Ce que sont réellement les kits de wallet drainer
Un kit de wallet drainer est un ensemble de trois éléments : un smart contract (ou un script qui en appelle un), une landing page de phishing et un tableau de bord web. Le contrat est conçu de telle sorte que, lorsque la victime signe une transaction sur le site de phishing, il accorde à l'attaquant la permission de transférer des tokens et NFT spécifiques depuis son wallet. Le tableau de bord permet à l'« affilié », la personne qui mène l'arnaque, de voir les victimes en temps réel et de suivre les profits qui s'accumulent.
Sur Ethereum et les chaînes compatibles EVM, l'astuce la plus courante consiste à demander à la victime de signer un appel setApprovalForAll sur un contrat ERC-721 ou ERC-1155 malveillant, ou de signer un increaseAllowance pour un ERC-20 comme l'USDT ou l'USDC. Du point de vue de la victime, elle clique sur « Réclamer l'airdrop », son wallet s'ouvre, elle signe ce qui ressemble à une approbation normale, et en quelques secondes ses actifs ont disparu. Sur Solana, l'équivalent est une transaction qui regroupe des instructions de transfert de tokens dans ce qui ressemble à une action de réclamation ou de staking.
Ces kits ne sont pas des malwares sur mesure. Ce sont des produits avec des pages de tarifs, des canaux de support, et même des équipes de service client. L'expression utilisée par le secteur est drainer-as-a-service (DaaS), et c'est la raison structurelle pour laquelle le phishing à grande échelle est devenu routinier plutôt qu'exceptionnel.
Pourquoi il s'agit d'un marché, pas d'un passe-temps
Le passage du phishing par un pirate isolé à une économie de service est le fait le plus important concernant les wallet drainers. Inferno Drainer, qui aurait cessé son activité fin 2023, affirmait sur son site désormais archivé avoir aidé ses affiliés à dérober environ 80 millions de dollars d'actifs avant de disparaître. Des chercheurs en sécurité de Wallet Guard et Scam Sniffer ont suivi des revenus similaires pour Pink Drainer, Angel Drainer, Monkey Drainer et une série de successeurs en rotation ; le cumul estimé pour ces kits se compte en centaines de millions de dollars.
L'économie rend le modèle autosuffisant. Construire un drainer fiable n'est pas anodin : il faut optimiser le gas, prendre en charge de nombreux tokens, mettre en place des méthodes pour blanchir les fonds et effectuer des mises à jour constantes à mesure que les wallets et les explorateurs de blocs ajoutent des avertissements. La plupart des escrocs individuels ne peuvent pas ou ne veulent pas effectuer ce travail, donc ils le louent. L'opérateur gère la partie technique, l'affilié gère le trafic, et le partage — généralement 20 % pour l'opérateur et 80 % pour l'affilié, parfois 30/70 selon les kits — aligne les incitations à continuer de voler.
Ce partage explique aussi pourquoi un seul kit peut servir des centaines de « clients » simultanément. Le coût marginal d'un nouvel affilié est proche de zéro, de sorte que les opérateurs font une promotion agressive dans des canaux privés Telegram et Discord, souvent avec des captures d'écran de témoignages de paiements passés. Une fermeture, même très médiatisée comme celle d'Inferno, ne fait principalement que redistribuer les affiliés vers le kit suivant ; le playbook, et la plupart des templates de landing pages, restent les mêmes.
Le parcours type de la victime, étape par étape
Presque chaque attaque de drainer suit une séquence similaire, et reconnaître les étapes constitue la meilleure défense. La chaîne commence généralement hors de la crypto : un moteur de recherche, un réseau social ou un serveur Discord.
- Appât via annonce sponsorisée ou compte détourné. Des affiliés achètent des annonces Google ou Bing pour des termes comme « réclamation d'airdrop Uniswap » ou « réclamation LayerZero », en remplaçant l'URL de destination par un domaine imitant l'original. À défaut, ils prennent le contrôle de comptes vérifiés sur X/Twitter ou Discord et publient de faux liens de réclamation depuis des comptes que leurs cibles ont déjà appris à faire confiance.
- Page d'atterrissage imitatrice. Le site est une copie pixel-perfect d'un véritable protocole, avec de faux comptes de followers, de faux commentaires et un bouton « Connecter le portefeuille ». Les domaines sont généralement enregistrés quelques jours à l'avance et utilisent souvent des services de protection de la vie privée ou des registrars gratuits.
- La modale de drainage. Après la connexion, le site demande à l'utilisateur de « réclamer » ou de « vérifier » et déclenche une fenêtre contextuelle du portefeuille. Sur Ethereum, cette fenêtre correspond habituellement à une signature setApprovalForAll ou Permit2 ; sur Solana, il s'agit d'une transaction que l'utilisateur est poussé à signer rapidement.
