Attaques de phishing crypto : comment elles fonctionnent et comment les stopper

Ce qu'est réellement une attaque de phishing crypto

Une attaque de phishing crypto est une tentative d'ingénierie sociale conçue pour amener un utilisateur à signer une transaction blockchain, à approuver une autorisation de jeton ou à transmettre une phrase de récupération. L'attaquant a rarement besoin de trouver un bug logiciel. La blockchain elle-même, qu'elle fonctionne sur Bitcoin, Ethereum ou Solana, fonctionne exactement comme prévu. La victime autorise simplement une transaction qu'elle ne comprend pas entièrement.

C'est l'aspect qui déroute les nouveaux venus. Si la chaîne est sécurisée et que le portefeuille est chiffré, comment l'argent peut-il disparaître ? La réponse honnête est que la cryptographie protège la clé privée d'un portefeuille, mais qu'elle ne peut pas empêcher une personne de signer volontairement le mauvais message. Le phishing exploite l'écart entre ce à quoi une transaction ressemble et ce qu'elle fait réellement on chain.

Le phishing en crypto est aussi exceptionnellement définitif. Une banque peut annuler un transfert frauduleux. Une blockchain ne le peut pas, par conception. C'est tout l'intérêt de l'argent décentralisé, et c'est précisément pourquoi les escrocs l'adorent. Une fois qu'une transaction de drainer est confirmée, les fonds sont transférés dans le portefeuille de l'attaquant, et la récupération dépend de la bonne volonté de services centralisés qui peuvent exister ou non en aval.

Les vrais risques : ce qui tourne mal en pratique

Avant de parler du fonctionnement du phishing, il convient d'être direct sur ce qui est en jeu, car les modes d'échec ne sont pas abstraits.

Vidage complet du portefeuille. Une signature réussie peut autoriser un smart contract à déplacer tous les jetons et NFT de votre portefeuille, et pas seulement un seul jeton. C'est le pire scénario, et le plus courant en 2024 et 2025. Les victimes se connectent souvent en s'attendant à voir leur portefeuille et trouvent un portefeuille vide quelques minutes après avoir signé.

Vol spécifique à un jeton. Certaines autorisations sont limitées à un seul jeton ERC-20. L'utilisateur peut conserver la majeure partie de son solde, mais perdre l'actif spécifique de grande valeur ciblé par l'attaquant, souvent un stablecoin comme USDT ou USDC, ou un jeton populaire comme ETH ou SOL.

Vols répétés à partir de la même autorisation. C'est l'aspect que les débutants négligent. Une autorisation n'est pas un événement ponctuel. Une fois que vous signez setApprovalForAll sur une collection de NFT, par exemple, l'attaquant peut rappeler cette autorisation encore et encore jusqu'à ce qu'elle soit révoquée. De nombreuses victimes se font vider une seconde fois parce qu'elles n'ont jamais révoqué la signature initiale.

Perte de la phrase de récupération. Une catégorie de phishing plus restreinte, mais plus catastrophique, vise directement la phrase de récupération. De fausses applications de portefeuille, de faux agents du « support » et des extensions de navigateur malveillantes peuvent toutes capturer les 12 ou 24 mots qui sauvegardent entièrement un portefeuille. Avec ces mots, l'attaquant n'a besoin d'aucune signature. Il se contente de restaurer le portefeuille sur son propre appareil et de le vider.

Atteinte à la réputation et compromission du compte. Sur des chaînes comme Ethereum, signer un message malveillant peut publier une déclaration on chain, comme « je suis un escroc », ou accorder à un attaquant un jeton lui permettant de vous usurper dans certaines applications. Ces cas sont plus rares, mais ils montrent à quel point l'abus de signature peut être flexible.

Le résumé honnête : le phishing est la cause la plus fréquente de pertes crypto individuelles, et ces pertes sont généralement totales et irréversibles. Ce n'est pas une menace marginale.

L'anatomie d'une attaque de phishing crypto moderne

Le phishing crypto moderne se vend comme un produit. Des drainer kits comme Pink Drainer, Inferno Drainer et Angel Drainer sont proposés sur des forums du dark web sous forme d'abonnements, avec tableaux de bord, support client et accords de partage des bénéfices. La barrière à l'entrée pour un futur escroc est étonnamment basse, et c'est pourquoi le volume des attaques ne cesse d'augmenter.

