont un sous-ensemble T des
contenu et d'"autres" ceux pour lesquels aucun cliché étiquettes produites par le modèle de classification R,
n'atteint le seuil du score lié à l'escroquerie pour n'importe comme proposé dans [63] :
quel cliché. T∩R
type d'escroquerie. Contrairement aux escroqueries MLPrecision = R
signalées par les adresses, la catégorie "autres" contient
T∩R
maintenant plusieurs éléments sans escroquerie. Nous MLRecall = T
classons les sites web mentionnant des cryptocurrencies 2 × MLPrecision × MLRecall
sans comportement d'escroquerie dans la catégorie "crypto MLF - mesure =
no-scam". C'est le cas, par exemple, des sites web MLPrecision + MLRecall
rapportant des nouvelles sur les blockchains. De même,
nous classons les sites web qui ne mentionnent pas les
crypto-monnaies et ne pratiquent pas l'escroquerie dans la
catégorie "crypto no-scam".
comme ''fiat no-scam''. Il s'agit souvent de sites légitimes correctement la classe positive, tandis qu'un vrai négatif (TN )
signalés à tort par les utilisateurs. est un résultat dans lequel il prédit correctement la classe
Le tableau 9 résume les résultats obtenus par le négative. Au contraire, un faux positif (FP) est un résultat
classificateur. Les types d'escroquerie mesurés (associés dans lequel le modèle prédit incorrectement la classe
aux catégories d'escroquerie à la crypto-monnaie et positive et, enfin, lorsque le modèle prédit incorrectement la
d'escroquerie à la monnaie fiduciaire) sont examinés dans classe négative, nous avons un faux négatif (FN ). La
la section VI, en comparaison avec les escroqueries précision indique le nombre de prédictions correctes :
signalées par les adresses. TP + TN
C. MÉTRIQUES
Nous utilisons cinq mesures standard pour évaluer les
performances de notre classificateur : la précision, la
sensibilité, la spécificité, l'exactitude et la mesure F. Toutes
ces mesures sont définies en termes de vrais/faux
positifs/négatifs. Toutes ces mesures sont définies en termes
de vrais/faux positifs/négatifs. Un vrai positif (TP) est un
résultat dans lequel le modèle de classification prédit
148378 VOLUME 9, 2021
Nous calculons chacune des mesures présentées pour
M. Bartoletti et al : Cryptocurrency Scams : Analyse et perspectives entre les faux positifs (FP) et les vrais positifs (TP) ; elle
chaque classe représente donc le taux de vrais positifs (TPR), c'est-à-dire
inclus dans l'évaluation de la classification binaire et la spécificité, sur l'axe des ordonnées et les faux positifs sur
multiclasse pour représenter la performance par classe. En l'axe des abscisses.
outre, nous fournissons la moyenne pondérée pour les deux
Taux de positivité (FPR), calculé comme 1 - Sensibilité
évaluations comme suit. Nous calculons les métriques pour sur l'axe des x.
chaque classe et définissons leur moyenne pondérée par le
nombre d'instances réelles pour chaque classe. De cette D. ÉVALUATION DU CLASSIFICATEUR
manière, nous prenons en compte le déséquilibre entre les
classes. Nous évaluons notre outil de classification des escroqueries
Enfin, nous avons également représenté la courbe ROC comme suit :
(Receiver Operating Char- acteristic) et calculé l'aire sous 1) Nous prélevons 200 éléments aléatoires dans notre
la courbe ROC (AUC) directement à partir de la courbe collection de 8 066 escroqueries potentielles élaborée à
ROC elle-même. La courbe ROC représente le compromis la section IV.
Précision = 2) Chaque auteur (ignorant les résultats de l'outil) classe
TP + TN + FP + indéfiniment chaque escroquerie potentielle de
FN l'échantillon.
Bien qu'il s'agisse d'une mesure couramment utilisée et À cette fin, les auteurs peuvent inspecter les mêmes
d'un bon évaluateur général, elle n'est pas en mesure de données que celles utilisées par le classificateur, c'est-
donner un aperçu juste lorsque le problème présente une à-dire les instantanés HTML pour les escroqueries
distribution déséquilibrée des classes, comme c'est le cas signalées par l'URL et les rapports d'utilisateurs pour
dans notre scénario. La précision est la proportion de vrais les fraudes signalées par l'adresse. Les résultats
positifs (TP) possibles sont les suivants Pas d'escroquerie
VOLUME 9, 2021 148379

qu'escroqueries. En outre, comme le montre la figure 12a, la

(qui regroupe les catégories Autre et Pas assez de classification binaire atteint un taux de vrais positifs de 89
données produites par notre outil) ou Escroquerie. %, ce qui est assez élevé et permet de traiter correctement un
Dans ce dernier cas, les auteurs indiquent également un vaste ensemble d'escroqueries réelles.
ensemble de types d'escroquerie parmi ceux définis En général, notre outil obtient des résultats satisfaisants
dans la section II. compte tenu de l'importance de la reconnaissance de la
3) Nous partageons les résultats des classifications classe Scam pour notre classification.
manuelles indépendantes et nous discutons de chaque
élément jusqu'à ce que nous trouvions un accord sur sa 2) SUR LA CLASSIFICATION MULTI-LABEL
classification. Le tableau 12 présente une évaluation spécifique de chaque
4) Enfin, nous comparons la classification manuelle avec type d'escroquerie pris en compte dans la classification
le résultat de l'outil : multi-label.
a) une classification binaire, qui fait la distinction entre
escroqueries et pas d'escroqueries. Plus précisément,
en précisant la définition classique du TP donnée
dans la section V-C, nous considérons qu'un article
est un TP lorsque la classification manuelle et la
classification automatique s'accordent à classer
l'article comme une escroquerie, indépendamment
des types d'escroquerie fournis.
b) une classification multi-label, qui évalue la
performance dans le scénario multi-classe, où
chaque arnaque peut potentiellement appartenir à
plus d'un type. Ici, nous définissons un élément
comme TP lorsque les types d'escroquerie
déterminés par la classification manuelle sont un
sous-ensemble de ceux calculés par l'outil, et que la
classification manuelle et la classification
automatique s'accordent pour classer l'élément
comme une escroquerie. Par exemple, si un élément
est classé manuellement comme Ponzi et que l'outil
détermine que les services Ponzi et Fake Services
atteignent tous deux le seuil minimum, nous disons
que l'élément est classé correctement.
Les tableaux 10 et 11 présentent la matrice de confusion et
les mesures de classification pour la classification binaire.
Le tableau 12 présente les mesures de classification multi-
labels.
1) SUR LA CLASSIFICATION BINAIRE

