Que faire immédiatement si vos cryptos sont volées

Que faire immédiatement si vos cryptos sont volées

Points clés

  • Dans les piratages les plus rapides documentés en 2025, les cryptos volées ont été déplacées en quelques secondes après le vol et entièrement blanchies en quelques minutes. Les 60 premières minutes après que vous l’avez remarqué constituent la partie de la réaction qui décide de la plupart des issues.
  • La première priorité est le confinement : révoquer toute approbation malveillante, déconnecter les sessions compromises et sauver les fonds restants lorsque c’est réellement possible. La capture des preuves vient juste après.
  • Considérez le portefeuille compromis comme n’étant plus le vôtre. Cessez d’interagir avec lui et n’envoyez pas de transaction de « sauvetage » à moins d’avoir un appareil propre et un nouveau portefeuille prêts.
  • Si votre téléphone a perdu le signal ou si vous avez signé quelque chose sur un site web, ces détails comptent. Ils orientent les enquêteurs vers le vecteur d’attaque et façonnent la réaction.
  • Si les fonds volés comprennent des stablecoins, les 60 premières minutes sont le moment où un gel via les forces de l’ordre est le plus réalisable. Une fois les fonds convertis hors de la forme stablecoin, cette option se ferme.
  • Contactez Match Systems avant de faire quoi que ce soit d’autre qui prend du temps. Plus tôt nous voyons le hash de la transaction, plus la piste reste exploitable.

Dans cet article

  • Pourquoi les 60 premières minutes comptent tant
  • Minute 0-15 : stoppez l’hémorragie
  • Minute 15-30 : confirmez et capturez
  • Minute 30-45 : verrouillez ce qui est connecté
  • Minute 45-60 : impliquez des spécialistes
  • La checklist des 60 minutes
  • Après la première heure
  • Questions fréquentes

Pourquoi les 60 premières minutes comptent tant

Dans notre travail, nous voyons une seule variable séparer les dossiers qui se terminent par une récupération de ceux qui n’aboutissent pas. Ce n’est pas l’ampleur du vol. Ce n’est pas la sophistication de l’attaquant. C’est la rapidité avec laquelle la victime a agi.

La raison tient à la vitesse à laquelle circulent les cryptos volées. Une étude de 2025 de la société d’analyse blockchain Global Ledger a analysé 119 piratages sur le premier semestre de l’année et a constaté que, dans le cas documenté le plus rapide, les fonds ont bougé quatre secondes après la brèche — plus de 75 fois plus vite que le système d’alerte moyen d’un exchange ou d’un protocole DeFi. Lors d’un autre incident, tout le processus de blanchiment a pris deux minutes et 57 secondes, plus vite que la mise en veille de l’écran d’un ordinateur portable. Au moment où la plupart des victimes confirment que le vol a eu lieu, les actifs sont déjà en mouvement.

La même étude a révélé que dans 68 % des cas, les pirates ont déplacé les fonds avant que l’attaque ne soit connue publiquement, et qu’un piratage sur quatre a été entièrement blanchi avant qu’une quelconque alerte ne soit émise. Au second semestre 2025, ce chiffre était monté à 84,6 %.

C’est pourquoi les 60 premières minutes pèsent autant. Chaque minute que la victime passe à paniquer, à publier sur Telegram ou à essayer des sites de récupération au hasard est une minute que l’attaquant met à profit pour fragmenter les fonds entre des portefeuilles, les échanger via des DEX ou les transférer par pont vers une chaîne moins surveillée. La fenêtre ne se ferme pas à la barre d’une heure, mais elle se rétrécit fortement à chaque minute qui passe. Ce que vous faites durant les 60 premières est ce sur quoi vous avez le plus de contrôle.

Minute 0-15 : stoppez l’hémorragie

Les 15 premières minutes doivent produire une seule chose : le confinement. Si quelque chose est encore récupérable, il l’est maintenant.

