Chargement des prix…
Zipp Zipp Faire de la publicité
S'inscrire Se connecter

Les 10 arnaques crypto les plus courantes (et comment les éviter)

Les arnaques crypto réutilisent les mêmes dix manuels année après année — rug pulls, kits de phishing, arnaques sentimentales, faux support, faux airdrops, SIM swaps. Apprenez à reconnaître chacune avant qu'elle ne vous coûte.

security Zipp · 10 min de lecture ·
Les 10 arnaques crypto les plus courantes (et comment les éviter)

Pourquoi ça compte

La plupart des pertes crypto retail ne viennent pas des krachs ni des exploits de smart contracts. Elles viennent des arnaques. Les schémas sont anciens, la technologie devient un peu plus léchée chaque année et les défenses sont gratuites — mais il faut quand même reconnaître la forme d'une attaque avant d'y répondre. Lire les dix schémas ci-dessous est l'une des heures les plus rentables que vous puissiez passer en crypto, parce que chaque schéma que vous intériorisez est une classe entière de pertes contre laquelle vous cessez d'être vulnérable.

Rien de cela n'est un conseil financier. C'est une carte pratique de la façon dont l'argent est réellement volé en crypto et quelles habitudes en arrêtent la plupart. Une grande partie s'applique aussi à comment stocker la crypto en sécurité — reconnaître les arnaques et stocker les actifs en sécurité sont les deux faces du même mur.

Les schémas les plus courants

1. Rug pulls

Une équipe anonyme lance un token, l'hype pendant des semaines ou des mois, recrute des fournisseurs de liquidité, puis retire toute la liquidité du pool et disparaît. Les tokens vont de 10$ à 0$ en minutes. Variantes : "slow rugs" où le dev sort d'une position sur des semaines en disant aux holders de continuer à acheter ; "hard rugs" où le smart contract a une porte dérobée pour mint des tokens infinis. Courant sur les nouvelles chaînes et les manies memecoin.

2. Phishing

Faux email, faux popup, fausse page de login imitant MetaMask, Phantom, Trezor, Ledger, un gros exchange ou un protocole DeFi populaire. La page demande votre seed phrase, votre clé privée ou de signer une transaction malveillante. Le site arrive généralement via une pub Google sponsorisée, un compte Twitter détourné, un post Discord payé ou un résultat de moteur de recherche au-dessus du vrai domaine.

3. Arnaques sentimentales ("pig butchering")

Un inconnu — souvent sur une app de rencontre, parfois via WhatsApp ou Telegram — construit une relation de plusieurs semaines ou mois avant de suggérer de rejoindre une plateforme crypto "à haut rendement" qu'il a découverte. La plateforme paraît réelle, montre de faux profits, vous laisse même retirer de petites sommes pour bâtir la confiance. Puis on vous pousse à déposer plus. Quand vous essayez de retirer le gros solde, on vous dit qu'il y a des "impôts" ou "frais" à payer d'abord. Les retraits n'ont jamais existé. C'est la plus grosse source unique de vol crypto en dollars globalement ; l'IC3 du FBI rapporte des milliards de dollars volés par an.

4. Faux support

Vous postez dans le Discord ou le Twitter d'un projet en disant que vous avez un problème. Un "agent de support" vous envoie un DM en quelques minutes pour aider. On vous envoie vers un lien de "validator" ou "migration" ou "verification". Le lien est une page de phishing ou demande votre seed phrase. Le vrai support ne DM jamais en premier. Jamais. Le plus gros indice est la rapidité de la réponse et la chaleur du ton.

5. Groupes pump-and-dump

Un groupe Telegram ou Discord payant dit coordonner des "signaux d'achat" pour des coins low-cap. Vous payez pour entrer. Les insiders accumulent, puis signalent au groupe, puis vendent au groupe pendant que le groupe pump le prix. La structure ne peut littéralement pas marcher pour les acheteurs, puisque ceux qui reçoivent le signal le plus tôt sont ceux qui vident leurs sacs dans le pump. Les "groupes pump" sont une forme organisée de vol.

6. Faux airdrops et giveaways

Un tweet d'un faux compte "@elonmusk" ou "@VitalikButerin" annonce que vous pouvez envoyer 1 ETH et recevoir 2 ETH en retour. Un site dit offrir un airdrop gratuit aux wallets qui se connectent et "vérifient". Un email dit que votre wallet est éligible pour X tokens. Connecter le wallet signe une transaction qui le vide ; "vérifier" expose votre seed phrase ; envoyer ETH à l'adresse du "giveaway" envoie juste ETH à un voleur.

7. SIM swaps

Un attaquant convainc votre opérateur mobile de porter votre numéro vers une SIM qu'il contrôle, souvent via social engineering d'un agent du service client. Ils utilisent ensuite 2FA SMS pour prendre votre email, puis vos comptes exchange. Défense : activez une protection anti SIM-swap ou un PIN de port-out chez votre opérateur, et utilisez 2FA par app (Authy, Aegis, clé matérielle) plutôt que SMS pour tout ce qui est important.