En ce qui concerne la classification binaire, le tableau 10
constitue un indicateur général de l'efficacité de notre outil
de classification. En particulier, 170 éléments sur 200 ont
été correctement classés (133 comme escroquerie et 37
comme absence d'escroquerie), tandis que 30 seulement ont
été mal classés. En ce qui concerne ce dernier point, nous
observons que seules 9 escroqueries ont été mal classées
comme n'étant pas des escroqueries. Cet aspect est
particulièrement important car, compte tenu de l'objectif de
l'outil, les faux positifs ne constituent pas un problème
majeur. Cette tendance est confirmée par les mesures
présentées dans le tableau 11 et, en particulier, par la valeur
AUC de la figure 12a.
Le tableau 11 montre que la précision et la sensibilité
(toutes deux orientées vers la classe positive) ont des valeurs
élevées pour la classe Escroquerie, alors que la spécificité
est nettement plus faible pour la classe Escroquerie, puisque
21 escroqueries non sur 30 ont été mal classées en tant
148380 VOLUME 9, 2021
M. Bartoletti et al : Cryptocurrency Scams : Analyse et perspectives chaque fraude à zéro, un ou plusieurs types de fraude. Nous
TABLEAU 10. Matrice de confusion de la classification binaire. excluons toutes les fraudes qui n'ont pas de type associé des
évaluations suivantes,
En particulier, par souci d'exhaustivité, nous montrons les

valeurs métriques calculées sur les classes uniques, sans
tenir compte de la possibilité qu'une arnaque puisse
appartenir à plus d'un type. Cet aspect est plus clairement
représenté par la courbe ROC de la figure 12b.
Le tableau 12 montre clairement que le type
d'escroquerie le plus mal classé est le faux service, avec
une valeur de précision de 44 %. La raison est clairement
due au fait qu'il existe une corrélation entre les faux
services et les combines à la Ponzi et que, par conséquent,
ils sont souvent classés comme des combines à la Ponzi.
En général, cependant, les faux services réels sont prédits
correctement avec un rappel de 81 %. Pour la même raison,
les escroqueries à la Ponzi et à l'avance de frais ont une
faible précision de 73 % et 63 %, respectivement. Cela
s'explique par le fait que les escroqueries à la Ponzi sont
souvent mal classées en tant que faux services, tandis que
les escroqueries à l'Advance-Fee sont mal classées en tant
qu'escroqueries à la Ponzi et aux logiciels malveillants, et
en tant que faux services la plupart du temps. Le détail des
corrélations entre les types d'escroquerie est illustré en
détail dans la section VI suivante.
Le tableau ne contient pas de logiciels malveillants, car
aucun n'a été détecté dans notre échantillonnage de 200
escroqueries différentes.
Même dans ce cas, nous indiquons la moyenne pondérée
des classes, afin de tenir compte du déséquilibre des classes
et de la moyenne des échantillons, et de calculer les
métriques pour chaque élément, puis leur moyenne. Si l'on
considère la moyenne des métriques, les outils de
classification proposés ont obtenu des valeurs satisfaisantes,
même s'ils peuvent être améliorés en vue d'une
reconnaissance précise de la classe d'escroquerie la plus
significative.
Enfin, la figure 1b montre la courbe ROC pour chaque
type d'escroquerie pris en compte dans l'évaluation de la
classification multi-label, ainsi que les moyennes micro et
macro à titre de comparaison. Contrairement aux résultats
présentés dans le tableau 12, qui sont ciblés sur des classes
individuelles, nous pouvons ici donner une évaluation plus
générale de la classification multi-label, en tenant compte
de la possibilité qu'une arnaque puisse appartenir à plus
d'un type. Plus précisément, nous pouvons constater que
l'AUC de chacun des types d'arnaques traités se situe entre
78 % pour la catégorie Fake Services et 89 % pour la
catégorie Advance-Fee scam.
Les valeurs moyennes de l'AUC représentent également
un résultat de classification satisfaisant, puisque la macro-
moyenne, qui accorde un poids égal à la classification de
chaque étiquette, et la micro-moyenne sont respectivement
de 85 % et 86 %.
VI. APPLICATION DU CLASSIFICATEUR DANS LA NATURE

Nous classons maintenant les escroqueries collectées dans
la section IV selon notre taxonomie. Notre outil associe
VOLUME 9, 2021 148381
FIGURE 12. Courbes ROC de la classification binaire et multi-labels.
TABLEAU 11. Évaluation de la classification binaire. Les colonnes

également les échanges, les portefeuilles, le mixage,
"Escroquerie" et "Pas d'escroquerie" représentent les valeurs métriques l'exploitation minière et les dons, tandis que le type Malware
pour chacune des deux classes. La dernière colonne indique les valeurs comprend les ransomwares et les crypto loggers. Par
métriques moyennes pondérées, calculées indépendamment pour chaque
classe, puis moyennées en tenant compte du nombre d'échantillons par conséquent, la liste finale des types sur lesquels nous nous
classe. concentrons comprend :
TABLEAU 12. Évaluation de la classification multi-label. Les mesures

présentées sont calculées sans tenir compte du fait qu'une arnaque peut
appartenir à plus d'un type, afin d'obtenir une évaluation plus spécifique
par classe.
qui correspond à tous les éléments que nous avons

précédemment classés dans les catégories "Autres" et
"Données insuffisantes". En résumé, notre analyse porte sur
39 628 éléments, soit le sous-ensemble identifié comme
escroquerie dans la section V-A (33 570 adresses signalées)
et la section V-B (6 058 URL signalées). Les graphiques
d'analyse (figures 13 à 15) montrent trois répartitions
différentes des escroqueries identifiées ci-dessus par rapport
au nombre total d'escroqueries. Par souci de clarté, nous
regroupons tous les sous-types au sein de leur type
principal, c'est-à-dire que le type Fake Services comprend
148382 VOLUME 9, 2021
Ponzi, Malware,
M. Bartoletti Advance-Fee,
et al : Cryptocurrency Scams : Fake
AnalyseServices, Black Mail
et perspectives
et Fake ICO.
A. ESCROQUERIES PURES OU HYBRIDES

