Qu’est-ce qu’un « pilleur de portefeuille » ? Comment fonctionnent les « pilleurs de cryptomonnaies » ?
Vous n'avez pas besoin de divulguer votre phrase de récupération pour tout perdre. Avec un voleur de portefeuille, vous perdez tout en cliquant sur « approuver ». Imaginez un site web attrayant proposant un airdrop gratuit. Vous connectez votre portefeuille, une fenêtre de signature apparaît, vous cliquez sur « Confirmer » comme pour toutes les applications décentralisées, et quelques secondes plus tard, vos cryptomonnaies et NFT ont disparu. Aucun mot de passe n'a été volé. Aucun appareil n'a été piraté. Vous avez vous-même autorisé le vol, généralement avec une signature sans frais de gaz et en apparence totalement inoffensive. C'est toute l'arnaque, et elle a si bien fonctionné qu'elle a permis de dérober 494 millions de dollars rien qu'en 2024.
Ce guide explique en détail ce qu'est un vol à l'étalage, le moment précis où il se produit, comment les criminels l'ont transformé en service payant, combien ils prennent et les deux habitudes qui permettent de les arrêter presque tous.
Qu'est-ce qu'un gouffre financier et pourquoi ça marche ?
Un voleur de portefeuille n'est pas un logiciel malveillant inactif sur votre ordinateur. Il s'agit d'un contrat intelligent ou d'un script malveillant, une de ces applications décentralisées (dApps) malveillantes qui sévissent sur le Web3, déguisé en application légitime, qui vous trompe pour obtenir un accès, puis s'empare de vos actifs instantanément. Ces voleurs opèrent presque exclusivement dans la finance décentralisée (DeFi), où les transferts d'argent se font par signature plutôt que par authentification. Vos cryptomonnaies et autres actifs numériques sont précisément leurs cibles. Le voleur ne devine jamais votre clé privée et ne compromet jamais aucun système de cryptographie. Il vous amène simplement à signer une transaction ou une autorisation qui donne à un contrat intelligent inconnu l'accès à vos fonds.
Une fois l'autorisation accordée, le reste est automatique. Le logiciel malveillant analyse votre portefeuille pour y trouver vos jetons, NFT et autres actifs numériques les plus précieux, prépare le transfert et déplace tout vers une adresse contrôlée par l'attaquant, souvent en un seul bloc. Comme la requête se présente comme une action Web3 normale, la plupart des victimes ne réalisent rien avant que leur portefeuille ne soit vide. Le danger ne réside pas dans un virus, mais dans une autorisation accordée sans en lire les détails.
Comment un voleur de portefeuille vide votre portefeuille
Chaque piège suit le même schéma : appât, signature, balayage. C’est à l’étape intermédiaire que l’argent se perd, et c’est celle que presque personne n’examine de près.
L'appât
Il faut d'abord tomber dans le piège. Les escrocs diffusent de faux airdrops, des lancements de NFT et des offres de tokens, puis insistent lourdement. Ils piratent des comptes vérifiés sur X et publient des liens depuis un compte de réseau social volé, envoient des messages sur Telegram et Discord, et achètent des publicités sponsorisées pour que le faux site apparaisse avant le vrai. Leur argument principal est toujours l'urgence : une offre limitée ou une récompense qui expire bientôt. L'ingénierie sociale est particulièrement efficace lorsqu'on n'a pas le temps de réfléchir. Contrairement au phishing classique qui recherche un mot de passe ou des identifiants de connexion, un escroc n'a pas besoin de vos informations confidentielles. Il lui suffit de vous inciter à une seule action : connecter votre portefeuille au faux site et approuver une simple requête. C'est précisément pour cette raison que ces escrocs se propagent si vite et que même les plus prudents se font avoir dans la précipitation. Un clic et vous arrivez sur un clone qui ressemble trait pour trait à un projet de confiance, vous demandant de connecter votre portefeuille.
Le piège est la signature
Voici le point crucial. Lorsque vous approuvez une transaction, vous ne vous « connectez » pas ; vous signez une autorisation spécifique, et certaines d'entre elles sont dévastatrices. Un appel `approve()` ERC-20 peut accorder une allocation illimitée, permettant à un contrat de dépenser ce jeton indéfiniment. `setApprovalForAll` distribue tous les NFT d'une collection en une seule fois. La plus dangereuse est la signature hors ligne de type Permit ou Permit2. Elle ne génère aucun coût en gaz. Elle apparaît comme un simple message, et non comme une transaction. Et pourtant, elle autorise un transfert. C'est le piège dans lequel la plupart des utilisateurs tombent : selon une analyse de SlowMist , les signatures de type Permit représentaient 56,7 % des approbations frauduleuses en 2024, précisément parce qu'elles sont indétectables. Les attaquants suivent également les mises à jour, abusant d'appels obscurs comme `setOwner` et, juste après la sortie de Pectra d'Ethereum, de la toute nouvelle délégation EIP-7702.
