Phishing dans le Web3 : Draineurs de portefeuilles et arnaques par signature

En novembre 2025, plus de 12 millions de dollars ont été volés en une seule journée à travers des attaques de phishing ciblant les portefeuilles crypto. Ce n’est pas une erreur de logiciel. Ce n’est pas un hack de blockchain. C’est vous. Vous avez cliqué sur un bouton. Et en moins de trois secondes, tout votre argent a disparu.

Comment un simple clic peut vider votre portefeuille

Les attaques de phishing dans le Web3 ne ressemblent à rien de ce que vous avez connu avec les emails classiques. Pas de fautes d’orthographe. Pas de messages urgents en anglais mal traduit. Rien de ce qui vous ferait douter. Ici, tout est parfait. Une interface qui ressemble à 100 % à Uniswap. Un message qui dit : « Approuver l’accès au token » - exactement ce que vous faites chaque semaine. Sauf que cette fois, ce n’est pas un simple accès. C’est une clé maîtresse qui donne aux pirates le contrôle total de votre portefeuille.

Le mécanisme est simple : quand vous signez une transaction dans MetaMask ou un autre portefeuille, vous autorisez un contrat intelligent à effectuer des actions. Dans une attaque classique, ce contrat vous demande d’approuver 100 tokens de DAI. Dans une attaque de draineur, il vous demande d’approuver « tout ce que vous avez ». Et vous, vous cliquez sur « Signer » sans lire la petite ligne en dessous.

Le résultat ? En 3,2 secondes, tous vos ETH, vos stablecoins, vos NFT, vos tokens rares - tout est transféré vers un portefeuille contrôlé par les attaquants. Et comme les transactions blockchain sont irréversibles, il n’y a pas de « remboursement ». Pas de banque pour intervenir. Pas de service client qui peut annuler.

Les deux pièges les plus courants : draineurs et signatures en série

Il existe deux types principaux d’arnaques aujourd’hui, et ils évoluent rapidement.

Les draineurs de portefeuille sont des scripts malveillants intégrés dans des sites web falsifiés. Quand vous connectez votre portefeuille à un faux dApp - par exemple, un simulateur de staking qui ressemble à Coinbase Earn - le script déclenche automatiquement une série de transactions. Il ne vous demande même pas de confirmer chaque transfert. Il les enchaîne toutes en arrière-plan. Certains peuvent vider un portefeuille de 50 000 $ en moins de 10 secondes.

Les arnaques par signature utilisent une nouvelle technique appelée EIP-7702. Au lieu d’une seule autorisation, elles regroupent plusieurs actions dans une seule signature : « approuver le token », « transférer 1 ETH », « transférer tous les NFT », « autoriser un nouveau portefeuille de récupération ». Vous voyez un seul bouton : « Approuver ». En réalité, vous venez de donner votre carte bancaire, votre code PIN, et votre clé de maison en une seule action.

En août 2025, 48,7 % des pertes totales en Web3 provenaient de ces deux types d’attaques. Et ce n’est pas une coïncidence. Les attaquants ont appris que les utilisateurs ne lisent pas les détails des transactions. Ils comptent sur l’habitude, la pression, et la confiance aveugle.

Comment les pirates font pour que tout semble légitime

Les attaques les plus efficaces ne viennent pas de sites web malveillants évidents. Elles viennent de liens partagés sur Discord, de notifications dans des applications de messagerie, ou même de faux tweets vérifiés.

Un attaquant peut copier l’interface de LooksRare en moins de 48 heures. Il utilise des outils open-source gratuits sur GitHub - il y en a plus de 1 200 actifs en 2025. Il ajoute une petite touche : « Cette offre expire dans 2 heures » ou « Seuls les 100 premiers participants reçoivent 100 $ en USDC ». Vous êtes pressé. Vous voulez profiter de l’offre. Vous ne vérifiez pas l’adresse du contrat. Vous ne regardez pas les détails de la signature. Et vous signez.

Les attaquants utilisent aussi l’IA pour personnaliser leurs attaques. Si vous avez récemment échangé des tokens sur PancakeSwap, vous allez recevoir une fausse notification disant : « Votre transaction a échoué. Cliquez ici pour la réessayer. » Le site ressemble à PancakeSwap. L’URL est presque identique. La seule différence ? Le contrat derrière est un draineur.

Une étude de CertiK montre que 73 % des utilisateurs ne peuvent pas distinguer un site frauduleux d’un site légitime après avoir vu les deux pendant 10 secondes. Même les utilisateurs expérimentés tombent dedans.

Main cliquant sur un bouton 'Signer' qui libère une vague d'actifs crypto vers un vortex d'arnaque.

