Chargement des prix…
Zipp Zipp Faire de la publicité
S'inscrire Se connecter

Qu'est-ce qu'un wallet drainer ? L'approval phishing expliqué

Les wallet drainers sont l'outil dominant de vol on-chain en 2024-2026 — des smart contracts malveillants qui vident une wallet à l'instant où vous signez une seule approbation d'apparence anodine. Voici comment ils marchent, les incidents à plusieurs millions et comment en arrêter un avant de signer.

security Zipp · 11 min de lecture ·
Qu'est-ce qu'un wallet drainer ? L'approval phishing expliqué

Pourquoi ça compte

Si vous lisez qu'une wallet a été vidée "en une seule signature" en 2024-2026, le mécanisme technique est presque toujours un wallet drainer. Le schéma domine parce qu'il est exceptionnellement coût-efficace pour les attaquants : écrire le contrat une fois, le coller derrière une douzaine de sites de phishing et de pubs, attendre. Les kits drainer-as-a-service — Pink Drainer, Inferno Drainer, Angel Drainer, Pussy Drainer, autres — fournissent le contrat et l'infrastructure à quiconque dispose d'un kit phishing, l'opérateur du kit prenant 20-30% des fonds volés. Chainalysis et SlowMist rapportent systématiquement que les drainers ont représenté des centaines de millions de pertes retail chaque année depuis 2023.

La bonne nouvelle : chaque attaque drainer requiert une action humaine — signer une transaction que l'utilisateur ne voulait pas vraiment faire. Une fois la forme de cette demande de signature comprise, vous pouvez la refuser.

Si vous n'avez pas encore lu arnaques crypto courantes, cette page couvre le paysage plus large ; celle-ci est le deep dive technique sur le schéma le plus actif.

Comment fonctionne réellement un wallet drainer

La chaîne d'attaque canonique :

  1. Appât. La victime visite un site phishing — faux mint NFT, faux claim d'airdrop, faux DEX, fausse page "migration" pour un vrai protocole, parfois via une pub Google ou un compte Twitter vérifié détourné.
  2. Connexion de wallet. Le site demande à l'utilisateur de connecter sa wallet. Connecter seul ne perd pas de fonds ; ça partage juste l'adresse. C'est la rampe de social engineering.
  3. Demande de signature malveillante. En secondes, le site déclenche un popup wallet. Le popup demande de signer une parmi plusieurs transactions trompeuses : approbation ERC-20 illimitée, signature Permit/Permit2, setApprovalForAll pour NFTs, ou transfert direct déguisé en appel "claim".
  4. Le drainer tire les fonds. Une fois signé, le contrat drainer appelle immédiatement le transferFrom approuvé (ou exécute le permit signé) et déplace les tokens vers l'attaquant. Pour des approbations illimitées, le drainer peut rester dormant des semaines et drainer quand le solde de la wallet grandit.
  5. Fonds blanchis. En minutes, les fonds volés sont divisés, swap en ETH, routés via Tornado Cash ou un mixer similaire, bridge sur une autre chaîne ou envoyés sur un exchange centralisé.

Toute la séquence — de la signature à des fonds dans la wallet de l'attaquant — fait souvent moins de 30 secondes. Il n'y a pas de bouton "undo" sur une blockchain.

Les types de signatures spécifiques abusés par les drainers

Approbation ERC-20 illimitée

La plus courante. Les protocoles DeFi standards demandent des approbations de token (ex. Uniswap a besoin de la permission de dépenser votre USDC). Les drainers en demandent aussi — mais pour un montant arbitraire (souvent type(uint256).max — "illimité") et accordé au contrat drainer, pas à un DEX connu. Une fois accordée, le drainer peut appeler transferFrom et déplacer chaque token de ce type dans votre wallet. L'utilisateur voit quelque chose comme "Approuver USDC pour [Spender]" et signe — le spender est le drainer.