Le drain
Une fois la signature apposée, le voleur de portefeuille dispose de toutes les informations nécessaires, et aucune confirmation supplémentaire ne pourra vous sauver. Son objectif est simple et brutal : voler vos fonds avant même que vous ayez le temps de réagir. Vos actifs étant déjà cartographiés, le transfert est déclenché et vos jetons sont transférés en un seul bloc. Les transactions blockchain sont irréversibles. Impossible de contacter une banque, impossible de contester les frais. Au moment où le largage aérien « échoue », le transfert non autorisé est déjà effectif sur la blockchain.
| Ce que vous êtes invité à signer | Ce que vous voyez | Ce qu'il accorde réellement |
|---|---|---|
| ERC-20 `approve()` | Une approbation de jeton de routine | Dépenses illimitées de ce jeton |
| `setApprovalForAll` | « Approuver la collecte » | Contrôle de chaque NFT qu'il contient |
| Permis / Permis2 | Un message de signature sans gaz | Droits de transfert sans trace sur la blockchain jusqu'à leur utilisation |
| `setOwner` / EIP-7702 | Une invite inhabituelle | Propriété ou délégation de votre compte |
Drainer-as-a-Service (DaaS) : La criminalité avec un tableau de bord
Les techniques de drainage n'ont pas prospéré parce que les attaquants sont devenus plus ingénieux. Elles ont prospéré parce que quelqu'un a transformé l'outil en produit et, ce faisant, a transformé le vol de portefeuilles en cybercriminalité organisée avec une grille tarifaire publiée.
Comment fonctionne le DaaS
Dans le modèle « Drainer-as-a-Service », un développeur conçoit et maintient le kit de vidage de portefeuilles et le loue à quiconque souhaite mener une campagne contre les portefeuilles de cryptomonnaies. L'affilié, souvent un pirate peu expérimenté, se charge du phishing. Le kit, quant à lui, gère le vol. Le butin est partagé selon un schéma quasi identique à celui des ransomwares : les développeurs conservent environ 20 % des sommes volées, les affiliés les 80 % restants. En échange, l'acheteur obtient des pages de phishing prêtes à l'emploi, un tableau de bord de contrôle, des outils d'anonymisation et, bien sûr, un véritable support client. Un adolescent incapable d'écrire une seule ligne de code peut ainsi gérer une opération professionnelle dès midi.
Inferno, Pink et la porte tournante
Les kits utilisés pour les arnaques les plus connues témoignent de l'ampleur du phénomène. Inferno Drainer a sévi de fin 2022 à fin 2023 et a dérobé environ 87 millions de dollars à plus de 137 000 victimes, via plus de 16 000 domaines d'hameçonnage usurpant l'identité d'au moins 100 marques de cryptomonnaies. Pink Drainer a permis de récupérer près de 85 millions de dollars avant que ses opérateurs n'annoncent leur retrait. On observe un schéma récurrent : une équipe prend sa retraite, les cybercriminels passent au kit suivant, et Inferno lui-même revient sous une forme améliorée. La disparition d'un opérateur ne signifie pas la disparition du marché : le marché, c'est le service, pas l'escroc.
Combien voleurs de portefeuilles volent-ils ?
Les chiffres sont énormes, fluctuants et faciles à mal interpréter. Une seule campagne de vidage de portefeuilles crypto peut rapporter plus en une seule transaction qu'un piratage complet d'une plateforme d'échange, et les chiffres annuels sont très variables.
La source la plus fiable, Scam Sniffer , fournit des données annuelles. Les pertes ont atteint environ 295 millions de dollars en 2023, touchant 324 000 victimes. Elles ont ensuite bondi de 67 % pour s'établir à 494 millions de dollars en 2024, avant de chuter brutalement à environ 84 millions de dollars en 2025. Cette baisse pourrait passer pour une victoire, mais il n'en est rien. Elle reflète principalement une activité on-chain plus faible et un renouvellement du matériel, et les premières données de 2026 montraient déjà une forte augmentation mensuelle. Le vol le plus important jamais enregistré a dérobé 55,47 millions de dollars en DAI à une seule victime en 2024. Quel que soit le montant total, les cryptomonnaies volées disparaissent de la même manière : elles transitent par des services de mixage et des plateformes d'échange décentralisées en quelques minutes, ce qui explique pourquoi la quasi-totalité de ces fonds ne sont jamais restitués.
| Année | Volé par des draineurs | Victimes |
|---|---|---|
| 2023 | 295,5 millions de dollars | Plus de 324 000 |
| 2024 | 494 millions de dollars | 332 000 |
| 2025 | 83,85 millions de dollars | 106 106 |
Et les victimes ne sont pas toutes novices. Mark Cuban a perdu environ 900 000 $ à cause d'une arnaque. Même le compte X de Vitalik Buterin, cofondateur d'Ethereum, a été piraté pour promouvoir une fausse cryptomonnaie qui a dépouillé ses abonnés d'environ 700 000 $. Si le piège se referme sur eux, la barrière du « je ne me ferais jamais avoir » est plus mince qu'il n'y paraît.