Les portefeuilles les plus ciblés - et pourquoi

Tous les portefeuilles ne sont pas égaux. Les attaquants ciblent d’abord ceux qui sont les plus faciles à exploiter.

MetaMask : 63 % des attaques. Pourquoi ? Parce que c’est le plus utilisé. Et la plupart des utilisateurs n’activent jamais la simulation de transaction.
WalletConnect : 28 % des attaques. Souvent utilisé sur les applications mobiles, où il est plus difficile de voir les détails de la signature.
Portefeuilles matériels : 9 % des attaques. Même les Ledger et Trezor ne sont pas à l’abri si vous connectez votre appareil à un ordinateur infecté ou si vous signez une transaction via un navigateur compromis.

Le plus inquiétant ? Les attaques ne visent plus seulement les petits portefeuilles. Les « whales » (grosses poches) sont maintenant la cible principale. En août 2025, un seul attaquant a volé 3,08 millions de dollars en une seule opération en ciblant un utilisateur qui avait 12 ETH dans son portefeuille. Il a utilisé un script qui a analysé son historique de transactions, puis a créé une fausse interface de retrait de staking qui correspondait exactement à ses habitudes.

Comment vous protéger - vraiment

Protéger votre portefeuille dans le Web3, ce n’est pas une question de logiciel. C’est une question d’habitude.

1. Activez la simulation de transaction dans MetaMask

C’est la mesure la plus efficace que vous pouvez prendre. MetaMask propose une fonctionnalité appelée « Transaction Simulation ». Elle bloque automatiquement les transactions qui tentent d’accéder à des contrats connus comme draineurs. Selon CertiK, cette fonctionnalité bloque 67 % des attaques de draineur. Pour l’activer : allez dans les paramètres > Sécurité > Activer « Simuler les transactions ».

2. Ne signez jamais rien sans vérifier l’adresse du contrat

Avant de cliquer sur « Signer », regardez l’adresse du contrat. Elle doit être longue. Elle doit commencer par 0x. Et elle doit être exactement celle du projet que vous utilisez. Si vous voyez une adresse comme 0x7a3...f9c au lieu de 0x1f9...a5b (l’adresse officielle de Uniswap), arrêtez-vous. Copiez-collez l’adresse officielle sur Etherscan ou Arbiscan pour la vérifier.

3. Utilisez un outil comme Blockaid ou ScamSniffer

Blockaid est une extension de navigateur qui analyse les sites en temps réel. Elle bloque les sites connus comme frauduleux avant même que vous ne connectiez votre portefeuille. Selon les tests de CertiK, elle réduit les tentatives de phishing de 43 %. ScamSniffer, lui, intègre son API directement dans certains portefeuilles. En août 2025, il a bloqué 28 500 tentatives d’attaque.

4. Créez une liste d’adresses approuvées

Si vous utilisez régulièrement certains dApps - comme Aave, Curve, ou Lido - notez leurs adresses officielles dans un document sécurisé. Avant chaque transaction, vérifiez que vous êtes sur l’adresse correcte. Même si le site semble légitime, si l’adresse ne correspond pas, ne signez pas.

5. Ne cliquez jamais sur un lien dans un DM ou un tweet

Les attaquants utilisent les réseaux sociaux pour cibler les utilisateurs. Si quelqu’un vous envoie un lien privé sur Discord ou Twitter pour « récupérer vos récompenses », c’est une arnaque. Les projets légitimes ne vous contactent jamais en privé.

Les erreurs qui coûtent cher

Voici les trois erreurs les plus courantes, d’après les rapports de ScamSniffer et les témoignages sur Reddit :

Confondre « Approuver » et « Signer » : « Approuver » signifie donner accès à un token. « Signer » signifie exécuter une transaction. Beaucoup de victimes pensent qu’elles approuvent un token, mais elles signent une transaction de transfert.
Ne pas vérifier l’URL : uniswap.org n’est pas uniswap.app. Et uniswap.exchange est une arnaque.
Se fier à la « vérification » de la plateforme : Si un site dit « Vérifié par Binance », ce n’est pas une garantie. Les attaquants copient les logos, les badges, les couleurs. La seule vérification fiable, c’est l’adresse du contrat.

Un utilisateur sur Reddit, u/EthereumHolder99, a perdu 2,3 ETH (4 600 $) en 5 secondes parce qu’il a cru qu’il approuvait une transaction pour Uniswap. En réalité, il signait un contrat qui transférait tout son portefeuille.

Silhouette humaine tenant une clé de signature devant une porte menant à un vide rempli de biens volés.

Le futur : l’IA va rendre tout ça encore plus dangereux

Les attaques de phishing ne vont pas disparaître. Elles vont s’améliorer.