Signatures Permit / Permit2

Le "permit" EIP-2612 laisse un utilisateur accorder une approbation de token sans payer de gas — juste une signature off-chain que quelqu'un d'autre (le spender) peut ensuite soumettre on-chain. Le Permit2 d'Uniswap a généralisé ça à de multiples tokens et à un usage multi-protocole. Les drainers adorent les signatures permit parce qu'elles ressemblent à des requêtes "sign-in" bénignes dans beaucoup de wallets et beaucoup d'utilisateurs ne réalisent pas qu'un permit signé peut être exécuté des semaines plus tard.

setApprovalForAll pour les NFTs

Les collections NFT ERC-721 et ERC-1155 ont une fonction setApprovalForAll qui accorde la permission de déplacer chaque NFT d'une collection. Les drainers visant des wallets NFT précieuses demandent cette signature déguisée en action "claim", "verify" ou "reveal". Une fois signée, chaque NFT de la collection ciblée peut être transféré.

Transfert direct déguisé en claim

Moins subtil mais toujours efficace : un faux bouton "claim" ou "migrate" appelle une fonction dont le nom est anodin mais dont le payload est en fait un transfert de tout l'ETH de la wallet (ou d'un token spécifique) vers le drainer. Le popup de la wallet montrera la transaction envoyant des tokens ; les utilisateurs qui signent sans lire le ratent.

Messages signés et signatures EIP-712

Certains drainers utilisent des signatures de données structurées (EIP-712) qui ressemblent à des messages de login ou des accords off-chain. Le message signé est en fait une méta-transaction que le drainer relaie on-chain pour extraire les fonds. Plus dur à repérer parce que les wallets affichent souvent la signature comme un objet lisible plutôt qu'une alerte claire "envoyer fonds".

Incidents drainer notables 2024-2026

Inferno Drainer seul a été rapporté comme ayant volé plus de 80 millions de dollars à des dizaines de milliers de victimes avant de prétendre prendre sa retraite fin 2023 — un service presque immédiatement remplacé par des clones. Pink Drainer a continué pendant 2024 et volé des montants rapportés dans la fourchette 70M$+ de nombreux incidents y compris une compromission de profil élevé de comptes Twitter crypto connus qui ont diffusé des liens malveillants. Angel Drainer a été lié à de multiples campagnes wallets-as-a-service en 2024-2025, y compris des attaques DM médiatisées par bots sur des serveurs Discord.

Des incidents individuels ont inclus des vols de plusieurs millions à partir de wallets uniques ayant signé une approbation — un cas 2024 notable a vu 69 millions en WBTC déplacés avec une attaque d'address-spoofing combinant un drainer avec une astuce address-poisoning. La catégorie est suffisamment grande pour que les firmes de chain analytics suivent les mouvements agrégés des wallets drainer comme indicateur avancé des sites et comptes Twitter actuellement malveillants.

Drapeaux rouges / checklist avant de signer

Chaque coup drainer dépend en dernier ressort qu'un utilisateur signe une transaction spécifique. Traiter chacun de ceux-ci comme un drapeau rouge par défaut évitera la grande majorité des incidents :

