Retour aux actualités
MENACE WEB3

Anatomie d'un escroc du monde des cryptomonnaies : comment 1,93 milliard de dollars se sont évaporés en six mois

Un drainer ne vole pas votre phrase de récupération. Il vole votre signature. Un seul clic — un seul clic sur le mauvais bouton « Réclamer », « Vérifier » ou « Connecter le portefeuille » — et une série de contrats intelligents prédéfinis vide votre solde avant même que vous n'ayez le temps de retirer votre doigt du pavé tactile.

12 minutes de lecture· Mise à jour Mai 2026· PhishDestroy Intelligence
Anatomy of a crypto wallet drainer — six-stage kill chain
1,93 milliard de dollars
Pertes du premier semestre 2025
+540 % par rapport à 2023
284 millions de dollars
Une seule victime, janvier 2026
Arnaque liée à la phrase de récupération Trezor
Trois cent vingt mille
Victimes en 2023
environ 900 par jour
5 000 à 10 000 $
Coût d'entrée du DaaS
kit prêt à l'emploi

Qu'est-ce qu'un « drainer » ?

A crypto drainer est un outil de phishing spécialement conçu pour le Web3. Il ne cherche pas à vous soutirer votre mot de passe ni à extraire une clé privée. Au contraire, il vous incite à valider une transaction — généralement un approve(), setApprovalForAll(), ou hors chaîne Permit message — qui donne à l'attaquant le pouvoir de déplacer vos actifs à sa guise. Le portefeuille reste « le vôtre ». Les fonds, eux, non.

Ce modèle est d'une efficacité redoutable, car il exploite à outrance légitime les éléments fondamentaux de la blockchain. Votre clé privée n'est jamais compromise. Il n'y a aucun logiciel malveillant sur votre ordinateur. Il n'y a qu'une seule signature, sur une seule transaction, que les analystes de la chaîne pourront voir et dont l'effet ne peut être annulé par aucune autorité.

Selon Chainalysis, un « drainer » est « un outil de phishing conçu pour l'écosystème Web3 » qui se fait passer pour une dApp légitime. Group-IB, Check Point Research, et ScamSniffer ont répertorié des milliers de campagnes reposant précisément sur ce principe.

La chaîne d'attaque en six étapes

Chaque attaque de type « drainer » — Inferno, Pink, Angel, MS, CLINKSINK, Rugging et les dizaines de variantes sans nom — suit les six mêmes étapes. Tout l'art consiste à les condenser en quelques secondes, entre la connexion au portefeuille et la confirmation de la transaction.

1Leurreairdrop / publicité / message privé2Se connecterportefeuille accroché3ReconanalyzeWallet()4Signeapprouver / autoriser5VidangetransferFrom()6LaverDEX → pont → XMRINGÉNIERIE SOCIALERÉALISATION TECHNIQUEEXFILTRATION

1. Leurre

Faux airdrops, publicités sponsorisées sur Google/X, comptes vérifiés piratés (le Comptes de la SEC et de Mandiant (qui ont tous deux servi de « mégaphones » pour détourner des fonds), des bots de vérification sur Discord, de fausses frappes de NFT, des invitations « exclusives » à des versions bêta et des escroqueries liées à des licences de propriété intellectuelle. Quelle que soit la forme sous laquelle elles se présentent, l'objectif est de vous amener sur un domaine contrôlé par le pirate.

2. Se connecter

Vous cliquez sur « Connecter le portefeuille ». MetaMask, Rabby, WalletConnect, Phantom… Tout va bien, c'est normal. Le script JavaScript du drainer dispose désormais d'un accès en lecture à votre objet portefeuille via window.ethereum (ou l'équivalent), et commence à tirer eth_call les requêtes en arrière-plan.

3. Recon

L'outil de suivi répertorie vos actifs : solde natif, jetons ERC-20, collections NFT, positions DeFi sur plusieurs chaînes. Il utilise des oracles de prix de type CoinGecko pour convertir tous les montants en dollars américains. Des kits premium tels que Inferno Drainer enregistrer leur configuration sur la chaîne (BNB Chain) afin qu'il puisse être mis à jour sans avoir à redéployer le code JavaScript.

4. Signe

L'application décentralisée (dApp) vous invite à « Vérifier la propriété », « Réclamer l'airdrop », « Approuver la collecte » ou « Signer pour accéder ». L'interface du portefeuille affiche ce qui semble être un message anodin. En réalité, les données d'appel (calldata) sont soigneusement choisies pour maximiser les dégâts — voir la section suivante.