Malgré la diversité, la kill chain suit une séquence prévisible. Comprendre chaque étape est la seule façon fiable de la briser, car les attaquants gagnent ou perdent au moment de la signature.

Étape 1 : l'appât

Toute attaque commence par une raison de cliquer. Les appâts les plus courants dans le cycle actuel sont :

• De faux airdrops. Un message affirme que vous êtes éligible à un drop de tokens gratuit de la part d'un vrai projet. Le lien vous amène vers un site visuellement identique à celui du vrai projet. Les sites de faux airdrops et les drainer kits sont souvent捆绑在一起, de sorte qu'un seul kit de phishing peut générer une page « claim », un contrat de token et un drainer en une seule fois.
• Attaques par empoisonnement d'adresse. Vous envoyez des cryptos à une adresse familière, puis recevez plus tard une minuscule transaction de « dust » depuis une adresse qui commence et finit par les mêmes caractères. L'attaquant espère que, lorsque vous copierez l'adresse depuis votre historique pour envoyer un paiement plus important, vous copierez celle empoisonnée. La chaîne elle-même n'est pas compromise, c'est votre propre historique de transactions qui est utilisé comme arme.
• Extensions de navigateur malveillantes. Des extensions qui prétendent être des assistants de portefeuille, des protecteurs MEV ou des trackers de prix peuvent lire tout ce qui se trouve sur les pages que vous consultez. Lorsque vous connectez un portefeuille, l'extension peut réécrire les données de transaction à la volée, en remplaçant l'adresse de destination ou le contrat que vous approuvez avant que vous ne signiez.
• Comptes Discord, Telegram ou X compromis. De vrais projets se font pirater. Lorsqu'un compte officiel d'un projet publie un lien « réclamez votre airdrop », même les utilisateurs prudents cliquent. Le lien est réel, le post est réel, et le site est faux.
• Annonces sur les moteurs de recherche. Les attaquants achètent des annonces pour des requêtes comme « Uniswap login » ou « MetaMask support ». L'annonce apparaît en haut de Google, au-dessus du vrai résultat. Le lien dans l'annonce pointe vers un domaine ressemblant.

Étape 2 : le site leurre

L'appât vous amène vers un site web visuellement identique à un vrai site. Le domaine est le seul élément distinctif, et il est conçu pour tromper un regard rapide. uniswаp.org utilise un « a » cyrillique. metamask-io.com ajoute un trait d'union et un suffixe. La page vous invite à connecter un portefeuille, ce qui semble normal car chaque dApp légitime fait la même chose.

À ce stade, aucun fonds n'a été déplacé. Votre portefeuille n'est pas encore compromis. L'attaquant a seulement placé une fausse porte devant vous. Le fait que vous la franchissiez dépend de ce qui se passe ensuite.

Étape 3 : la requête de signature, là où vit la kill chain

C'est le moment où tout se décide. Connecter un portefeuille à un site ne déplace pas de fonds. Ce qui déplace des fonds, c'est la signature d'une transaction ou d'un message. Les drainers sont conçus pour rendre cette signature anodine, afin que l'utilisateur signe sans réfléchir.

Les types de signatures les plus couramment détournés en 2024 et 2025 sont :

• permit et permit2. Une signature off-chain qui permet à un contrat de retirer un token spécifique de votre portefeuille plus tard, sans que vous signiez une autre transaction. L'interface du portefeuille présente souvent cela comme une « gasless approval » et masque les détails techniques. La signature est valide indéfiniment et est difficile à révoquer.
• setApprovalForAll sur ERC-721 ou ERC-1155. Cela accorde à un contrat la permission de déplacer tous les NFT d'une collection depuis votre portefeuille. L'interface du portefeuille le décrit généralement clairement, mais la plupart des utilisateurs ne savent pas ce que signifie setApprovalForAll, et les attaquants comptent là-dessus.
• increaseAllowance sur des tokens ERC-20. Le classique « infinite approval ». Vous signez une fois, et un contrat malveillant peut vider ce token spécifique de votre portefeuille à tout moment dans le futur.
• eth_sign et personal_sign. Une requête de signature vierge. Le portefeuille affiche un avertissement lisible, mais on demande à l'utilisateur de signer un hash. Le message signé peut parfois être rejoué comme une transaction, selon la chaîne et la version du portefeuille.