- Balayage automatisé. Dès que la signature est reçue, le backend du drainer soumet un ensemble d'appels de transfert. Les ERC-20 de grande valeur, l'ETH natif et les NFT précieux sont déplacés en un seul bloc. En quelques secondes, les actifs sont routés via des mixeurs, des bridges ou des portefeuilles fraîchement approvisionnés.
- Blanchiment. Les produits sont typiquement bridgeés vers des blockchains avec un KYC plus faible, échangés contre des stablecoins comme USDT ou USDC, puis poussés à travers des peel chains ou des services comme les successeurs de Tornado Cash. Certains affiliés encaissent directement via des exchanges imbriqués ; d'autres utilisent des desks OTC spécialisés dans le « nettoyage » de tokens.
Toute la séquence, du clic sur une annonce sponsorisée à la perte du contenu du portefeuille, peut prendre moins de cinq minutes, ce qui explique pourquoi les volumes sont élevés même lorsque le taux de conversion par victime reste faible.
Les principaux kits et ce qu'ils révèlent sur le marché
Inferno Drainer est l'étude de cas qui a ancré la prise de conscience publique. Avant sa fermeture en novembre 2023, Inferno faisait de la publicité publique sur des forums, prélevait une commission de 20 % et a exposé son propre tableau de bord opérateur lors d'un incident de sécurité, ce qui a permis aux chercheurs de chiffrer le butin. Des enquêtes ultérieures ont relié l'activité d'Inferno à un ensemble central de clusters de portefeuilles et à des chemins de blanchiment passant par des services centralisés spécifiques.
Pink Drainer a émergé presque immédiatement après la sortie d'Inferno et a proposé à un moment un split 30/70, avec une part opérateur plus élevée qui signalait une confiance dans les taux de conversion. Angel Drainer et Venom Drainer ont suivi des schémas similaires, chacun itérant sur l'évasion : rotation plus rapide des domaines, nouveaux schémas d'approbation pour contourner les heuristiques des portefeuilles, et ciblage de blockchains au-delà d'Ethereum mainnet, dont Arbitrum, Base et BNB Chain. Les kits focalisés sur Solana, parfois appelés « sweeper bots » plutôt que drainers, utilisent un modèle voisin sur les tokens SPL et ont généré des pertes individuelles importantes.
Le schéma récurrent à travers ces kits est révélateur. Les opérateurs itèrent sur trois axes : comment atteindre les victimes, comment rendre la signature légitime, et comment blanchir les produits. Lorsqu'une technique cesse de fonctionner, comme la sanctification de Tornado Cash en 2022, le travail de l'opérateur consiste à trouver la suivante. Le produit lui-même, un frontend de hameçonnage soigné et un backend de drainage, relève désormais de la table de base.
Ce qui tourne réellement mal pour les victimes
Le profil de risque d'une attaque de drainer est inhabituellement sévère. Contrairement à un piratage d'exchange, où un custodian peut couvrir les pertes ou où les fonds peuvent parfois être gelés de manière centralisée, le vol par drainer est self-custodial et pratiquement irréversible. Une fois qu'un setApprovalForAll a été signé, l'attaquant peut appeler cette approbation à tout moment ; ainsi, même des actifs qui ne se trouvaient pas dans le portefeuille au moment de la signature peuvent être drainés ultérieurement.
Plusieurs modes de défaillance spécifiques méritent l'attention :
- Les approbations cachées persistent. Une victime qui voit son ETH et ses ERC-20 drainés peut croire avoir « tout perdu » et passer son chemin, mais une approbation NFT encore active peut permettre à l'attaquant de revisiter le portefeuille des semaines plus tard et d'emporter des actifs nouvellement acquis.
- Permit2 et signatures off-chain. Les drainers modernes exploitent Permit2, un standard rédigé par Uniswap pour les allowances de tokens, en obtenant des utilisateurs qu'ils signent un message off-chain accordant des droits de dépense. Ces signatures n'affichent pas toujours des avertissements clairs dans les portefeuilles, et elles ne nécessitent pas la détention d'ETH pour payer le gas, ce qui abaisse le coût de l'attaque.
- Ciblage répété. Une fois qu'un portefeuille est flagged comme victime de drainer on-chain, il reçoit souvent des tokens et NFT de type airdrop destinés à inciter le propriétaire à revenir vers un site malveillant. Le même portefeuille peut être frappé plusieurs fois dans le cadre de campagnes différentes.
- Vitesse des stablecoins. L'USDT et l'USDC sont des cibles privilégiées car ils sont liquides, fongibles et faciles à blanchir. Un portefeuille détenant 50 000 $ en stablecoins et signant la mauvaise approbation est généralement entièrement drainé dans le même bloc.
- Conséquences réputationnelles et fiscales. Les victimes ne sont pas seulement exposées financièrement ; la nature publique du vol on-chain peut attirer d'autres tentatives d'ingénierie sociale, y compris de faux « services de récupération » qui promettent de restituer les fonds contre des frais payés d'avance.