Nous définissons les fraudes associées à un seul type
comme pures, et les fraudes hybrides comme ayant plus
d'un type. Le premier type de fraude a fait l'objet d'études
approfondies dans la littérature, tandis que le second est
plus récent et souvent plus difficile à détecter. Néanmoins,
les fraudes hybrides représentent un pourcentage important
des fraudes, comme le montre la figure 13 qui représente la
distribution des deux types. En particulier, la figure 13a
montre que 28 % des escroqueries basées sur les adresses
et près de la moitié des escroqueries basées sur les URL
sont hybrides.
Pour mieux comprendre les escroqueries hybrides, nous
commençons par quantifier le nombre de types
d'escroqueries qu'elles impliquent généralement (figure
13b). En particulier, la première colonne représente le
pourcentage d'escroqueries liées à un seul type, c ' e s t - à -
d i r e les escroqueries pures, tandis que les autres colonnes
détaillent la structure des fraudes hybrides. Comme on
peut le voir, peu d'escroqueries comportent trois types ou
plus. La plupart d'entre elles impliquent exactement deux
types. Plus précisément, dans les escroqueries signalées
par URL, les escroqueries à deux types (40 %) sont
proches des escroqueries pures (49 %). Dans l'analyse
suivante, nous fournissons davantage d'informations sur la
nature des escroqueries hybrides en comprenant quels
types spécifiques elles impliquent.
B. RÉPARTITION DES TYPES D'ESCROQUERIE

Les escroqueries hybrides n'impliquent pas tous les types
de fraude de la même manière. Dans la figure 14, pour
chaque type d'escroquerie, nous examinons la répartition
des escroqueries pures (barres claires) et des escroqueries
hybrides (barres foncées), en montrant également la
distinction entre les escroqueries signalées par l'URL
(barres bleues) et les escroqueries signalées par l'adresse
(barres rouges). Les résultats étant exprimés en
pourcentage, la somme des quatre barres est exactement
égale à 100 % pour chaque type d'escroquerie. Nous
notons que les escroqueries hybrides sont comptabilisées
dans plusieurs barres (une fois pour chaque type impliqué).
Plus précisément, le type Black Mail est le seul à se
composer principalement d'escroqueries pures (75 %). En
revanche, les autres types sont en grande partie des
escroqueries hybrides : Ponzi, Advance Fee, et
VOLUME 9, 2021 148383

FIGURE 13. Répartition des escroqueries de type pur et de type hybride.
FIGURE 14. Pour chaque type, pourcentage d'escroqueries pures et hybrides.
La figure 13b montre que les fraudes hybrides impliquent

Faux ICO avec ∼ 70 % ; faux services avec plus de 80 %
généralement deux types et la figure 14 montre que certains
; et logiciels malveillants avec plus de 90 %. Bien que tous
les types analysés soient bien définis dans la littérature, les types présentent des similitudes. Par exemple, les logiciels
valeurs ci-dessus suggèrent que, malveillants et le courrier noir sont principalement des
dans la pratique, nombre d'entre eux sont utilisés en escroqueries basées sur l'adresse, tandis que les combines à
combinaison avec d'autres plutôt qu'isolément. la Ponzi et les fausses ICO
La distinction entre les barres bleues et rouges nous
permet également d'examiner les types de fraude sous un
angle différent, en constatant que les types de fraude ne sont
pas uniformément répartis entre les escroqueries basées sur
l'adresse et les escroqueries signalées par l'URL. Cette
particularité est liée à la fois à l'ensemble de données dans
lequel une escroquerie est signalée et au moyen utilisé par
les escrocs pour atteindre les utilisateurs finaux : en effet,
les escroqueries signalées par URL sont des sites web,
tandis que les escroqueries signalées par adresse sont
principalement distribuées par courrier. Les types Black
Mail, Malware et Advance Fee sont généralement des
escroqueries basées sur l'adresse, tandis que la plupart des
combines à la Ponzi et des fausses ICO sont des
escroqueries signalées par l'URL. En particulier, le type
Fake Services affecte les deux catégories de manière égale.
148384 VOLUME 9, 2021
utilisent
M. Bartolettisouvent des sites
et al : Cryptocurrency web
Scams et etont
: Analyse également des
perspectives
pourcentages similaires d'escroqueries hybrides. Dans ce

qui suit, nous effectuons une analyse plus poussée pour
vérifier s'il existe effectivement une corrélation entre les
différentes paires.
C. CORRÉLATION ENTRE LES TYPES D'ESCROQUERIE

La figure 15 présente une matrice thermique qui permet
d'étudier plus en détail les corrélations entre les types
d'escroquerie. Les valeurs diagonales indiquent la
corrélation d'un type avec lui-même, ce qui correspond à
une escroquerie pure.
La principale observation que l'on peut faire est que la
plupart des schémas de Ponzi sont de pures escroqueries :
souvent, leurs sites web prétendent être des HYIP, alors
que parfois ils prétendent explicitement être des schémas
de Ponzi. Nous remarquons que les Ponzi pures sont
généralement des sites web très simples dotés d'une
interface utilisateur minimale, qui permet uniquement à
l'utilisateur de calculer le bénéfice escompté et d'envoyer de
l'argent : un sous-ensemble de ces sites web a vu le jour
avant Bitcoin et utilise encore des monnaies fiduciaires.
Étant donné que la fraude à la Ponzi pure peut être
facilement reconnue, les fraudeurs ont créé des sites web
plus élaborés, prétendant être des sites offrant des services
de blockchain qui récompensent les utilisateurs : pour cette
raison, la Ponzi a une corrélation évidente avec les faux
services.
VOLUME 9, 2021 148385

FIGURE 15. Carte thermique de la matrice de confusion obtenue à partir de la proposition de

classificateur, montrant la corrélation entre les types d'escroquerie.
systèmes de minage et d'autres services, il ne s'agit pas de

Ils utilisent diverses stratégies, par exemple faire semblant
faux services, même si le principal mécanisme de fraude est le
d'être : même : toutes les adresses fournies aux utilisateurs finaux
i) des portefeuilles où vous gagnez de l'argent au fil du appartiennent directement aux escrocs, qui ne restitueront
temps ; ii) des échanges avec des banques ou des institutions jamais les fonds.
financières internationales.
Les escroqueries à l'avance utilisent également cette
iii) des pools miniers qui récompensent les participants au
technique. Cependant, nous les reconnaissons parce qu'elles
fil du temps.
se font passer pour un entrepreneur ou une entreprise
Par conséquent, nous observons que certains types tels
célèbre.
que les faux services et les logiciels malveillants ont une
faible corrélation avec eux-mêmes : ils sont principalement
utilisés pour soutenir d'autres types d'escroqueries (telles
que les escroqueries à la Ponzi et les courriers noirs). En
revanche, les courriers noirs ont une forte corrélation avec
eux-mêmes, car ils ne cachent pas leur véritable objectif et
font immédiatement apparaître clairement leur demande
d'argent. Parfois, pour convaincre les utilisateurs que
l'expéditeur possède réellement des documents
compromettants appartenant à la victime, le courrier noir
prétend avoir utilisé un logiciel malveillant. C'est pourquoi
nous observons une légère corrélation entre le courrier noir
et les types de logiciels malveillants. Comme nous avons
collecté moins de malwares que de courriers noirs, cette
corrélation provoque un pic dans le nombre de malwares
hybrides.
Les fausses ICO se distinguent facilement des autres
types d'escroqueries car il s'agit de sites web qui décrivent
un nouveau projet de crypto-monnaie, fournissent une
feuille de route et présentent les profils des fondateurs. Bien
que leur site Web mentionne parfois des bourses, des
148386 VOLUME 9, 2021
Les corrélations
M. Bartoletti étendues
et al : Cryptocurrency existant
Scams : Analyse entre les
types
et perspectives
d'escroquerie analysés, et présentées dans la figure 15,