Signes avant-coureurs d'un gouffre financier
Les signes avant-coureurs d'une arnaque financière tournent presque tous autour d'une seule exigence : signez ceci, immédiatement. Si vous les repérez, prenez votre temps.
Attention aux messages vous demandant un nombre illimité de jetons alors que vous souhaitez simplement effectuer un achat. Méfiez-vous encore plus des demandes de signature sans frais de gaz et affichant un message illisible. C'est une technique classique d'escroquerie sans frais de gaz. Considérez les messages « Réclamez maintenant », « Offre limitée » et les comptes à rebours comme des techniques de pression, et non comme un coup de chance. Ne vous méfiez pas des liens reçus par message privé ou dans un groupe Telegram. N'accédez jamais à une application décentralisée via une publicité sponsorisée : les escrocs surenchérissent systématiquement sur les projets légitimes pour obtenir la première place. Vérifiez toujours l'adresse exacte du domaine : l'utilisation d'un nom de domaine similaire avec une seule lettre inversée est une technique classique des sites frauduleux, et pourtant toujours efficace.
Comment protéger son portefeuille des épuiseurs
Il n'est pas nécessaire de traquer chaque nouvelle faille. Deux habitudes banales suffisent à bloquer la quasi-totalité des fuites.
Utilisez un portefeuille matériel et un téléphone jetable.
Conservez la majeure partie de vos cryptomonnaies sur un portefeuille matériel. La clé reste hors ligne et chaque transaction nécessite une interaction physique avec l'appareil ; un site malveillant ne peut donc rien déplacer sans que vous ayez le matériel en main. Créez ensuite un second portefeuille « jetable », quasiment vide, pour le minage de cryptomonnaies, les airdrops et les dApps inconnues. Si le portefeuille jetable est vidé, vous perdrez de quoi vous repartir, pas vos économies. Connecter votre portefeuille principal à un site Web3 quelconque est la seule habitude qui rend ce genre d'activité criminelle lucrative.
Lisez attentivement chaque signature et révoquez les anciennes.
La deuxième habitude consiste simplement à lire ce que vous signez. Les portefeuilles modernes et les outils de simulation détaillent les autorisations accordées par une signature avant confirmation. Utilisez-les et ne signez jamais à l'aveugle un message que vous ne comprenez pas. Ensuite, faites le ménage et révoquez les autorisations dont vous n'avez plus besoin. Un outil de révocation affiche tous les contrats autorisés à dépenser vos jetons et vous permet d'annuler ceux que vous avez oubliés, bloquant ainsi les failles qu'un attaquant pourrait exploiter des mois plus tard. Si un site vous semble inconnu, consultez d'abord son contrat sur un explorateur de blocs, car un contrat flambant neuf sans historique est une arnaque classique. Cette autorisation illimitée que vous avez accordée en 2021 ? Elle est toujours active tant que vous ne la supprimez pas.
Que faire si vous êtes victime d'une arnaque financière ?
Si cela se produit, la rapidité est primordiale. Agissez méthodiquement. Transférez immédiatement les fonds non récupérés par l'attaquant vers un nouveau portefeuille sécurisé, car il revient souvent chercher le reste. Révoquez ensuite toutes les autorisations de l'adresse compromise afin qu'aucune autorisation résiduelle ne puisse être réutilisée. Considérez ce portefeuille comme inutilisable et cessez de l'utiliser définitivement. Documentez les hachages des transactions et signalez les adresses à un service comme Chainabuse ou Scam Sniffer, qui cartographient cette infrastructure. Soyez réaliste quant à la possibilité de récupération. Les transferts sur la blockchain sont définitifs et les fonds volés sont rarement restitués ; la véritable victoire réside donc dans la limitation rapide des pertes.
Un voleur de portefeuille a besoin de votre signature, pas de vos clés.
Si on enlève les tableaux de bord et les noms de kits, un voleur de cryptomonnaie n'a qu'une seule arme : votre signature. Il ne peut ni voler votre clé privée, ni briser la chaîne de transfert, ni déplacer un centime tant que vous n'avez pas cliqué sur « Confirmer ». Et c'est là la bonne nouvelle : la contre-attaque est tout aussi simple. Conservez vos fonds hors ligne, considérez chaque demande de « connexion au portefeuille » comme une sollicitation d'un inconnu et lisez attentivement l'autorisation avant de signer. En agissant ainsi, une industrie pesant des milliards de dollars se heurtera à un mur. Alors, la prochaine fois qu'un programme de minage gratuit vous demandera de signer, posez-vous la seule question qui compte : qu'est-ce que j'autorise exactement ?