Si vous avez encore des actifs de valeur dans le portefeuille même qui a été compromis, la question la plus urgente est de savoir s’ils peuvent être mis à l’abri. La présentation honnête est que cela dépend entièrement de la manière dont le vol s’est produit. Si votre phrase de récupération ou votre clé privée a été exposée, le portefeuille n’est plus le vôtre, quel que soit ce qu’il contient encore. Les attaquants exécutent couramment des scripts automatisés qui balaient tout gas entrant dès son arrivée, si bien qu’envoyer une transaction de sauvetage échoue souvent et ne fait que leur remettre les frais de gas. Un véritable sauvetage nécessite un appareil propre et un portefeuille fraîchement créé dont les clés n’ont jamais touché l’environnement compromis. Même alors, considérez-le comme une manœuvre à faible probabilité. Agissez vite, attendez-vous à un échec, et n’aggravez pas la perte en envoyant davantage de fonds à la poursuite d’une récupération.

Si le vol a impliqué une approbation malveillante ou une signature Permit plutôt que l’exposition de la phrase de récupération, la situation est différente. L’attaquant détient une autorisation permanente de vider les jetons à mesure qu’ils arrivent, mais le portefeuille lui-même reste sous votre contrôle. Ouvrez le panneau des sites connectés et des approbations de jetons de votre portefeuille et révoquez tout ce qui a été accordé à une adresse inconnue. C’est la seule action qui gagne réellement à être faite immédiatement, et elle peut stopper les dommages en cours même lorsque le vol initial est déjà terminé.

Déconnectez tout portefeuille en extension de navigateur du site suspect avec lequel vous avez interagi, le cas échéant. Fermez l’onglet du navigateur, ne rafraîchissez pas et ne revisitez pas le site. Une fois le confinement géré, vous avez fait ce que vous pouviez pour limiter les pertes supplémentaires. La priorité suivante est de documenter ce qui a déjà été pris.

Minute 15-30 : confirmez et capturez

La priorité est désormais de constituer un relevé complet de ce qui a été volé. Sans cela, rien de ce que les enquêteurs feront ensuite n’a de point de départ.

Ouvrez un explorateur blockchain (Etherscan pour Ethereum, Tronscan pour Tron, BscScan pour BNB Chain, etc.) et trouvez la transaction non autorisée. Ne vous fiez pas à l’interface de votre portefeuille, qu’un attaquant sophistiqué peut manipuler. La blockchain est la source de vérité.

Capturez les éléments suivants :

  • Le hash de la transaction du vol (une longue chaîne alphanumérique commençant par 0x sur la plupart des chaînes)
  • L’adresse de réception de l’attaquant
  • Le montant et le type de jeton
  • L’horodatage exact
  • Des captures d’écran de la page de l’explorateur montrant tout ce qui précède

Si plusieurs transactions étaient impliquées, capturez-les toutes. Certains drainers répartissent le vol sur plusieurs transferts sortants vers de multiples adresses neuves ; les enquêteurs ont besoin de l’image complète, pas seulement de la première.

Si vous disposez d’un quelconque contexte sur la manière dont le vol s’est produit (un lien cliqué, une transaction signée, un téléphone ayant perdu le signal), notez-le maintenant tant que c’est frais. Même les détails incertains comptent.

Minute 30-45 : verrouillez ce qui est connecté

Le vol de crypto est rarement un événement limité à un seul portefeuille. Les attaquants qui obtiennent un point d’appui pivotent souvent vers d’autres, et les comptes connectés entourant le portefeuille sont généralement les suivants.

Changez d’abord le mot de passe de votre compte de messagerie. Presque tous les comptes liés à la crypto reposent sur l’e-mail pour la réinitialisation des mots de passe ; un attaquant ayant accès à l’e-mail peut donc enchaîner vers des comptes d’exchange, des portefeuilles en dépôt et des flux de récupération. Utilisez un nouveau mot de passe, défini depuis un appareil propre.

Changez les mots de passe de tout compte d’exchange centralisé que vous utilisez, et passez immédiatement en revue les paramètres de sécurité. Remplacez l’authentification à deux facteurs par SMS par une application d’authentification ou une clé matérielle. La 2FA par SMS peut être contournée par un SIM swap, et de nombreux dossiers que nous enquêtons comportent exactement cette étape.