motivent plus clairement les faibles valeurs métriques de
précision obtenues dans l'évaluation multi-label de certains
types d'escroquerie, présentées dans la section V-D2 et
précédemment indiquées dans le tableau 12.
VII. CONCLUSION
À notre connaissance, ce travail est la première recherche
exhaustive sur les escroqueries aux crypto-monnaies, dix
ans après leur apparition. Nous avons commencé par
étudier la littérature scientifique sur les escroqueries.
Ensuite, nous avons constitué une collection d'escroqueries
en récupérant des données auprès de diverses sources.
Grossièrement, nous avons distingué deux types
d'escroqueries, en fonction de la manière dont elles sont
indexées par les sites web : les escroqueries signalées par
des adresses sont des adresses Bitcoin signalées par des
victimes potentielles ; les escroqueries signalées par des
URL sont des sites web frauduleux, que nous avons
récupérés à partir de Web Archive. Nous avons publié un
ensemble de données sur les escroqueries [4]-[6] contenant
47 075 escroqueries signalées par des adresses (avec 163
777 rapports) et 8 066 escroqueries signalées par des URL
(avec 187 404 instantanés). Nous avons développé un outil
open-source [3] pour classer les escroqueries selon notre
taxonomie. Nous avons évalué notre outil à l'aide de
techniques et de mesures standard. Enfin, nous avons
utilisé notre outil pour effectuer une classification à
étiquettes multiples des escroqueries collectées, sur la base
de laquelle nous avons analysé la distribution et la
corrélation entre les types d'escroqueries, ainsi que la
distinction entre les escroqueries pures et les escroqueries
hybrides.
Nous observons que, bien que la plupart des
escroqueries de notre ensemble de données soient liées au
bitcoin, presque toutes les escroqueries ne reposent pas sur
les caractéristiques suivantes
VOLUME 9, 2021 148387

V-D) pourraient être améliorées par des techniques

de cette blockchain spécifique, mais utilisent simplement la d'apprentissage automatique plus sophistiquées. Par
cryptocur- rence native de la blockchain comme moyen de exemple, notre taux de FP relativement élevé est la
paiement. Il est donc possible d'assister à l'avenir à conséquence de notre choix de conception consistant à
l'émergence d'escroqueries opérant sur d'autres blockchains préférer signaler les articles légitimes comme étant des
que le bitcoin, à mesure que leurs crypto-monnaies natives escroqueries, plutôt que de ne pas signaler les articles
deviendront plus populaires. En effet, notre ensemble de potentiellement frauduleux. Une stratégie possible pour
données contient déjà quelques escroqueries liées à réduire le taux de FP est d'étendre notre ensemble de
Ethereum. données avec des "listes sûres" d'articles légitimes. À cette
Sur la base de notre expérience, nous formulons les fin, on pourrait exploiter des ensembles de données publiques
recommandations suivantes pour contrer les escroqueries de sites web liés à la blockchain, comme par exemple ceux
liées aux cryptomonnaies. liés à des projets d'intérêt social [64], des coupons
numériques [65], etc. Un autre développement possible
A. RECOMMANDATION N° 1. AMÉLIORER LES consiste à étendre l'ensemble des caractéristiques utilisées
SYSTÈMES DE SIGNALEMENT DES FRAUDES par le moteur de détection, y compris, par exemple, la
Comme nous l'avons noté dans la section III, les sources de structure HTML des sites web, les transactions liées aux
données publiques existantes sur les escroqueries à la adresses Bitcoin éventuellement liées à une escroquerie, etc.
crypto-monnaie sont hétérogènes et ne sont pas entièrement
fiables. Cela entrave le développement d'outils
e f f i c a c e s de détection et de classification des
escroqueries, pour lesquels il serait crucial de disposer d'un
ensemble de données uniformes et fiables sur les
escroqueries. Pour surmonter ces problèmes, nous
recommandons de construire un système de signalement des
escroqueries qui soit complet (c'est-à-dire qu'il permette aux
utilisateurs de signaler des escroqueries de tout type, ciblant
n'importe quelle blockchain), avec une taxonomie uniforme
des escroqueries (comme, par exemple, celle que nous
avons proposée dans la section II) et modéré, afin de réduire
la quantité de données erronées ou incorrectes. En outre, ce
système devrait guider les utilisateurs vers une auto-
classification correcte des escroqueries, par exemple en
fournissant un questionnaire interactif et en montrant des
modèles d'escroquerie des différents types.
B. RECOMMANDATION N°2. DÉVELOPPER UNE