8. Approbations malveillantes (wallet drainers)

Vous visitez un site qui semble légitime (page "claim" fausse, faux DEX, faux mint NFT). Le site vous demande de signer une transaction. La transaction n'est pas un paiement — c'est une approbation token illimitée qui laisse l'attaquant déplacer vos tokens de votre wallet quand il veut. Vous voyez le popup, vous signez et vos fonds drainent sur les minutes ou semaines suivantes. Cette catégorie est si répandue qu'elle mérite sa page : qu'est-ce qu'un wallet drainer.

9. Faux wallets et fausses apps

Les app stores hébergent périodiquement de fausses versions de Trust Wallet, MetaMask, Exodus, Phantom, etc. La fausse app enregistre votre seed phrase à la première utilisation et la transmet à l'attaquant. Variantes : fausses extensions Chrome et faux installeurs desktop. Téléchargez toujours le logiciel wallet depuis le site officiel (lié depuis les réseaux vérifiés), jamais depuis un résultat de recherche, une pub ou un lien de chat.

10. Deepfakes IA et usurpation

La plus récente. Vidéo et voix générées par IA d'Elon Musk, Michael Saylor, Vitalik Buterin ou du PDG de votre exchange faisant la promo d'un giveaway "temps limité", d'une "migration" d'urgence ou d'une opportunité d'investissement. Parfois le deepfake est dans un livestream épinglé à un compte YouTube détourné. La qualité visuelle et audio est désormais assez bonne pour que vous ne puissiez pas distinguer sur un clip de 30 secondes. Défense : toute vidéo qui promeut "envoie ETH, reçois ETH" ou une action urgente est une arnaque peu importe qui semble le dire.

Drapeaux rouges / checklist

Les schémas ci-dessus partagent un petit ensemble de drapeaux rouges. Si vous en voyez deux ou plus dans la même situation, traitez-la comme une arnaque par défaut :

  • Urgence. "Plus que 24 heures", "places limitées", "l'équipe migre maintenant". Les vraies opérations crypto dépendent rarement de votre action en minutes.
  • Contact non sollicité. Un DM, email ou appel que vous n'avez pas initié. Surtout s'il offre de l'aide juste quand vous avez posté à propos d'un problème.
  • Demande la seed phrase ou la clé privée. Aucun acteur légitime — wallet, exchange, dépositaire, support, fabricant de hardware — ne demandera jamais. Les partager est toujours la fin de vos fonds.
  • Rendements garantis. Tout ce qui promet un rendement fixe, élevé et garanti est une arnaque ou est sur le point d'en devenir une. Les vrais rendements fluctuent et portent un risque visible.
  • Pression à télécharger un logiciel. Surtout depuis un partenaire de chat, une session de partage d'écran ou un lien "support".
  • L'adresse paraît similaire mais est fausse. Vérifiez toujours les 4 premiers et derniers caractères avant d'envoyer ; les hijackers de presse-papiers échangent les adresses.
  • Escalade hors plateforme. Une conversation qui a commencé sur une app de rencontre ou chat essaie de vous emmener vers une plateforme d'investissement ou app que vous n'avez jamais entendue.
  • Rendement étrangement élevé sans gas. Un nouveau "protocole DeFi" ou "claim d'airdrop" offrant 10x ce que paient les protocoles connus est presque toujours un piège draineur.

Que faire si vous avez été touché

Si une wallet est compromise, chaque seconde compte. Manuel standard :

  1. Bougez ce que vous pouvez. Envoyez les tokens restants vers une nouvelle wallet (nouvelle seed phrase) immédiatement. L'attaquant scripte en général ; plus vous bougez vite, plus vous sauvez.
  2. Révoquez les approbations. Utilisez un service comme revoke.cash (ou le gestionnaire intégré de votre wallet) sur la wallet compromise pour révoquer chaque approbation active. Cela arrête spécifiquement la catégorie wallet drainer.
  3. Traitez la wallet compromise comme brûlée pour toujours. Si une seed phrase a été exposée, aucune rotation de clé n'aide — l'attaquant a la wallet maintenant et pour toujours. Ne remettez pas de fonds dedans.
  4. Documentez. Capturez le site malveillant, l'historique de chat, les transactions impliquées. Vous en aurez besoin pour tout signalement ou réclamation.
  5. Signalez aux autorités locales et à la plateforme. Déposez un signalement à la police locale, IC3 (US), Action Fraud (UK) ou équivalent. Signalez les adresses des arnaqueurs aux firmes de chain analytics (Chainalysis, TRM Labs) ; elles peuvent finir blacklistées et limiter le cashout. La récupération est rare mais signaler est la seule voie.
  6. Méfiez-vous des "arnaques de récupération". Quelques jours après l'arnaque, vous recevrez des DM de comptes qui prétendent pouvoir récupérer votre crypto volée contre des frais. C'est en soi une arnaque. Il n'existe essentiellement pas de service de récupération payant légitime pour des transferts blockchain irréversibles.