Si votre téléphone a soudainement perdu le signal dans les minutes ou heures précédant votre constat du vol, traitez cela comme un possible SIM swap en cours. Appelez votre opérateur mobile depuis un autre téléphone, verrouillez le compte et demandez confirmation qu’aucun transfert de SIM récent n’a été autorisé. Le fait que vous les ayez contactés fait aussi partie de la piste de preuves.

Minute 45-60 : impliquez des spécialistes

À la 45e minute, les preuves sont capturées, l’exposition immédiate est fermée et les comptes connectés sont sécurisés. La priorité restante pour la première heure est de confier le dossier à des personnes capables d’agir dessus.

C’est le moment de contacter Match Systems. La première chose que nous demandons est le hash de la transaction et l’adresse de l’attaquant — les mêmes preuves capturées dans les 15 premières minutes. À partir de là, l’enquête commence : cartographier le graphe d’adresses, identifier vers quels exchanges ou services se dirigent les fonds et déterminer la voie de réaction la plus efficace pour le dossier. Les relations directes entre les enquêteurs et les équipes de conformité des exchanges vont plus vite que la navigation dans les seuls canaux officiels, et plus tôt nous voyons le dossier, plus cette relation peut produire de levier.

Si les actifs volés comprennent des stablecoins comme l’USDT ou l’USDC, cette heure compte encore davantage. Tether et Circle peuvent restreindre des adresses précises à la demande des forces de l’ordre, et cette voie d’intervention est la plus réalisable tant que les fonds sont encore sous forme de stablecoin. Nous coordonnons avec les autorités pour lancer ce processus. Une fois les fonds échangés, l’option se ferme.

Certaines victimes souhaitent aussi déposer une plainte ou contacter une unité nationale de cybercriminalité durant cette fenêtre. C’est approprié, mais cela ne devrait pas remplacer le contact avec les enquêteurs. Les canaux officiels mettent souvent des semaines à produire une action, tandis que l’intervention côté exchange via des cabinets spécialisés peut se faire en quelques heures.

La checklist des 60 minutes

Temps Priorité
Min 0-15 Si votre portefeuille n’est pas totalement compromis, révoquez les approbations de jetons inconnues et déconnectez-vous des sites suspects. Une transaction de sauvetage depuis un appareil propre peut être possible si seule une signature d’approbation a été détournée. N’envoyez pas de transaction de sauvetage à l’aveugle ; si votre phrase de récupération est exposée, les scripts des attaquants l’intercepteront probablement.
Min 15-30 Trouvez la transaction du vol sur un explorateur blockchain. Capturez le hash de la transaction, l’adresse de l’attaquant, le montant, le jeton et l’horodatage. Notez tout contexte sur la façon dont c’est arrivé.
Min 30-45 Changez les mots de passe de la messagerie et des comptes d’exchange connectés. Remplacez la 2FA par SMS par une application d’authentification. Si votre téléphone a perdu le signal, appelez votre opérateur et verrouillez le compte.
Min 45-60 Contactez Match Systems avec le hash de la transaction et l’adresse de l’attaquant. Si des stablecoins ont été volés, c’est le moment où un gel via les forces de l’ordre est le plus réalisable.

Après la première heure

La première heure relève du triage. Les heures et les jours qui suivent consistent à préserver les options et à soutenir l’enquête désormais en cours.

Ne payez personne qui vous contacte en proposant une récupération. Dans les heures qui suivent un vol, les victimes sont souvent approchées par des comptes promettant de récupérer les fonds volés contre des frais d’avance. Il s’agit presque toujours d’arnaques de suivi, parfois menées par le même groupe qui a volé les fonds au départ, travaillant à partir d’une liste de victimes récentes. Aucun cabinet légitime ne vous demande d’envoyer des cryptos vers un portefeuille pour débloquer vos fonds volés, et aucun cabinet légitime ne garantit la récupération.