EXTENSION DE NAVIGATEUR POUR METTRE EN
GARDE CONTRE LES ESCROQUERIES
L'un des facteurs de réussite des escroqueries à la crypto-
monnaie, outre la cupidité des utilisateurs, est que les
utilisateurs non techniques ont souvent du mal à distinguer
les sites web frauduleux des sites légitimes. Par conséquent,
nous recommandons la mise en œuvre d'une extension de
navigateur qui inspecte les sites web, alerte les utilisateurs
lorsqu'elle détecte des escroqueries potentielles et conseille
les utilisateurs sur ce qu'ils doivent faire s'ils ont déjà été
victimes d'une escroquerie. De même, l'extension du
navigateur pourrait alerter les utilisateurs lorsqu'ils essaient
d'envoyer de l'argent à des adresses blockchain liées à des
escroqueries, ou lorsqu'ils lisent des chantages. Notre
chaîne d'outils peut servir de base au développement d'une
telle extension de navigateur.
C. ŒUVRES FUTURES
Notre travail peut servir de base à plusieurs développements
futurs. Tout d'abord, nous pensons que les mesures de
détection des escroqueries observées sur notre outil (section
148388 VOLUME 9, 2021
l'exploration de données pour la détection des schémas de Ponzi Bitcoin.
[En ligne]. Disponible : https://github.com/bitcoinponzi/BitcoinPonziTool
L'analyse des escroqueries décrite à la section VI est
axée sur la classification des escroqueries selon notre
taxonomie. Sur cette base, il est possible d'effectuer
d'autres analyses, par exemple pour mesurer (et agréger par
type) la durée de vie des escroqueries, leur évolution dans
le temps et leur impact économique, lorsque les adresses
Bitcoin sont disponibles (comme pour les escroqueries
signalées par les adresses). Pour ce faire, il faudrait
combiner les outils développés dans ce travail avec des
moteurs d'interrogation de la blockchain, comme par
exemple BlockAPI [66].
RÉFÉRENCES
[1] W. Chen, T. Zhang, Z. Chen, Z. Zheng, et Y. Lu, ''Traveling the token
world : A graph analysis of Ethereum ERC20 token ecosystem,'' in Proc.
Web Conf., avril 2020, pp. 1411-1421.
[2] N. Kyriazis, S. Papadamou, et S. Corbet, ''A systematic review of the
bubble dynamics of cryptocurrency prices,'' Res. Int. Bus. Finance, vol.
54, Dec. 2020, Art. no. 101254.
[3] Référentiel de classification des escroqueries en crypto-monnaies.
Accessed : 26 octobre 2021. [En ligne]. Disponible :
https://github.com/blockchain-unica/cryptoscam- classifier
[4] A. Loddo, ''Badbitcoin dataset,'' Univ. Cagliari, Cagliari, Italy, Tech. Rep.,
2020, doi : 10.7910/DVN/MOARX1.
[5] S. Serusi, ' 'BitcoinAbuse dataset,'' Univ. Cagliari, Cagliari, Italy, Tech.
Rep., 2020, doi : 10.7910/DVN/SMPQBQ.
[6] A. Loddo, ''EtherAddressLookup dataset,'' Univ. Cagliari, Cagliari, Italy,
Tech. Rep., 2020, doi : 10.7910/DVN/XCP6KF.
[7] A. Holub et J. O'Connor, ''COINHOARDER : Tracking a Ukrainian
bitcoin phishing ring DNS style,'' in Proc. APWG Symp. Electron. Crime
Res. (eCrime), San Diego, CA, États-Unis, mai 2018, p. 1-5.
[8] S. Kethineni et Y. Cao, ''The rise in popularity of cryptocurrency and
associated criminal activity,'' Int. Criminal Justice Rev., vol. 30, no. 3,
pp. 325-344, Sep. 2020, doi : 10.1177/1057567719827051.
[9] M. Bartoletti et L. Pompianu, ''An analysis of Bitcoin OP_RETURN
metadata,'' in Proc. Financial Cryptogr. Data Secur. Workshops, dans
Lecture Notes in Computer Science, vol. 10323. New York, NY, USA :
Springer, 2017, pp. 218-230.
[10] M. Bartoletti, B. Bellomy, et L. Pompianu, ''A journey into bitcoin
metadata,'' J. Grid Comput., vol. 17, no. 1, pp. 3-22, Mar. 2019.
[11] E. Badawi et G.-V. Jourdan, ''Cryptocurrencies emerging threats and
defensive mechanisms : A systematic literature review,'' IEEE Access,
vol. 8, pp. 200021-200037, 2020.
[12] A. Higbee, ''Le rôle des crypto-monnaies dans la cybercriminalité'',
Comput. Fraud Secur, vol. 2018, n° 7, p. 13-15, juillet 2018.
[13] APWG. The APWG Ecrime Exchange (ECX). Accessible : 26 octobre
2021. [En ligne]. Disponible : https://apwg.org/
[14] T. Moore, J. Han, et R. Clayton, ''The postmodern Ponzi scheme :
Empirical analysis of high-yield investment programs,'' in Proc. Int.
Conf. Financial Cryptogr. Data Secur. vol. 7397. Berlin, Allemagne :
Springer, 2012, pp. 41-56.
[15] J. Neisius et R. Clayton, ''Orchestrated crime : The high yield investment
fraud ecosystem,'' in Proc. APWG Symp. Electron. Crime Res. (eCrime),
septembre 2014, pp. 48-58.
[16] Ponzi Schemes Using Virtual Currencies, SEC, Washington, DC, États-
Unis, 2013.
[17] M. Vasek et T. Moore, ''There's no free lunch, even using Bitcoin :
Tracking the popularity and profits of virtual currency scams,'' in Financial
Cryptography and Data Security (Lecture Notes in Computer Science),
vol. 8975. Berlin, Allemagne : Springer, 2015, pp. 44-61.
[18] K. Toyoda, T. Ohtsuki, et P. T. Mathiopoulos, ''Identification of high
yielding investment programs in bitcoin via transactions pattern
analysis,'' in Proc. IEEE Global Commun. Conf. (GLOBECOM), déc.
2017, pp. 1-6.
[19] K. Toyoda, T. Ohtsuki, et P. T. Mathiopoulos. (2017). Dataset for
Identification of High Yielding Investment Programs in Bitcoin Via
Transactions Pattern Analysis (Ensemble de données pour
l'identification de programmes d'investissement à haut rendement en
bitcoins via l'analyse de modèles de transactions). [En ligne]. Disponible
: https://bitbucket. org/kentaroh_toyoda/research-for-hyip-classification-
on- bitcoin/src/master/
[20] M. Bartoletti, B. Pes, et S. Serusi, ' ' Data mining for detecting bitcoin
Ponzi schemes,'' in Proc. Crypto Valley Conf. Blockchain Technol.
(CVCBT), juin 2018, pp. 75-84.
[21] M. Bartoletti, B. Pes, et S. Serusi. (2018). Jeu de données pour
VOLUME 9, 2021 148389
Springer, 2013, pp. 25-33.