Pour un lecteur qui évalue son exposition, le résumé honnête est : une seule signature, un seul jour, peut vider un portefeuille qui a pris des années à se constituer, et les recours juridiques restent limités dans la plupart des juridictions.
Comment les forces de l'ordre et les chercheurs suivent l'économie des drainers
Le suivi des profits des drainers est l'une des histoires les plus nettes en matière d'enquête on-chain. Parce que chaque vol laisse une trace sur un registre public, des firmes comme Chainalysis, TRM Labs et Elliptic, aux côtés de chercheurs indépendants, peuvent regrouper les adresses de drainers, suivre les fonds à travers les bridges et parfois identifier les points de cash-out sur des exchanges centralisés qui appliquent réellement le KYC.
Le cas Inferno est à nouveau illustratif. Les chercheurs ont recoupé les adresses de dépôt, identifié le skim de 20 % de l'opérateur et tracé les portefeuilles de trésorerie de l'opérateur lui-même. Plusieurs actions officielles contre l'infrastructure de hameçonnage en 2023 et 2024, dont des saisies de domaines et le démantèlement de grandes plateformes de phishing-as-a-service, ont été éclairées précisément par ce type de clustering. Wallet Guard et Scam Sniffer, les deux dashboards communautaires les plus cités, ont publié des totaux en temps réel du vol par drainer et proposent des services de notification des victimes qui flaggent les approbations directement dans les portefeuilles.
Ce travail connaît néanmoins de réelles limites. Les mixeurs, les bridges cross-chain, les peel chains et les services non-custodial comme les exchanges décentralisés émoussent tous la traçabilité. Les opérateurs blanchissent également via des services imbriqués, des comptes ouverts sur des exchanges offshore avec des identités volées ou synthétiques, et des brokers OTC informels. Lorsqu'un opérateur est identifié, la poursuite est plus difficile que l'identification : beaucoup d'opérateurs de drainers seraient basés dans des juridictions à la coopération limitée en matière de criminalité crypto, et les affiliés peuvent se trouver n'importe où. Même les démantèlements médiatisés, la sortie volontaire d'Inferno, la perturbation de plusieurs kits par des chercheurs en sécurité en 2024, restent temporaires : les opérateurs migrent, les affiliés se redistribuent, et un nouveau kit prend généralement la position dominante en quelques semaines.
Ce que cela implique pour vous, concrètement
Le constat honnête et sans promotion, c'est que les drainer kits modifient le modèle de menace pour tout utilisateur en auto-garde. Trois habitudes réduisent sensiblement l'exposition, et aucune ne nécessite d'acheter quoi que ce soit.
Premièrement, considérez chaque signature comme irréversible. La plupart des wallets, y compris les wallets Ethereum populaires, simulent désormais les transactions et affichent ce qui sera transféré. Lisez ces simulations. Si un « claim » vous demande de signer une approbation, la simulation révélera souvent le contrat drainer sous-jacent, et c'est le moment de fermer l'onglet. Sur Solana, examinez la liste des instructions de la transaction au lieu de simplement cliquer.
Deuxièmement, séparez vos wallets. Un hot wallet utilisé pour les airdrops, les mints et la DeFi ne devrait pas détenir l'essentiel de vos avoirs à long terme. Transférez les actifs de valeur, en particulier les soldes importants en USDT et USDC ainsi que les NFTs de grande valeur, vers un cold wallet ou un hardware wallet que vous ne connectez que lorsque vous avez l'intention de signer. Si un hot wallet est vidé, la perte reste limitée.
Troisièmement, utilisez des outils d'allowlist et de révocation. Revoke.cx et des services similaires permettent d'inspecter et d'annuler les autorisations ERC-20 et NFT existantes, ce qui constitue une étape de nettoyage utile après toute interaction avec un site inconnu. Certains wallets prennent également en charge des plafonds de dépense et des limites d'approbation par dApp, ce qui restreint ce qu'une approbation malveillante peut faire, même si vous en signez une.
Aucune de ces habitudes n'est une garantie, et aucun lecteur ne devrait les considérer comme telles. Les opérateurs de drainers s'adaptent, et de nouveaux schémas d'approbation continuent d'émerger. Mais l'écart entre un utilisateur averti et un utilisateur non averti, en perte attendue, est suffisamment grand pour valoir la friction.
Comment suivre l'économie des drainers de manière critique
L'économie des drainers évolue vite, tout comme les actualités qui en parlent. Les titres amalgament souvent la « criminalité crypto » en un chiffre unique, alors que l'essentiel des pertes récentes sont dues au phishing plutôt qu'à des piratages de plateformes ; lire ce chiffre avec du contexte est essentiel. Zippfeed met en avant les titres tagués sécurité avec un score de sentiment (bullish, neutral ou bearish) et une note d'importance, ce qui vous permet de distinguer un risque protocolaire réel d'une peur marketing, et d'agir sur les histoires qui concernent réellement votre wallet.
