Points clés
- Un seul clic sur un lien malveillant peut vider un portefeuille crypto en quelques secondes, sans que personne ne connaisse votre mot de passe ni votre phrase secrète.
- Le mécanisme est un drainer de portefeuille : un contrat intelligent malveillant qui vous piège pour que vous signiez une transaction lui accordant la permission de déplacer vos fonds.
- Les kits de drainer se vendent désormais comme des logiciels commerciaux dotés de réseaux d'affiliés, ce qui abaisse la barrière technique pour mener ces attaques.
- Les appâts ressemblent à des plateformes légitimes : faux airdrops, mints de NFT, interfaces DeFi et e-mails usurpant l'identité des autorités fiscales.
- La récupération est possible dans de nombreux cas, surtout lorsque les fonds atteignent une plateforme coopérative ou impliquent des stablecoins pouvant être gelés à la demande des forces de l'ordre. Agir immédiatement fait toute la différence.
- Match Systems enquête sur les incidents de drainer de portefeuille, retrace les fonds volés à travers les chaînes, et travaille avec les plateformes d'échange et les forces de l'ordre pour soutenir la récupération lorsque c'est possible.
Dans cet article
- Ce qui se passe réellement quand vous cliquez sur un lien malveillant
- Comment fonctionnent les drainers de portefeuille
- Les appâts : comment les victimes se retrouvent sur ces sites
- Le Drainer-as-a-Service : pourquoi n'importe qui peut mener cette attaque aujourd'hui
- Ce qu'il advient de vos fonds après le vidage
- Les fonds volés peuvent-ils être récupérés ?
- Comment vous protéger
- FAQ
Ce qui se passe réellement quand vous cliquez sur un lien malveillant
La plupart des gens supposent que perdre des cryptos à cause d'un lien signifie qu'un virus a infecté leur appareil ou qu'un hacker s'est introduit à distance dans leur portefeuille. Dans la plupart des cas que nous enquêtons chez Match Systems, ni l'un ni l'autre ne s'est produit. La victime a elle-même autorisé le vol, en signant une transaction qui a donné à un contrat intelligent malveillant la permission de déplacer ses fonds.
Un drainer de portefeuille ne vole pas votre clé privée ; il vous piège pour que vous cédiez la permission de dépenser vos actifs, déguisée en une interaction de routine avec un site web. La victime clique sur un lien, aboutit sur ce qui ressemble à une plateforme DeFi légitime, connecte son portefeuille, approuve ce qui semble être une confirmation standard, et le drainer vide le portefeuille en quelques secondes.
Comment fonctionnent les drainers de portefeuille
Ces attaques fonctionnent en exploitant le mode de fonctionnement des autorisations de jetons sur Ethereum et les chaînes similaires. Lorsque vous interagissez avec un protocole DeFi, votre portefeuille vous demande de signer une transaction d'approbation accordant à ce contrat la permission de dépenser un montant déterminé de vos jetons.
Les drainers exploitent cela. Le site malveillant présente une invite de portefeuille identique à une demande d'approbation légitime. La victime la signe, mais la permission va au contrat de l'attaquant plutôt qu'à un vrai protocole, et le montant est fixé à illimité. Le drainer balaie alors chaque jeton du portefeuille avant que l'utilisateur ne ferme l'onglet du navigateur.
Les variantes plus sophistiquées utilisent des signatures Permit d'EIP-2612, qui autorisent des transferts de jetons via une signature off-chain plutôt qu'une transaction on-chain. La signature n'apparaît pas comme une approbation standard dans le simulateur de transactions du portefeuille, ce qui lui permet de contourner les avertissements visuels habituels. La victime signe ce qui ressemble à un message de connexion, et l'attaquant utilise cette signature pour vider le portefeuille plus tard.
Après la mise à niveau Pectra d'Ethereum en mai 2025, les attaquants ont commencé à exploiter EIP-7702 en l'espace de quelques semaines, regroupant plusieurs actions nuisibles en une seule signature.
Les appâts : comment les victimes se retrouvent sur ces sites
Si le mécanisme technique est sophistiqué, la couche d'ingénierie sociale n'a pas besoin de l'être.
Un schéma que nous observons à répétition est un lien partagé depuis un compte officiel compromis. En 2025, les attaquants détournaient couramment des comptes X vérifiés appartenant à des projets crypto, des influenceurs et des organismes gouvernementaux, puis publiaient des liens vers des sites de drainer. Les victimes suivaient le lien parce que la source paraissait digne de confiance.
Les appâts les plus courants sont :
- De faux airdrops promettant des jetons gratuits, exigeant de connecter un portefeuille et d'approuver une transaction pour les réclamer.
- L'usurpation de mints de NFT, clonant des projets populaires au lancement pour capter le trafic des utilisateurs cherchant la page de mint.
- Des clones au pixel près d'Uniswap, Curve et d'autres interfaces DeFi. La seule différence est l'adresse du contrat derrière le bouton d'approbation.