5. Égoutter

Dès que vous avez signé, l'agresseur passe à l'action transferFrom() à partir d'un portefeuille distinct (séparation opérationnelle — l'« adresse » qui a reçu l'autorisation n'est jamais le « destinataire » qui détient le butin). Les kits Premium regroupent les transferts d'ETH natifs, d'ERC-20, de NFT ERC-721/1155 et de Permit2 en une seule multicall. Délai net entre la signature et le virement : secondes.

6. Laver

Les fonds transitent par SushiSwap / Uniswap (les DEX légitimes sont délibérément ajoutés à la liste blanche par la plupart des outils de sécurité), puis via des ponts vers d'autres chaînes, ensuite via des branches de Tornado Cash, pour aboutir finalement à Monero. Le Incident Trezor : 284 millions de dollars a fini par être transféré en XMR en quelques heures.

Votre portefeuille (avant de signer)

Ethereum2.4815
Pièce de monnaie en dollars américains18,420.00
WBTC0.34
Yéti aux yeux bleus n° 4291Un NFT
stETH12.1

Contrat de l'attaquant (après une signature)

Ethereum+2,4815
Pièce de monnaie en dollars américains+18 420,00
WBTC+0,34
Yéti aux yeux bleus n° 4291Un NFT
stETH+12,1

Un exemplaire signé Permit2 Un simple message suffit pour valider l'ensemble du lot. Pas de deuxième confirmation. Pas de possibilité de récupération.

Les quatre charges utiles meurtrières

Tout drainer en service utilise une combinaison de ces quatre éléments de base. Chacun d'entre eux est un légitime Norme ERC ou méthode RPC. Il n'y a pas de « solution miracle » : seule la sensibilisation compte.

1. approve(spender, type(uint256).max) — Dépenses illimitées en ERC-20

Le grand classique. Vous approuvez un contrat de jetons pour le montant maximal possible (2^256 − 1) vers une adresse de paiement que vous ne contrôlez pas. Le destinataire du paiement — c'est-à-dire l'attaquant — effectue alors un appel transferFrom(you, attacker, balance) quand bon leur semble. L'autorisation reste valable indéfiniment, sauf si vous la révoquez explicitement via Revoke.cash ou directement le contrat du jeton.

// Ce que vous avez effectivement signé :approuver( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attaques0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffentier sans signe de 256 bits ) // L'interface utilisateur du portefeuille affichait : « Vérifier la propriété du portefeuille »

2. setApprovalForAll(operator, true) — collection complète de NFT

Pire que l'approbation ERC-20, car c'est tout ou rien par collection. Une seule signature suffit pour que l'attaquant puisse désormais disposer de tous les NFT de ce contrat. C'est ainsi que Seth Green a perdu 4 Bored Apes en 2022 et qu'une seule victime a perdu 14 BAYC à la suite de la fausse arnaque à la licence « Forte Pictures » en décembre 2022.

setApprovalForAll( Attaques 0x..., // « opérateur »vrai// approuvé pour l'ensemble de la collection )

3. EIP-2612 / Signatures hors chaîne Permit2

Voici le L'arme de prédilection pour la période 2024-2026. Au lieu d'une solution sur la chaîne approve() (ce qui consomme du gaz et se ressent clairement dans votre portefeuille), l'attaquant récupère une signature EIP-712 hors chaîne via eth_signTypedData_v4. Aucune transaction. Aucun gaz de votre côté. Juste une fenêtre contextuelle indiquant « Signez ce message ». L'interface utilisateur du portefeuille pour la signature de données saisies est réputée pour être difficile à lire, et celle d'Uniswap Permis n° 2 transforme une signature en autorisations pour plusieurs jetons à la fois.

// Ce que MetaMask vous a montré :// « PermitSingle »// donateur : 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...ça a l'air correct, c'est bien le véritable contrat Permit2...// Ce qui a été effectivement autorisé : { « détails »: { « jeton »: Pièce de 1 dollar américain « Zero-x », « montant »: « 1461501637330902918203684832716283019655932542975 », // max« expiration »: 281474976710655// vers l'an 10889 }, « donateur »: « Attaques 0x... », « sigDeadline »: 9999999999 }

Ceci Étude de cas complète de Blockaid sur Permit2 pour un guide détaillé de l'attaque, incluant l'astuce de routage SushiSwap qui dissimule le détournement d'ETH au sein de ce qui ressemble à un échange normal.