Conservez tout. Captures d’écran, journaux de messages, e-mails, tout ce qui documente ce qui s’est passé ou ce qui y a conduit. Une partie comptera pour la procédure judiciaire, et une partie comptera pour l’enquête elle-même.

Restez en contact avec les enquêteurs que vous avez sollicités. Le travail se poursuit, souvent discrètement, pendant des jours ou des semaines. Plus la communication est étroite, meilleure est la chance d’agir sur les opportunités à mesure qu’elles apparaissent.

Questions fréquentes

À quelle vitesse les pirates déplacent-ils réellement les cryptos volées ?

Plus vite que la plupart ne l’imaginent. Dans les cas documentés analysés par Global Ledger en 2025, le premier mouvement le plus rapide après un piratage a été de quatre secondes, et le blanchiment complet le plus rapide a pris moins de trois minutes. Dans 68 % des cas, les fonds ont bougé avant que la brèche ne soit publiquement connue. C’est la raison pour laquelle la première heure compte tant. La fenêtre d’intervention se mesure en minutes, pas en jours.

Puis-je récupérer mes cryptos si je remarque le vol après une heure ?

Souvent oui, mais les chances dépendent de ce qui s’est passé entre-temps. Les fonds arrivés sur un exchange centralisé mais pas encore retirés peuvent encore être signalés via une mise en demeure à la conformité. Les stablecoins pas encore convertis peuvent encore faire l’objet d’un gel par l’émetteur à la demande des forces de l’ordre. Les dossiers signalés dans la première journée sont généralement ceux aux meilleures perspectives. Plus le délai est long, plus la piste se fragmente.

Dois-je déplacer mes fonds restants hors du portefeuille piraté ?

Seulement si vous avez un appareil propre, un tout nouveau portefeuille dont les clés n’ont jamais été exposées, et une attente réaliste que la tentative puisse échouer. Si votre phrase de récupération a été compromise, les attaquants exécutent souvent des scripts qui balaient le gas entrant instantanément, si bien qu’une transaction de sauvetage peut leur remettre le gas sans rien récupérer. Capturez d’abord les preuves, puis décidez si un sauvetage vaut la peine d’être tenté selon ce qui reste et la manière dont le vol s’est produit.

Dois-je déposer une plainte immédiatement ?

Déposer une plainte est approprié, mais cela ne devrait pas être la seule chose que vous faites, ni retarder le contact avec les enquêteurs. Les canaux officiels des forces de l’ordre mettent souvent des semaines à produire une action. Les cabinets d’investigation spécialisés ayant des relations directes avec les équipes de conformité des exchanges peuvent agir en quelques heures. Faire les deux en parallèle est l’approche standard, et l’ordre dans lequel les faire peut vous être conseillé par les enquêteurs que vous sollicitez.

Que fait réellement Match Systems une fois contacté ?

Une fois que nous avons le hash de la transaction et l’adresse de l’attaquant, nous cartographions le flux des fonds à travers les portefeuilles et les chaînes, identifions les points d’intersection les plus probables où les actifs volés toucheront un exchange réglementé, et coordonnons avec les équipes de conformité de ces exchanges pour signaler ou geler le compte. Si des stablecoins sont impliqués, nous coordonnons avec les forces de l’ordre pour lancer un gel par l’émetteur. Le travail est procédural et sensible au temps, et plus tôt il commence, plus la piste reste exploitable.

Dans les enquêtes sur les vols de crypto, le temps compte plus que la plupart des victimes ne le réalisent.

Une fois les fonds transférés via des ponts, mixés ou retirés par des canaux OTC, la récupération devient nettement plus difficile.

Match Systems travaille avec les exchanges, les émetteurs de stablecoins et les forces de l’ordre pour tracer les actifs volés et soutenir la récupération juridique, en s’appuyant sur une base de données propriétaire d’étiquetage d’adresses et sur des relations de conformité directes bâties au fil d’années d’investigations actives.

Lancez une évaluation de votre dossier : https://matchsystems.com

Populaires

Envoyer une demande

Laisser une demande

Comment vous contacter ?

Indiquez votre identifiant Telegram ou votre e-mail, selon le mode de contact choisi.