- L'empoisonnement des moteurs de recherche, avec des sites malveillants classés au-dessus des sites légitimes pour des requêtes à fort trafic.
- L'usurpation réglementaire. En 2025, Kaspersky a documenté des campagnes de phishing usurpant l'identité des autorités fiscales en Allemagne, en France, en Autriche et dans d'autres pays européens, menaçant d'amendes pouvant atteindre un million d'euros en cas de non-conformité. Les victimes étaient invitées à saisir des phrases secrètes ou à connecter leurs portefeuilles à de faux portails gouvernementaux.
Le fil conducteur est l'urgence habillée en légitimité : délais, image de marque d'apparence officielle, pression pour agir avant de rater l'occasion.
Le Drainer-as-a-Service : pourquoi n'importe qui peut mener cette attaque aujourd'hui
Jusqu'à récemment, exécuter un drainer de portefeuille exigeait de réelles compétences techniques : écrire des contrats intelligents, bâtir une infrastructure de phishing, gérer une campagne. Ce n'est plus le cas. Des chercheurs en sécurité qui suivent ces opérations ont documenté que les affiliés de kits majeurs comme Angel Drainer paient des frais initiaux de 5 000 à 10 000 dollars, plus une commission de 20 % sur les actifs volés. Les opérateurs fournissent le contrat intelligent, les modèles de phishing et le tableau de bord de gestion. L'affilié se charge de la distribution.
C'est le Drainer-as-a-Service, et il a industrialisé le vol de portefeuilles. Des kits nommés comme Inferno, Angel et Pink exploitaient chacun des réseaux d'affiliés et publiaient des mises à jour régulières pour contourner les nouveaux avertissements de sécurité des portefeuilles. Quand un kit ferme sous la pression des forces de l'ordre, un autre comble le marché en quelques semaines. Inferno a transféré son infrastructure à Angel Drainer fin 2024, une passation ouverte d'outils criminels.
Le résultat, c'est le volume. 106 000 victimes ont perdu au total 83,85 millions de dollars à cause du phishing par drainer de portefeuille en 2025, contre 494 millions en 2024. La baisse reflète en partie de meilleurs outils de sécurité des portefeuilles, mais aussi un basculement des attaquants vers des vecteurs plus difficiles à retracer, comme la compromission de clés privées et l'ingénierie sociale ciblée. La menace s'est déplacée plutôt que réduite.
Ce qu'il advient de vos fonds après le vidage
Du point de vue du traçage, les moments qui suivent une attaque par drainer sont critiques, et ils vont vite. Les actifs volés sont généralement fragmentés immédiatement. Le contrat du drainer répartit les fonds sur plusieurs portefeuilles neufs pour compliquer le suivi et retarder les alertes des plateformes déclenchées par de gros transferts entrants. En quelques minutes, les actifs peuvent être échangés via une plateforme d'échange décentralisée contre un autre jeton, supprimant tout lien évident avec l'adresse du vol.
À partir de là, le parcours de blanchiment implique généralement un passage vers une autre chaîne par un pont, un acheminement à travers un service de mixage, ou un transfert vers un bureau OTC pour conversion en monnaie fiduciaire. Chaque étape réduit la fenêtre de gel.
L'avantage des enquêteurs, c'est que chaque étape est enregistrée sur la blockchain. La fragmentation, les swaps, les ponts — tout cela laisse un graphe traçable. Que ce graphe mène quelque part d'exploitable dépend de la rapidité avec laquelle l'enquête commence.
Les fonds volés peuvent-ils être récupérés ?
La réponse honnête : parfois, et cela dépend fortement de la rapidité. Lorsque les fonds volés atteignent une plateforme d'échange centralisée soumise à des exigences KYC, les enquêteurs peuvent soumettre un avis juridique à l'équipe de conformité pour signaler le compte de réception et bloquer le retrait. Si l'avis arrive avant que l'attaquant ne retire, les fonds peuvent être préservés dans l'attente de la procédure légale.
Lorsque les fonds volés incluent des stablecoins comme l'USDT ou l'USDC, il existe une option supplémentaire. Tether et Circle peuvent restreindre des adresses précises à la demande des forces de l'ordre. Match Systems travaille directement avec les forces de l'ordre pour lancer ce processus le plus rapidement possible. Une fois les fonds convertis hors de leur forme de stablecoin, cette voie se referme.
Les cas les plus difficiles concernent des fonds entièrement convertis en jetons natifs, transférés via des ponts à travers plusieurs chaînes et acheminés par une infrastructure décentralisée avant qu'aucune enquête n'ait commencé. Dans de nombreux cas que nous enquêtons, la victime a attendu des jours avant de signaler, ce qui avait déjà considérablement réduit les options.
Comment vous protéger
Les défenses les plus efficaces sont comportementales, pas techniques.
- N'approuvez jamais une transaction que vous ne comprenez pas entièrement. Si une invite de portefeuille n'explique pas clairement quelle permission vous accordez et à quelle adresse de contrat, rejetez-la.