Les chercheurs de CertiK prévoient pour 2026 des campagnes d’IA qui analysent votre historique de transactions et créent des arnaques sur mesure. Si vous avez acheté un NFT de Bored Ape, vous allez recevoir un message disant : « Votre NFT est en danger. Veuillez signer pour le déplacer vers un portefeuille sécurisé. » Le site sera une copie parfaite de OpenSea. Le design, les couleurs, les animations - tout sera identique.

Les solutions viennent lentement. Ethereum Name Service (ENS) pourrait permettre de vérifier les adresses par nom (ex : uniswap.eth), ce qui rendrait les faux sites plus faciles à repérer. D’autres projets comme WalletGuard proposent une analyse en temps réel des transactions, capable de bloquer 82 % des draineurs avant qu’ils ne soient exécutés.

Le problème ? Seulement 28 % des utilisateurs actifs utilisent la simulation de transaction. La plupart pensent que « c’est trop compliqué » ou « je n’ai pas beaucoup d’argent ». Mais c’est exactement ce que les attaquants espèrent.

Que faire si vous avez déjà été victime ?

Si vous avez signé une transaction suspecte, arrêtez tout. Ne touchez plus à votre portefeuille. Ne connectez plus votre portefeuille à aucun site. Ne déplacez pas vos fonds.

Consultez immédiatement Etherscan ou Arbiscan pour voir si des transactions ont été effectuées. Si oui, il est trop tard pour les annuler. Mais vous pouvez empêcher d’autres pertes :

Déconnectez votre portefeuille de tous les sites.
Créez un nouveau portefeuille.
Transférez tous vos fonds restants dans le nouveau portefeuille.
Ne réutilisez jamais l’ancien portefeuille.

Et surtout : ne payez personne pour « récupérer » vos fonds. Il n’y a pas de service de récupération. Ce sont d’autres arnaques.

Le message final : la sécurité est une habitude, pas un outil

Le Web3 vous donne le contrôle. Mais ce contrôle ne vaut rien si vous donnez votre clé à n’importe qui. La technologie n’est pas le problème. C’est l’humain. C’est la confiance aveugle. C’est la rapidité. C’est le fait de ne jamais lire les détails.

La bonne nouvelle ? Vous pouvez vous protéger. Il suffit de prendre 10 secondes avant chaque signature. De vérifier l’adresse. D’activer la simulation. De ne jamais cliquer sur un lien privé.

Les attaquants ne cherchent pas à pirater la blockchain. Ils cherchent à pirater votre habitude. Changez vos habitudes. Et vous serez en sécurité.

RÉPONSES

Postcrossing Girl
novembre 27, 2025 AT 02:15

C’est fou comment on se fait avoir avec une simple habitude… J’ai longtemps cru que si un site ressemblait à Uniswap, c’était forcément légitime. J’ai appris à vérifier l’adresse du contrat après avoir failli perdre 1,2 ETH l’année dernière. Maintenant, je prends 15 secondes avant chaque signature. C’est pas compliqué, c’est juste une question de respect pour son propre argent.

On a tous un jour cliqué trop vite. Ce qui compte, c’est d’en tirer une leçon. Merci pour ce rappel clair.

James Gibson
novembre 27, 2025 AT 20:41

La précision de cet article est remarquable. Il met en lumière un danger systémique qui ne repose pas sur une vulnérabilité technique, mais sur un défaut cognitif humain : la confiance aveugle envers des interfaces familières. Les attaquants exploitent la mémoire procédurale - cette automatisation des gestes quotidiens qui nous rend vulnérables. La simulation de transaction dans MetaMask n’est pas une option, c’est une exigence minimale de sécurité. Toute personne impliquée dans l’écosystème Web3 devrait la considérer comme aussi essentielle que le mot de passe.

La référence à EIP-7702 est particulièrement pertinente : elle illustre la sophistication croissante des attaques, qui se fondent désormais sur l’architecture même de la blockchain pour contourner les protections utilisateur.

Thierry Brunet
novembre 28, 2025 AT 02:31

Les gens sont des cons ils croient que la blockchain c’est magique mais non c’est juste un logiciel qui fait ce qu’on lui dit de faire et si tu signes un truc qui vide ton portefeuille c’est pas la faute de la tech c’est ta faute à toi qui clique comme un gamin sur un lien Discord

Et puis arrêtez de parler de « simulation de transaction » comme si c’était une révolution c’est juste une fonction de base qui devrait être activée par défaut depuis 2021 j’ai vu des wallets plus anciens qui faisaient ça mieux que MetaMask aujourd’hui

Vous êtes tous trop doux avec les attaquants ils sont pas des génies ils sont juste plus malins que vous et vous vous laissez faire