Le phishing crypto en chiffres
Le chiffre baisse, le danger non. Les pertes liées aux drainers ont chuté de 494 M$ à 83,85 M$ en un an, mais les chercheurs de Scam Sniffer sont formels : l'écosystème reste actif, les pertes suivent les cycles de marché, et une partie de l'activité a simplement migré vers des vecteurs plus difficiles à tracer (compromission de clés privées, ingénierie sociale ciblée). Autrement dit : moins de victimes, mais des techniques plus chirurgicales.
Comment vident-ils réellement un portefeuille ?
On ne vole pas vos fonds : on vous fait signer une autorisation de dépense (souvent illimitée). La signature ne coûte pas de gas, paraît inoffensive — puis le contrat vide le token autorisé. Vecteur n°1 des gros vols.
Depuis la mise à jour Pectra (mai 2025), un EOA peut « se comporter » comme un smart contract. Une seule signature délègue votre compte à un contrat sweeper qui aspire les fonds entrants. Nouveau et redoutable.
L'attaquant vous envoie une micro-transaction depuis une adresse sosie (mêmes premiers/derniers caractères). Vous copiez « votre » adresse depuis l'historique… et payez l'attaquant. Un cas a coûté 50 M$.
Sites d'airdrop bidons, pop-ups imitant WalletConnect ou Seaport, fronts hébergés sur des plateformes légitimes. Plus de 42 % des pertes phishing 2025 viennent de scripts de drainer planqués dans de faux airdrops.
Des kits clé-en-main (type « Inferno Drainer ») se louent. L'IA industrialise le reste : e-mails de phishing +70 %, vishing +449 %, deepfakes vocaux de « support », clones de sites générés en masse.
Faux agents « support », fausses pages de « validation » ou « migration » réclamant votre phrase de récupération. Règle absolue : aucune entité légitime ne demande jamais votre seed phrase.
EIP-7702 : pourquoi ce nouveau piège est si dangereux ?
Conçu pour améliorer l'expérience (transactions groupées, gas sponsorisé), EIP-7702 permet à un compte classique de déléguer son exécution à un contrat le temps d'une transaction. Le problème : cette délégation persiste jusqu'à révocation explicite, et opère au niveau du compte, pas du token — donc les outils classiques de révocation d'approbations ne la voient pas. Résultat : en une signature, l'attaquant transforme votre portefeuille en distributeur automatique.
L'évolution de la menace
Âge d'or des approbations approve() illimitées et des kits Inferno / Pink Drainer. Le phishing devient un produit loué (Drainer-as-a-Service).
Pic historique : ~494 M$ dérobés via signatures phishing sur les chaînes EVM. La signature Permit s'impose comme l'outil le plus rentable.
La mise à jour Pectra active EIP-7702. En quatre semaines, plus de 97 % des délégations pointent vers des contrats sweeper quasi identiques (« CrimeEnjoyor »).
Premier gros vol EIP-7702 : un portefeuille MetaMask délégué perd ~146 500 $, attribué à Inferno Drainer.
Bilan : 83,85 M$ volés (−83 %), mais montée du phishing assisté par IA et bascule vers des attaques ciblées plus discrètes.
Reconnaître et contrer chaque technique
| Technique | Ce que la victime voit | Défense clé |
|---|---|---|
| Ice phishing (Permit/Permit2) | « Signature » gratuite, sans gas, qui semble anodine | Lire la permission ; révoquer via Revoke.cash |
| Délégation EIP-7702 | Demande de signature « delegation » / SET_CODE | Refuser ; révoquer la délégation (SET_CODE vide) |
| Address poisoning | « Votre » adresse présente dans l'historique récent | Vérifier l'adresse en entier, jamais juste début/fin |
| Faux airdrop / dApp clonée | Pop-up de connexion ou « claim » trop beau | Accéder aux sites par favoris vérifiés, pas par liens |
| Faux support / vol de seed | « Agent » réclamant votre phrase de récupération | Ne jamais saisir sa seed phrase, nulle part |
| Clipboard / extension malveillante | Adresse de destination subtilement modifiée | Vérifier l'adresse sur l'écran du hardware wallet |
Le protocole de défense en 7 réflexes
- Lisez ce que vous signez. Une signature n'est pas neutre : elle peut autoriser une dépense. Si la fenêtre n'est pas claire, refusez.