  • Le site est un que vous avez atteint via recherche, pub, DM ou tweet épinglé — pas un favori. Les drainers vivent dans les pubs sponsorisées et les comptes "vérifiés" détournés. Les URLs en favori ne drainent presque jamais.
  • La signature est pour une adresse spender inconnue. Les approbations à des protocoles connus (Uniswap, Aave, Curve) sont normales. Les approbations à des adresses sans vérification de contrat, sans étiquette Etherscan, sans historique ne le sont pas.
  • La signature est pour un montant illimité (uint256.max). Les wallets modernes (MetaMask, Phantom, Rabby) flaggent ça. Limitez les approbations au montant spécifique dont vous avez besoin, pas au défaut "illimité".
  • Le popup est une "signature" plutôt qu'une transaction. Les signatures Permit et EIP-712 ne coûtent pas de gas et donnent l'impression d'un login click-through — mais ce sont des autorisations sans gas qui peuvent être relayées on-chain pour déplacer des fonds. Beaucoup de wallets affichent maintenant des avertissements explicites pour des patterns permit malveillants connus ; lisez-les.
  • Le site presse un bouton "claim" ou "verify" ou "migration". Les vrais claims viennent généralement de l'URL officielle du projet bookmarkée à l'avance. Les nouveaux sites avec des boutons claim sont 95% de la surface drainer.
  • Timing urgent. "Seulement 24 heures", "places limitées", "migration d'urgence avant dépréciation" — les drainers tournent à l'urgence.
  • Les détails de la transaction du popup semblent faux. Si ça dit "envoyer 1,4 ETH" alors que vous attendiez de recevoir un NFT gratuit, rejetez. Les wallets et outils modernes comme Wallet Guard, Pocket Universe et Blockaid annotent les transactions avec des avertissements de risque — tenez-en compte.

Que faire si vous avez signé

Si vous avez signé une transaction drainer, chaque seconde compte. Manuel standard :

  1. Bougez chaque autre token immédiatement. Si vous avez des NFTs ou d'autres actifs encore dans la wallet, envoyez-les vers une nouvelle wallet tout de suite. Le drainer est généralement scripté pour prendre d'abord les tokens les plus précieux, puis balayer la poussière.
  2. Révoquez toutes les approbations sur la wallet compromise. Utilisez revoke.cash ou le gestionnaire intégré de votre wallet pour révoquer chaque approbation active (et setApprovalForAll de NFT). C'est la seule façon d'arrêter un drainer endormi qui a approuvé illimité et attend de nouveaux dépôts.
  3. Brûlez la wallet pour tout usage futur significatif. Si vous avez signé une approbation illimitée et n'en révoquez que certaines, le drainer peut encore drainer les tokens entrants. Le mouvement sûr est d'abandonner la wallet entièrement pour les classes de tokens affectées — idéalement pour tout.
  4. Documentez. Capturez le site, le popup wallet, le hash de transaction. Vous en aurez besoin pour tout signalement.
  5. Signalez l'adresse drainer aux chain analytics. Chainalysis, TRM Labs, SlowMist et Etherscan acceptent des signalements. L'adresse est flaggée pour les exchanges centralisés — occasionnellement, des wallets drainer sont gelées au cashout, restituant une petite fraction.
  6. N'acceptez pas d'offres de "récupération". Dans les heures suivant le hit drainer vous recevrez des DMs offrant de récupérer vos fonds contre des frais. Ce sont elles-mêmes des arnaques. Aucun service payant légitime ne peut inverser un transfert blockchain.

Comment rester protégé

  • Utilisez un wallet matériel pour des soldes significatifs. Les wallets matériels vous forcent à lire la transaction (ou signature) réelle sur un petit écran que l'attaquant ne peut pas atteindre. Lire l'adresse spender et le montant sur l'appareil est la défense unique drainer la plus efficace.
  • Opérez avec une séparation chaud/froid. Gardez une petite wallet d'interaction séparée pour les nouveaux sites et l'exploration DeFi. Gardez les soldes principaux dans une wallet matérielle qui ne signe que des transactions de protocoles connus.
  • Bookmarkez les URLs officielles et utilisez-les. N'atteignez jamais une wallet, un exchange, un site mint ou claim via recherche, pub, DM ou lien social. Les drainers rankent au-dessus des vrais domaines dans les pubs Google et dans des posts Twitter "vérifiés" compromis.
  • Auditez et révoquez les approbations tous les quelques mois. Utilisez revoke.cash pour les chaînes EVM, des outils similaires pour Solana. Une vieille approbation à une dApp oubliée depuis longtemps est une porte dérobée qui existe jusqu'à ce que vous la fermiez. Faites-en une habitude.
  • Mettez des approbations limitées, pas illimitées. MetaMask, Phantom et Rabby vous laissent choisir un montant d'approbation custom. Choisissez "le montant dont j'ai besoin maintenant", pas "illimité" — même sur des protocoles légitimes.
  • Installez des extensions d'analyse de transactions. Wallet Guard, Pocket Universe, Blockaid, Fire — ils inspectent les transactions côté client et avertissent sur des patterns drainer connus avant que vous ne signiez. Ils ne sont pas parfaits mais ils attrapent la grande majorité des attaques pré-emballées.
  • Traitez chaque demande de signature comme si elle coûtait tout votre solde. La plupart ne le font pas, mais les rares qui le font se comportent comme le reste jusqu'à ce que vous regardiez de près. Refus par défaut et relisez jusqu'à ce que quelque chose dise exactement ce que vous attendez.