[22] W. Chen, Z. Zheng, J. Cui, E. Ngai, P. Zheng, et Y. Zhou, ''Detect- ing
[43] A. A. Andryukhin, ''Phishing attacks and preventions in blockchain based
Ponzi schemes on ethereum : Towards healthier blockchain technol- ogy,''
projects,'' in Proc. Int. Conf. Eng. Technol. Comput. Sci. (EnT), mars 2019,
in Proc. World Wide Web Conf. World Wide Web (WWW), 2018,
pp. 15-19.
pp. 1409-1418.
[23] W. Chen, Z. Zheng, J. Cui, E. Ngai, P. Zheng, et Y. Zhou. (2018)
Ensemble de données pour la détection des schémas de Ponzi sur
Ethereum : Vers une technologie blockchain plus saine. [En ligne].
Disponible : http://ibase.site/scamedb/
[24] K. Toyoda, T. Ohtsuki, et P. T. Mathiopoulos, ''Time series analysis for
bitcoin transactions : The case of Pirate@40's HYIP scheme,'' in Proc.
IEEE Int. Conf. Data Mining Workshops (ICDMW), H. Tong, Z. J. Li,
F. Zhu et J. Yu, éd. nov. 2018, pp. 151-155.
[25] M. Vasek et T. Moore, ''Analyzing the Bitcoin Ponzi scheme ecosys-
tem,'' in Proc. Bitcoin Workshop, in Lecture Notes in Computer Science,
vol. 10958. New York, NY, USA : Springer, 2018, pp. 101-112.
[26] Y. Boshmaf, C. Elvitigala, H. Al Jawaheri, P. Wijesekera, et M. A. Sabah,
''Investigating MMM Ponzi scheme on bitcoin,'' in Proc. 15th ACM Asia
Conf. Comput. Commun. Secur., Oct. 2020, pp. 519-530.
[27] W. Chen, Z. Zheng, E. C.-H. Ngai, P. Zheng, et Y. Zhou, ''Exploiting
blockchain data to detect smart Ponzi schemes on ethereum,'' IEEE
Access, vol. 7, pp. 37575-37586, 2019.
[28] E. Jung, M. L. Tilly, A. Gehani, et Y. Ge, ''Data mining-based ethereum
fraud detection,'' in Proc. IEEE Int. Conf. Blockchain (Blockchain), juil.
2019, pp. 266-273.
[29] C. F. Torres, M. Steichen, et R. State, ''The art of the scam : Demystifying
honeypots in Ethereum smart contracts,'' in Proc. 28th USENIX Secur.
Symp., N. Heninger et P. Traynor, Eds. Berkeley, CA, USA : USENIX
Association, 2019, pp. 1591-1607.
[30] K. Toyoda, P. Takis Mathiopoulos, et T. Ohtsuki, ''A novel methodology
for HYIP operators' bitcoin addresses identification,'' IEEE Access, vol. 7,
pp. 74835-74848, 2019.
[31] M. Bartoletti, S. Carta, T. Cimoli, et R. Saia, ''Dissecting Ponzi schemes
on Ethereum : Identification, analysis, and impact,'' Future Gener.
Comput. Syst., vol. 102, p. 259-277, janvier 2020.
[32] M. Bartoletti, S. Carta, T. Cimoli et R. Saia. (2020). Dataset for
Dissecting Ponzi Schemes on Ethereum (Ensemble de données pour
disséquer les schémas de Ponzi sur Ethereum). [En ligne]. Disponible :
https:// github.com/blockchain-unica/ethereum-ponzi
[33] F. Reid et M. Harrigan, ''An analysis of anonymity in the Bitcoin sys-
tem,'' in Security and Privacy in Social Networks. New York, NY, USA :
Springer, 2013, pp. 197-223.
[34] S. Meiklejohn, M. Pomarole, G. Jordan, K. Levchenko, D. McCoy,
G. M. Voelker, et S. Savage, ''A fistful of bitcoins : Characterizing pay-
ments among men with no names,'' in Proc. Conf. Internet Meas. Conf.,
octobre 2013, pp. 127-140.
[35] M. Bartoletti et L. Pompianu, ''An empirical analysis of smart contracts :
Platforms, applications, and design patterns,'' in Financial Cryptogra- phy
and Data Security Workshops (Lecture Notes in Computer Science), vol.
10323. New York, NY, USA : Springer, 2017, pp. 494-509.
[36] K. Liao, Z. Zhao, A. Doupé, et G.-J. Ahn, ''Behind closed doors :
Measurement and analysis of CryptoLocker ransoms in bitcoin,'' in Proc.
APWG Symp. Electron. Crime Res. (eCrime), Jun. 2016, pp. 1-13.
[37] M. Conti, A. Gangwal, et S. Ruj, ''On the economic significance of
ransomware campaigns : A Bitcoin transactions perspective,'' Comput.
Secur, vol. 79, pp. 162-189, nov. 2018.
[38] D. Y. Huang, M. M. Aliapoulios, V. G. Li, L. Invernizzi, E. Bursztein,
K. McRoberts, J. Levin, K. Levchenko, A. C. Snoeren, et D. McCoy,
' 'Tracking ransomware end-to-end,'' in Proc. IEEE Symp. Secur. Pri-
vacy (SP). New York, NY, États-Unis : IEEE Computer Society, mai
2018,
pp. 618-631.
[39] M. Paquet-Clouston, B. Haslhofer, et B. Dupont, ''Ransomware pay-
ments in the bitcoin ecosystem,'' J. Cybersecurity, vol. 5, no. 1, p. tyz003,
Jan. 2019.
[40] N. Kshetri et J. Voas, ''Do crypto-currencies fuel ransomware?'' (Les crypto-
monnaies alimentent-elles les ransomwares ?) IT Prof., vol. 19, no. 5, p. 11-
15, 2017.
[41] Bitcoin Mining Scams to Avoid (escroqueries au minage de bitcoins à
éviter). Accessed : 26 octobre 2021. [En ligne]. Disponible :
https://braiins.com/blog/bitcoin-mining-scams#:~:text=Slush%
20Pool%20is%20the%20oldest,require%20payments%20from%
20our%20users
[42] T. Moore et N. Christin, ''Beware the middleman : Empirical analysis of
Bitcoin-exchange risk,'' in Financial Cryptography and Data Secu- rity
(Lecture Notes in Computer Science), vol. 7859. Berlin, Allemagne :
148390 VOLUME 9, 2021
[44] W. Chen,
M. Bartoletti X.: Guo,
et al Z. Chen, Z.Scams
Cryptocurrency Zheng, et Y. Lu,
: Analyse et ''Phishing scam detection
perspectives
on Ethereum : Towards financial security for blockchain ecosystem,'' in
Proc. 29th Int. Joint Conf. Artif. Intell, juillet 2020,
pp. 4506-4512.
[45] E. Badawi, G.-V. Jourdan, G. Bochmann, et I.-V. Onut, ''An automatic
detection and analysis of the bitcoin generator scam,'' in Proc. IEEE Eur.
Symp. Secur. Privacy Workshops (EuroS PW), septembre 2020, pp. 407-
416.
[46] J. Rauchberger, S. Schrittwieser, T. Dam, R. Luh, D. Buhov,
G. Pötzelsberger, et H. Kim, ''The other side of the coin : A framework
for detecting and analyzing web-based cryptocurrency mining
campaigns,'' in Proc. 13th Int. Conf. Availability, Rel. Secur., août 2018,
pp. 18:1-18:10.
[47] H. L. J. Bijmans, T. M. Booij, et C. Doerr, ''Inadvertently making cyber
criminals rich : A comprehensive study of cryptojacking campaigns at
Internet scale,'' in Proc. USENIX Secur. Symp. Berkeley, CA, USA :
USENIX Association, 2019, pp. 1627-1644.
[48] J. Wu, J. Liu, W. Chen, H. Huang, Z. Zheng et Y. Zhang, ''Detecting mix-
ing services via mining bitcoin transaction network with hybrid motifs,''
IEEE Trans. Syst., Man, Cybern., Syst., accès anticipé, 21 janvier 2021,
doi : 10.1109/TSMC.2021.3049278.
[49] Définition de l'escroquerie par avance de frais du FBI. Accessed : 26
octobre 2021. [En ligne]. Disponible : https://www.fbi.gov/scams-and-
safety/common-scams-and- crimes/advance-fee-schemes
[50] R. Phillips et H. Wilder, ''Tracing cryptocurrency scams : Clustering
replicated advance-fee and phishing websites,'' in Proc. IEEE Int. Conf.
Blockchain Cryptocurrency, mai 2020, pp. 1-8.
[51] M. Paquet-Clouston, M. Romiti, B. Haslhofer, et T. Charvat, ''Spams
meet cryptocurrencies : Sextorsion in the bitcoin ecosystem,'' in Proc.
1st ACM Conf. Adv. Financial Technol., oct. 2019, pp. 76-88.
[52] F. Oggier, A. Datta, et S. Phetsouvanh, ' ' An ego network analysis of
sextortionists,'' Social Netw. Anal. Mining, vol. 10, no. 1, p. 44, déc.
2020.
[53] S. C. Baum, ''Cryptocurrency fraud : A look into the frontier of fraud,''
Honors theses, School Accountancy, Georgia Southern Univ.,
Statesboro, GA, USA, 2018.
[54] La fausse parodie d'Ico de Sec. Accessed : 26 octobre 2021. [En ligne].
Disponible : https://www.howeycoins.com/index.html
[55] T. Conlon et R. McGee, ''ICO fraud and regulation,'' in Batten- Corbet-
Lucey Handbooks in Alternative Investments. Berlin, Allemagne : De
Gruyter, 2021.
[56] M. Möser, R. Böhme, et D. Breuker, ''An inquiry into money laundering
tools in the bitcoin ecosystem,'' in Proc. APWG eCrime Researchers
Summit, septembre 2013, pp. 1-14.
[57] C. Brenig, R. Accorsi, et G. Müller, ''Economic analysis of cryptocur-
rency backed money laundering,'' in Proc. Eur. Conf. Inf. Syst. (ECIS),
2015, pp. 1-19.
[58] Y. J. Fanusie et T. Robinson, ''Bitcoin laundering : An analysis of illicit
flows into digital currency services,'' Center Sanctions Illicit Finance,
Elliptic, London, U.K., Tech. Rep. 2018. Accessed : 26 octobre 2021.
[59] Y. Hu, S. Seneviratne, K. Thilakarathna, K. Fukuda et A. Seneviratne,
' ' Characterizing and detecting money laundering activities on the
Bitcoin network'', CoRR, vol. abs/1912.12060, pp. 1-17, déc. 2019.
[60] M. Weber, G. Domeniconi, J. Chen, D. K. I. Weidele, C. Bellei,
T. Robinson, et C. E. Leiserson, ''Anti-money laundering in Bitcoin :
Experimenting with graph convolutional networks for financial
forensics,'' CoRR, vol. abs/1908.02591, pp. 1-7, Jul. 2019.
[61] J. Lorenz, M. I. Silva, D. Aparício, J. T. Ascens ao, et P. Bizarro,
''Machine learning methods to detect money laundering in the Bitcoin
blockchain in the presence of label scarcity,'' in Proc. Int. Conf. AI
Finance, 2020, pp. 23:1-23:8.
[62] (2019). Elliptique. [En ligne]. Disponible :
https://www.kaggle.com/ellipticco/ elliptic-data-set
[63] S. Godbole et S. Sarawagi, ''Discriminative methods for multi-labeled
classification,'' in Advances in Knowledge Discovery and Data Mining,
H. Dai, R. Srikant, et C. Zhang, Eds. Berlin, Allemagne : Springer, 2004,
pp. 22-30.
[64] M. Bartoletti, T. Cimoli, L. Pompianu, et S. Serusi, ''Blockchain for
social good : A quantitative analysis,'' in Proc. 4th EAI Int. Conf. Smart
Objects Technol. Social Good (Goodtechs), 2018, pp. 37-42.
[65] A. S. Podda et L. Pompianu, ''An overview of blockchain-based systems
and smart contracts for digital coupons,'' in Proc. IEEE/ACM 42nd Int.
Conf. Softw. Eng. Workshops, Jun. 2020, pp. 770-778.
[66] M. Bartoletti, S. Lande, L. Pompianu, et A. Bracciali, ''A general frame-
work for blockchain analytics,'' in Proc. 1st Workshop Scalable Resilient
Infrastructures Distrib. Ledgers, déc. 2017, pp. 7:1-7:6.
VOLUME 9, 2021 148391