Comment rester protégé

  • Utilisez un wallet matériel pour des soldes significatifs. La plupart des arnaques requièrent soit une seed phrase soit une signature de transaction malveillante ; un wallet matériel protège les deux, surtout si vous lisez chaque approbation sur l'écran de l'appareil.
  • Ayez une séparation "chaud" et "froid". Gardez de petites sommes dans votre wallet d'interaction (celle qui visite des sites et signe DeFi). Gardez les soldes significatifs dans un wallet matériel qui ne se connecte jamais à des sites random.
  • Bookmarkez les URLs officielles. N'atteignez jamais un wallet, exchange ou protocole DeFi via recherche ou lien social. Bookmarkez les vrais domaines et utilisez le bookmark.
  • Utilisez 2FA par app, pas SMS. SMS est la surface SIM swap. Authy, Aegis, Google Authenticator ou une clé matérielle (YubiKey, Ledger) sont nettement plus sûrs.
  • Utilisez un mot de passe unique fort et un gestionnaire. Réutiliser le même mot de passe entre exchanges, c'est comment des dizaines de comptes se font drainer depuis une seule base de données fuitée.
  • Lisez chaque popup wallet. Si une transaction demande à dépenser plus que ce que vous vouliez, ou demande une approbation illimitée d'un token, refusez.
  • Ralentissez. La défense la plus efficace, c'est de traiter toute situation crypto urgente comme une arnaque par défaut jusqu'à vérification par canal indépendant. "Dormir dessus" défait plus d'attaques que n'importe quel produit.

Pour le traitement plus large de la garde sécurisée, voir comment stocker la crypto en sécurité ; pour la catégorie spécifique de approval-phishing qui a le plus grandi en 2024-2026, voir qu'est-ce qu'un wallet drainer. Rien de cela n'est un conseil financier. C'est le playbook de scam que vous devriez connaître avant de cliquer sur "signer".

Surveillez les alertes, surveillez les nouvelles

La plupart des grandes campagnes — vagues de wallet drainer, deepfakes de faux giveaways, fausses usurpations d'exchanges — apparaissent dans les manchettes de sécurité des heures avant d'atteindre le grand public. Zippfeed suit les manchettes sécurité et grands tokens avec un score de sentiment et d'importance, pour que vous voyiez les campagnes actives tôt et sachiez quels sites ou apps éviter cette semaine — utile que vous teniez des soldes significatifs, exploriez de nouveaux protocoles DeFi ou cherchiez juste à suivre à quoi ressemblent les nouveaux schémas d'attaque.

Questions fréquemment posées

Quelle est l'arnaque crypto la plus courante ?
En volume dollars, les arnaques sentimentales / pig-butchering (longues relations qui déplacent les victimes vers de fausses plateformes d'investissement) sont la plus grande catégorie unique globalement — des milliards de dollars par an selon le FBI. En nombre d'incidents, phishing et transactions d'approbation malveillantes (wallet drainers) sont plus fréquents. Presque chaque arnaque entre dans l'un d'une dizaine de schémas réutilisables.
Comment reconnaître une arnaque crypto ?
La plupart partagent un petit ensemble de drapeaux rouges : urgence, contact non sollicité, demande de seed phrase ou clé privée, rendements élevés garantis, pression à télécharger un logiciel, popups wallet suspects demandant une approbation illimitée. Traiter deux quelconques ensemble comme une arnaque par défaut évite la plupart des pertes. La plus grande défense est de ralentir.
Peut-on récupérer de la crypto volée ?
La récupération est rare. Les transactions blockchain sont irréversibles, les arnaqueurs bougent les fonds via mixers et bridges vite, et la police a peu d'outils entre juridictions. Signaler aux autorités, exchanges et firmes de chain analytics vaut la peine — occasionnellement des adresses sont gelées sur des exchanges et une récupération partielle est possible. Les "services de récupération" annoncés après une arnaque sont eux-mêmes presque toujours des arnaques.
Comment protéger ma crypto des arnaques ?
Utilisez un wallet matériel pour des soldes significatifs, séparez les fonds entre un petit wallet chaud pour l'usage quotidien et un wallet froid pour le stockage, bookmarkez les URLs officielles (jamais la recherche), utilisez 2FA par app ou matériel (jamais SMS), utilisez des mots de passe uniques avec un gestionnaire, lisez chaque approbation et traitez tout urgent comme une arnaque jusqu'à vérification indépendante. Rien de cela n'est un conseil financier.

Guides connexes