C'est le problème du signez-ce-que-vous-voyez (ou signez-ce-que-vous-ne-voyez-pas). Les interfaces des portefeuilles se sont améliorées, mais elles ne peuvent toujours pas traduire pleinement un appel de smart contract en langage clair. Une requête qui indique « set approval for all tokens in collection X to address Y » est techniquement exacte. C'est aussi exactement ce dont un attaquant a besoin. Prendre l'habitude de lire le nom de la méthode, l'adresse du spender et le contrat appelé est la défense la plus utile qu'un utilisateur puisse construire.

Étape 4 : le drain

Une fois la signature malveillante obtenue, l'attaquant appelle la fonction approuvée. En un seul bloc, le contenu du portefeuille est transféré vers l'adresse de l'attaquant. La victime peut même ne pas voir la transaction sortante avant qu'elle ne soit confirmée. Sur des chaînes comme Solana, où les transactions peuvent regrouper plusieurs actions, le drain peut vider un portefeuille en une seule signature qui ressemble à un simple « claim ».

Après le drain, l'attaquant fait généralement transiter les fonds via un mixer ou un bridge cross-chain, puis via un exchange sans KYC, et la piste se refroidit. Certains fonds sont parfois gelés lorsqu'ils touchent un exchange régulé, mais la plupart ne le sont pas. C'est pourquoi la prévention est l'enjeu principal.

Pourquoi le phishing fonctionne si bien, même sur des utilisateurs expérimentés

La raison pour laquelle le phishing continue de réussir dans la crypto n'est pas que les utilisateurs sont négligents. C'est que les défenses sont réellement difficiles à mettre en place.

La tromperie visuelle est facile. Un clone parfait d'un vrai site coûte quelques centaines de dollars à un escroc. L'asymétrie est brutale : un utilisateur doit être vigilant 100 % du temps, un attaquant n'a besoin de gagner qu'une seule fois.

L'UI d'un portefeuille n'est pas un relevé bancaire. Lorsque vous signez une transaction, vous voyez généralement un nom de méthode, une estimation de gas et un champ de données hexadécimal. Les données hexadécimales sont la partie qui décrit réellement ce que vous autorisez, et presque personne ne les lit. Le portefeuille vous montre assez pour signer, pas assez pour comprendre.

Les adresses ne sont pas lisibles par un humain. Une adresse Ethereum ou Solana est une longue chaîne de caractères hexadécimaux ou de bruit en base58. Les attaques par empoisonnement d'adresse fonctionnent précisément parce que personne ne peut distinguer visuellement deux adresses qui ne diffèrent que par un seul caractère au milieu.

Le contexte social est exploité. Le phishing arrive souvent au milieu d'une vraie conversation, dans un vrai Discord, depuis le compte compromis d'un vrai ami. La confiance est empruntée.

Le FOMO et l'urgence. « Réclamez dans les 2 prochaines heures sinon votre allocation est perdue » est une tactique de pression classique. Cela fonctionne sur les utilisateurs crypto car les délais d'airdrop sont réels, et le réflexe est d'agir vite.

La solution n'est pas d'être plus malin que l'escroc. La solution est de concevoir des habitudes qui ne dépendent pas du fait que vous soyez en forme ce jour-là.

Comment se défendre, habitude par habitude

Voici un ensemble d'habitudes qui, ensemble, brisent la kill chain à l'un de ses différents points. Aucune d'elles ne nécessite d'outils particuliers ni d'expertise.

Vérifiez l'URL avant de cliquer, et à nouveau avant de signer

Tapez vous-même l'URL du projet, ou accédez-y via un favori. Ne faites jamais confiance à un lien dans un DM, une annonce ou un résultat de recherche, même si la page semble identique. Regardez le domaine dans la barre d'adresse de votre navigateur, et non le texte du lien. Au moindre doute, quittez la page et retapez l'URL.

Lisez la signature, pas seulement la popup du portefeuille

La plupart des portefeuilles modernes vous affichent l'adresse du contrat, la fonction appelée et parfois une version décodée. Traitez cela comme la lecture d'un contrat avant de signer. Si la fonction est setApprovalForAll, permit ou increaseAllowance sur un contrat que vous ne reconnaissez pas, ne signez pas. Si le portefeuille affiche un générique « Sign In With Ethereum » ou un hash vierge, ralentissez.

Vous pouvez aussi coller l'adresse du contrat dans un explorateur de blocs comme Etherscan ou Solscan avant de signer. Si le contrat n'est pas vérifié, n'a pas de nom, ou a été déployé ces derniers jours, c'est un signal fort qu'il faut partir.