- Utilisez un portefeuille matériel pour les avoirs significatifs. Les exigences de confirmation physique brisent la séquence de vidage automatisée.
- Auditez et révoquez régulièrement les approbations de jetons via les paramètres de votre portefeuille ou une interface de gestion des approbations de confiance. Les anciennes approbations vers des protocoles que vous n'utilisez plus sont un passif permanent.
- Mettez en favoris les sites que vous utilisez réellement. L'empoisonnement des moteurs de recherche classe régulièrement les sites de drainer au-dessus des sites légitimes pour les requêtes à fort trafic.
- Traitez les liens d'airdrop et de mint de NFT avec un scepticisme par défaut. Si vous n'avez pas trouvé le lien via un canal que vous contrôlez, vérifiez-le par rapport au domaine officiel du projet avant de connecter votre portefeuille.
- Utilisez un portefeuille distinct pour les protocoles inconnus, ne contenant que ce que vous êtes prêt à perdre.
FAQ
Mon portefeuille peut-il être vidé simplement en cliquant sur un lien, sans rien signer ?
Dans la plupart des cas, non. Visiter un site malveillant sans connecter de portefeuille ni signer de transaction ne vide pas vos fonds. Le vidage requiert votre autorisation, même déguisée. Les attaques avancées exploitant des vulnérabilités d'extensions de navigateur ou des logiciels malveillants du presse-papiers fonctionnent différemment, mais la grande majorité requiert une approbation signée.
J'ai signé une transaction sur un site suspect. Que dois-je faire immédiatement ?
Ouvrez votre portefeuille et vérifiez l'historique des transactions à la recherche de transferts sortants que vous n'avez pas initiés. De nombreux portefeuilles incluent désormais des fonctions intégrées pour voir et révoquer les approbations de jetons actives ; utilisez-les pour couper toute permission permanente que vous auriez pu accorder. Si les fonds ont déjà bougé, consignez le hash de la transaction du vol et l'adresse de réception, et contactez une société d'enquête spécialisée. N'interagissez plus avec le site suspect.
Qu'est-ce qu'une signature Permit et pourquoi est-elle dangereuse ?
Le standard Permit permet à un portefeuille d'autoriser des transferts de jetons via une signature off-chain plutôt qu'une transaction d'approbation on-chain. Comme elle n'apparaît pas comme une approbation standard dans la plupart des interfaces de portefeuille, elle contourne les avertissements visuels habituels. Les attaquants utilisent les signatures Permit pour vider des portefeuilles tout en paraissant demander quelque chose d'anodin, comme une connexion ou une confirmation d'identité.
La plateforme que j'utilisais peut-elle être tenue pour responsable ?
Si vous avez interagi avec un faux clone, la plateforme légitime ne porte aucune responsabilité juridique. Si le domaine ou le compte social d'une vraie plateforme a été compromis et utilisé pour distribuer le lien du drainer, il peut y avoir matière à réclamation, bien que ces cas soient complexes et dépendent de la juridiction.
Comment les enquêteurs retracent-ils les attaques par drainer ?
Les enquêteurs partent de la transaction du vol, cartographient la piste de fragmentation et de swaps à travers les portefeuilles et les chaînes, et identifient les points où les fonds ont touché une plateforme d'échange centralisée. Des avis juridiques sont ensuite envoyés aux équipes de conformité des plateformes. Match Systems gère cela grâce à des relations établies avec les plateformes, ce qui comprime nettement le délai de réponse par rapport aux canaux standard des forces de l'ordre.
Dans les enquêtes sur les vols de crypto, le temps compte plus que la plupart des victimes ne le réalisent.
Une fois que les fonds volés sont échangés, transférés via des ponts ou acheminés par des canaux OTC, la récupération devient nettement plus difficile. Match Systems enquête sur les incidents de drainer de portefeuille et les attaques de phishing, en retraçant les actifs volés à travers les chaînes et en travaillant avec les plateformes d'échange et les forces de l'ordre pour soutenir la récupération légale.
Lancez une évaluation de votre cas : https://matchsystems.com
Populaires
- Articles Un utilisateur légitime peut voir son USDT gelé à cause de fonds au passé contaminé.
- Articles Peut-on récupérer les cryptomonnaies volées ?
- Actualités Arnaque au faux lien de réunion : comment la crypto est volée
- Actualités Sanctions contre HTX : risques pour les actifs crypto
- Articles Comment les hackers volent des cryptomonnaies
- Actualités Tether a dégelé 79 M$ — et nous savons pourquoi
- Articles Crypto volée ? Les 60 premières minutes décident de ce qui est récupérable.
- Actualités Récupération de cryptoactifs via les réseaux OTC
- Articles Tether a gelé vos USDT : que se passe-t-il et que faire
- Articles Les portefeuilles crypto sont piratés via les appareils, les applis et l’erreur humaine, pas via la blockchain.