MASSIMO BARTOLETTI est actuellement ANDREA LODDO est titulaire d'une licence,
professeur associé au département de d'une maîtrise et d'un doctorat de l'Université de
mathématiques et d'informatique de l'université Cagliari, obtenus respectivement en 2012, 2014 et
de Cagliari. Il est également cofondateur et 2019. Sa thèse de doctorat portait sur l'analyse et
codirecteur du Trustworthy Compu- tational la classification d'images de cellules sanguines
Societies Research Group, Il est actuellement professeur adjoint au
U n i v e r s i t é de Cagliari département de mathématiques et d'informatique
(http://tcs.unica.it), et fondateur du de l'université de Cagliari. Il est actuellement
Blockchain@Unica Laboratory professeur assistant au département de
(http://blockchain.unica.it), l'un des premiers mathématiques et d'informatique de
groupes de recherche aca- démique sur ces sujets l'u n i v e r s i t é d e Cagliari. Il est l'auteur de
en Italie. Il est 20 manuscrits scientifiques publiés dans des
est également directeur du nœud du Laboratoire national de cybersécurité revues à comité de lecture et dans des revues
de l'Université de Cagliari et membre principal du groupe de travail italien interdisciplinaires.
sur les technologies des grands livres distribués (http://dltgroup.dmi.unipg.it). des actes de conférences nationales liés à cette tâche. Ses recherches
Son activité de recherche concerne, en général, le développement d'outils et portent sur la vision par ordinateur, l'analyse d'images biomédicales, la
de techniques pour la spécification, l'analyse et la vérification des reconnaissance des formes et l'apprentissage automatique. Actuellement, il
propriétés des logiciels et des systèmes, à la fois d'un point de vue poursuit une activité de recherche sur les escroqueries cryptographiques, la
fondamental et d'un point de vue applicatif. Le problème spécifique abordé reconnaissance de l'activité humaine et l'analyse d'images biomédicales
par ses recherches est de savoir comment garantir des interactions sûres pour les systèmes d'aide au diagnostic.
entre des participants qui se méfient les uns des autres, au moyen de
contrats comportementaux. Ce problème a été abordé en développant
divers modèles pour les contrats (tels que les contrats intelligents basés sur
la blockchain, les types de session, les logiques, les structures
d'événements et les réseaux de Petri), et en réalisant des outils pour aider LIVIO POMPIANU a obtenu un doctorat en
les programmeurs (tels que les langages spécifiques au domaine, les mathématiques et en informatique à l'Université
analyses statiques et les intergiciels pour les interactions orientées vers les de Cagliari en 2018. Il est actuellement chercheur
contrats). Il a publié plus de 90 articles de recherche dans des revues à postdoctoral au département de mathématiques.
comité de lecture et lors de conférences et d'ateliers internationaux à et d'informatique, Université de Cagliari. Il est
comité de lecture. coauteur de plusieurs publications scientifiques.
Le professeur Bartoletti a été président, membre du comité de Ses recherches portent actuellement sur la
programme ou organisateur de plusieurs conférences et ateliers sécurité de l'information, l'analyse de la
internationaux, et examinateur externe pour plusieurs revues et blockchain, les contrats intelligents et les
conférences internationales. escroqueries à la crypto-monnaie.
STEFANO LANDE est titulaire d'une licence et SERGIO SERUSI est titulaire d'une licence et
d'une maîtrise (avec mention) en informatique et d'une maîtrise (avec mention) en informatique et
d'un doctorat en mathématiques et en d'un doctorat en mathématiques et en
informatique de l'université de Cagliari. informatique de l'université de Cagliari.
148392 VOLUME 9, 2021