Pour la taxonomie plus large des arnaques et les habitudes opérationnelles, voir arnaques crypto courantes ; pour l'architecture de stockage qui protège les fonds même si une wallet chaude est drainée, voir comment stocker la crypto en sécurité et meilleurs wallets crypto 2026.

Surveillez les campagnes drainer, surveillez les nouvelles

Les kits drainer enchaînent les campagnes chaque semaine — une nouvelle URL malveillante passe en live sur un compte Twitter détourné, le site officiel d'une collection NFT est compromis, une pub Google pousse un faux installeur Phantom. Ceux-ci frappent typiquement la presse sécurité des heures avant de frapper votre timeline. Zippfeed suit les manchettes sécurité et grands tokens avec un score de sentiment et d'importance, pour que vous voyiez les campagnes drainer actives et l'infrastructure compromise tôt — utile que vous fassiez tourner une wallet chaude pour DeFi, évaluiez un nouveau mint ou cherchiez juste à savoir quelles menaces de la semaine méritent une prudence supplémentaire.

Questions fréquemment posées

Qu'est-ce qu'un wallet drainer ?
Un wallet drainer est un smart contract malveillant — généralement associé à un site de phishing — qui vide une wallet à l'instant où un utilisateur signe une seule transaction trompeuse. La transaction est typiquement une approbation de token, une signature Permit ou un setApprovalForAll de NFT qui accorde au drainer la permission de déplacer des fonds. Ils ont été le schéma dominant de vol on-chain en 2024-2026, volant des centaines de millions par an.
Comment fonctionne l'approval phishing ?
Un utilisateur visite un site phishing qui lui demande de connecter sa wallet puis de signer une transaction ou signature. La transaction ressemble à un click-through mais est en fait une approbation ERC-20 illimitée, un Permit, ou un setApprovalForAll. Une fois signée, le contrat drainer utilise cette permission pour transférer les tokens hors de la wallet — parfois immédiatement, parfois des semaines plus tard quand le solde grandit.
Comment savoir si une transaction est une tentative de wallet drainer ?
Drapeaux rouges : adresse spender inconnue ou non vérifiée, montant d'approbation "illimité" (uint256.max), popup est une signature Permit sans gas plutôt qu'une transaction normale, le site utilise un langage d'urgence ("claim avant demain"), ou vous avez atteint le site via une pub / DM / tweet épinglé plutôt qu'un favori connu. Les extensions de navigateur comme Wallet Guard, Pocket Universe et Blockaid annotent les patterns drainer connus.
Que faire après avoir signé une transaction wallet drainer ?
Déplacez immédiatement tout token ou NFT restant vers une nouvelle wallet, puis utilisez revoke.cash (ou le gestionnaire d'approbations de votre wallet) pour révoquer chaque approbation active et setApprovalForAll sur la wallet compromise. Si un Permit a été signé, il ne peut pas toujours être révoqué, donc le mouvement plus sûr est d'abandonner la wallet entière pour les classes de tokens affectées. Documentez et signalez l'adresse drainer, mais ne payez pour aucun "service de récupération" — ce sont eux-mêmes des arnaques.

Guides connexes