Utilisez un portefeuille « chaud » séparé et un coffre « froid »

Conservez l'essentiel de vos ETH, SOL ou BTC dans un portefeuille qui ne se connecte jamais à des dApps. Utilisez un second portefeuille, avec un solde plus faible, pour le trading, les airdrops et la DeFi. Si le portefeuille chaud est vidé, la perte reste limitée. C'est la défense structurelle la plus efficace contre le phishing.

Révoquez périodiquement les anciennes approbations

Les approbations n'expirent pas par défaut. Des outils comme revoke.cash et l'inspecteur d'approbations d'Etherscan vous permettent de voir et de révoquer les anciennes autorisations de tokens et de NFT. La révocation coûte un peu de gas et représente un nettoyage ponctuel. Un audit trimestriel est un rythme raisonnable.

Soyez attentif à l'empoisonnement d'adresse

Ne copiez jamais une adresse de destinataire depuis votre historique de transactions. Copiez-la toujours depuis la source, idéalement en scannant un QR code, ou en utilisant une fonctionnalité du portefeuille qui étiquette les contacts connus. Si un inconnu vous envoie un minuscule montant d'ETH ou de SOL sans raison, ignorez-le. N'interagissez pas avec cette adresse. Il s'agit presque certainement d'un empoisonnement.

Auditez vos extensions de navigateur

Supprimez toute extension que vous n'utilisez pas activement. Les extensions de navigateur ont un accès complet aux pages que vous consultez, et les extensions malveillantes peuvent réécrire les données que votre portefeuille s'apprête à signer. Si vous avez besoin d'un portefeuille, utilisez l'extension officielle provenant du site du portefeuille lui-même, et non un « assistant » tiers.

Ne saisissez jamais votre seed phrase ailleurs

Aucun portefeuille légitime, aucune dApp, aucun agent de support ne vous demandera jamais votre seed phrase. Quiconque vous la demande est en train de vous attaquer, point final. C'est la règle sans aucune exception.

Que faire si vous avez déjà signé quelque chose de suspect

Si vous avez signé un permit, une approval ou un setApprovalForAll sur un contrat auquel vous ne faites pas confiance, les dégâts ne sont pas forcément déjà faits. Le contrat de l'attaquant doit être appelé pour effectivement déplacer les fonds, et il y a souvent une fenêtre de temps avant que cela n'arrive.

La première étape consiste à révoquer immédiatement l'approbation, via revoke.cash ou un outil similaire. La seconde étape consiste à transférer tout actif de valeur présent dans le portefeuille compromis vers un nouveau portefeuille qui n'a jamais touché le site malveillant. La vitesse compte, car les drainers automatisés fonctionnent généralement avec des bots qui surveillent les nouvelles approbations.

Si vous avez déjà été vidé, les fonds sont presque certainement irrécupérables on chain. Ce que vous pouvez faire, c'est signaler l'incident aux forces de l'ordre, partager l'adresse de l'attaquant avec des services de tagging d'explorateurs de blocs, et notifier les éventuels exchanges centralisés qui pourraient se trouver en aval. C'est une maigre consolation, mais c'est la seule honnête.

N'ayez pas honte. Les drainer kits sont conçus par des équipes criminelles professionnelles, et ils piègent des utilisateurs expérimentés. La bonne réponse est d'apprendre les habitudes ci-dessus, et de concevoir votre setup pour que la prochaine erreur soit une petite erreur.

Comment suivre les menaces de hameçonnage de manière intelligente

Les tactiques d'hameçonnage évoluent chaque trimestre. De nouveaux kits de vidage apparaissent, de nouveaux formats d'appâts deviennent viraux, et d'anciennes combines refont surface avec un nouvel emballage. Suivre manuellement les escroqueries actives et les contrats signalés comme malveillants est un véritable travail. Zippfeed met en avant les titres des attaques de hameçonnage crypto, les alertes de sécurité et les avertissements de la communauté avec une notation de sentiment, haussière, neutre ou baissière, ainsi qu'un indice d'importance, afin que vous puissiez repérer les nouvelles menaces avant qu'elles n'atteignent votre portefeuille. Combinez ce flux avec les bonnes pratiques ci-dessus, et vous obtenez une défense bien plus difficile à prendre au dépourvu.