Revues1 FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Revues1 FR

Transféré par

Droits d'auteur :

Formats disponibles

Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.

Visitez www.DeepL.com/pro pour en savoir plus.

Escroqueries sur les crypto-monnaies : Analyse

TERMES DE L'INDEX Bitcoin, blockchain, crypto-monnaie, fraudes.

investisseurs pour en tirer un avantage indu, suscitent de

caractéristiques les plus courantes pour les escroqueries

TABLEAU 1. Nombre de publications par type d'arnaque.

et bitcointalk.org, et 6 400 adresses non escroquées

utilisé un classificateur Random Forest sensible aux coûts,

VOLUME 9, 2021 148357

FIGURE 1. Schéma de Ponzi cryptographique (d'après https://bitcointalk.org/index.php?topic=633822.0).

exemple, les portefeuilles). En particulier, les crypto

FIGURE 2. L'écran de Wannacry demande un paiement.

Crypto loggers Ce type de logiciel malveillant tente de

surfe sur le web ou recherche des fichiers de mots de

VOLUME 9, 2021 148359

TABLEAU 2. Synthèse de la littérature sur les schémas de Ponzi.

mesuré que WannaCry a reçu un taux de paiement d'environ

payer les ransomwares sans approbation préalable. Enfin,

C. FAUX SERVICES DE CRYPTOGRAPHIE

VOLUME 9, 2021 148361

TABLEAU 3. Résumé de la littérature sur les logiciels malveillants.

FIGURE 3. Un exemple de faux service d'échange.

FIGURE 4. Faux mélange sur https://bitcoinmixer.eu/.

FIGURE 5 : Slush-pool est un exemple de faux minage qui se fait passer

Vasek et Moore [17] ont identifié 192 escroqueries sur

VOLUME 9, 2021 148363

de détection de l'exploitation minière frauduleuse. Le

D. ESCROQUERIES AUX AVANCES DE FRAIS

TABLEAU 4. Synthèse de la littérature sur les faux services de cryptographie.

d'échanges et que ces derniers recevaient plus de 67 % des

FIGURE 6. Faux largage de bitcoins sur elonmuskdrop.com.

contient 1 359 sites web de prépaiement. Enfin, ils ont

Dans les cas de chantage, les escrocs prétendent

VOLUME 9, 2021 148367

FIGURE 7. Un courriel de chantage typique.

a découvert qu'elle avait atteint 4 milliards d'USD de

Le blanchiment d'argent consiste à faire passer pour

VOLUME 9, 2021 148369

• BadBitcoin, un site web qui recueille les escroqueries

III. MATÉRIAUX ET MÉTHODES

FIGURE 9. Formulaire de signalement des escroqueries sur BadBitcoin.

Ethereum. À cette fin, le module complémentaire

VOLUME 9, 2021 148371

TABLEAU 5. Synthèse de la littérature sur le blanchiment de capitaux.

• un script qui télécharge une liste d'instantanés pour

FIGURE 10. Formulaire de signalement des escroqueries sur BitcoinAbuse.

base de données d'URL malveillantes, mais nous l'excluons

IV. COLLECTE DE DONNÉES SUR LES FRAUDES

A. COLLECTE DES ADRESSES DES ESCROQUERIES

VOLUME 9, 2021 148373

plupart des sites Web d'escroquerie ne sont plus en ligne et

3) Nous supprimons de l'ensemble de données les 167

FIGURE 11. Répartition des signalements entre les escroqueries.

B. COLLECTE DES ESCROQUERIES SIGNALÉES PAR L'URL

1) EXPLORATION D'ENSEMBLES DE DONNÉES

3) EXPLORATION D'ARCHIVES WEB

Pour classer les escroqueries signalées par les adresses, nous

V. CONCEPTION DU CLASSIFICATEUR D'ARNAQUES

A. CLASSIFICATION DES ESCROQUERIES SIGNALÉES PAR

B. CLASSIFICATION DES ESCROQUERIES SIGNALÉES PAR

VOLUME 9, 2021 148379

qu'escroqueries. En outre, comme le montre la figure 12a, la