- Cold wallet pour le capital. Gardez l'essentiel sur un hardware wallet ; n'exposez qu'un hot wallet « jetable » aux dApps.
- Simulez avant d'approuver. Utilisez un simulateur de transaction (Blowfish, Tenderly) qui montre ce qui sortira vraiment du portefeuille.
- Révoquez régulièrement. Passez vos approbations sur Revoke.cash — et vérifiez aussi vos délégations EIP-7702, invisibles aux outils classiques.
- Vérifiez l'adresse entière. Contre l'address poisoning, ne copiez jamais depuis l'historique ; comparez tous les caractères.
- Zéro seed phrase en ligne. Aucune page, aucun « support », aucune « migration » légitime ne la demandera. Jamais.
- Méfiance par défaut sur les airdrops. Un gain inattendu est le premier appât. Accédez aux dApps par des favoris, pas par des liens reçus.
Hot wallet ou cold wallet : la séparation qui sauve
+ Pratique, connecté, idéal pour interagir au quotidien.
– En ligne en permanence, surface d'attaque maximale.
Usage : petits montants, « portefeuille de transit ».
+ Clés hors-ligne, validation physique de chaque transaction.
– Moins fluide pour le trading actif.
Usage : réserve de capital, holding long terme.
FAQ
Une simple signature peut-elle vraiment vider mon portefeuille ?
Oui. Une signature de type Permit autorise un contrat à dépenser vos tokens, et une délégation EIP-7702 donne à un contrat le droit d'agir au nom de votre compte. Aucune des deux ne ressemble à un « transfert » — c'est précisément ce qui les rend efficaces.
Comment savoir si je suis déjà compromis ?
Vérifiez vos approbations actives sur un outil comme Revoke.cash et contrôlez si une délégation EIP-7702 est attachée à votre adresse. Si vous repérez un contrat inconnu, révoquez immédiatement et transférez vos fonds restants vers un portefeuille neuf et sain.
Un hardware wallet me rend-il invulnérable ?
Non. Il protège votre clé privée, mais si vous signez une autorisation malveillante avec, les fonds partent quand même. Le hardware wallet sécurise la clé, pas votre jugement : il faut toujours lire ce que l'écran affiche avant de valider.
Pourquoi les pertes baissent-elles si la menace persiste ?
Parce que les défenses (alertes de wallets, simulateurs, éducation) progressent, et parce qu'une partie des attaques migre vers des vecteurs non comptabilisés dans les stats de drainers : compromission de clés privées et ingénierie sociale ciblée sur de grosses cibles.
Puis-je récupérer des fonds après avoir été drainé ?
Très rarement. Les transactions on-chain sont irréversibles. La priorité est la prévention : révoquer immédiatement les autorisations restantes, sécuriser ce qui n'a pas été pris, et documenter l'adresse de l'attaquant pour un éventuel signalement.
Conclusion
Le hacker de 2026 ne force pas votre porte : il vous tend un stylo. Permit, EIP-7702, address poisoning — toutes ces techniques exploitent la même chose, votre confiance au moment de signer. La défense n'est pas un logiciel miracle, c'est une discipline : lire avant de signer, séparer ses portefeuilles, révoquer ce qui traîne. En crypto, la sécurité n'est pas un produit qu'on achète — c'est une habitude qu'on installe.
• Scam Sniffer — Rapport phishing 2025
• Cointelegraph — Pertes phishing 2025
• CoinDesk / Wintermute — EIP-7702 « CrimeEnjoyor »
• SlowMist / Scam Sniffer — Premier vol EIP-7702
• SQ Magazine — Statistiques drainers 2025
• Three Sigma — Drainers & EIP-7702 (défense)
© AndetayNews 2026 — Article informatif de sensibilisation à la sécurité. Ne constitue pas un conseil financier.