4. Ingénierie sociale par phrase-clé directe

Ce n'est pas à proprement parler un « drainer » au sens strict du terme, mais il s'agit de la variante la plus productive en 2026. Le Janvier 2026 : incident Trezor n'a contourné aucun système de chiffrement. Un « agent du service client » a appelé la victime, l'a guidée à travers une fausse procédure de « vérification » et l'a amenée à lui lire sa phrase de récupération. Résultat : 1 459 BTC + 2,05 millions de LTC = 284 millions de dollars, soit 71 % du total des pertes liées aux vols de cryptomonnaies pour ce mois-là, convertis en Monero avant que la presse ne s'en empare.

Les portefeuilles matériels empêchent l'extraction de clés à distance. Ils ne vous empêchent pas de saisir votre phrase de récupération sur le site web d'un hameçonneur. Utilisez un Phrase de passe BIP-39.

L'économie du « vidangeur à la demande »

Aucun des acteurs qui vous volent réellement votre argent n'écrit le code. Ils rent Le Drainer-as-a-Service (DaaS) est un marché B2B entièrement banalisé, caractérisé par une stratégie de marque, des niveaux de tarification, des canaux d'assistance, des mises à jour de version et une pression à la baisse évidente sur les commissions des opérateurs.

Enfer
Très sophistiqué. Configuration sur la chaîne (BNB), canal de commande (C2) chiffré en AES, protection anti-débogueur, routage via SushiSwap. Analyse CP
réduction de 15 à 20 %
Angel (GhostSec)
Multi-chaînes, sous forme de produits — versions numérotées à l'instar des logiciels commerciaux (v8.2, v8.3...).
réduction de 20 %
CLINKSINK
Basé sur JavaScript, axé sur Solana. Le kit à l'origine du piratage de Mandiant X (900 000 dollars) et de la compromission de la SEC.
réduction d'environ 20 %
Rose
Spécialisé dans les NFT. Record pour une seule transaction : 320 000 $ en BAYC/MAYC/Otherdeed en une seule opération.
réduction d'environ 20 %
MS Drainer
59 millions de dollars provenant de 63 000 victimes via des publicités sponsorisées sur X (Twitter), de mars à novembre 2023. ScamSniffer
était.
Tapis multi-chaînes
Stratégie de leader sur les prix : proposer des commissions inférieures à celles d'Angel/Inferno pour gagner en volume.
réduction de 5 à 10 %

Frais d'adhésion pour un affilié : a Acompte de 5 000 à 10 000 dollars, parfois sous forme de kit clé en main. L'affilié conserve entre 75 et 95 % des fonds détournés et confie toutes les questions techniques — charge utile JS, contrat intelligent, hébergement, circuit de blanchiment, voire assistance Telegram 24 h/24 et 7 j/7 — à l'opérateur. SentinelOne et le Étude universitaire IMC 2025 suivre la chaîne d'approvisionnement en détail.

C'est pourquoi les mesures ponctuelles de type « jeu du chat et de la souris » ne suffisent pas — et pourquoi les bureaux d'enregistrement qui ferment les yeux sur les abus constituent le véritable goulot d'étranglement. PhishDestroy a recensé et signalé Plus de 16 000 domaines liés à Inferno seul.

Signaux d'alerte avant de signer

La boîte de dialogue de signature constitue la dernière ligne de défense. Si l'une de ces conditions est remplie, annuler — il n'existe aucun flux légitime qui les rende nécessaires :

  • Vous êtes arrivé ici via un résultat de recherche sponsorisé, un message privé ou un lien contenu dans un e-mail. Les résultats sponsorisés liés aux cryptomonnaies ont été compromis sur tous les principaux moteurs de recherche. Utilisez toujours un signet pour y accéder.
  • La signature est « gratuite » / « sans frais de gaz » / « hors chaîne ». Il s'agit d'une signature hors chaîne de type Permit2. Lisez les champs de données typées. Si spender Si cela vous est inconnu, passez votre chemin.
  • Le montant est de uint256.max, 0xfff…fff, ou « illimité ». Presque aucun processus légitime ne nécessite une autorisation illimitée.
  • La fonction est setApprovalForAll sur une collection que vous ne reconnaissez pas. Ou pour une plateforme autre qu'OpenSea, Blur ou LooksRare.
  • Le site vous demande de changer de chaîne dès que vous vous connectez. Boucle d'extraction multi-chaînes en cours.
  • Le contrat de destination a été déployé il y a moins de 7 jours. Les drainers de classe Inferno renouvellent leurs contrats intermédiaires toutes les 24 heures.
  • Tu te sens pressé. Compteurs à rebours, « l'offre prend fin dans 4 min 32 s », « plus que 12 places disponibles » : tous les modèles Drainer en sont équipés.
  • C'est le « service client » qui vous a contacté en premier. Trezor, Ledger, MetaMask, Coinbase, Binance… Aucun d’entre eux ne vous envoie de message privé. Jamais.

Comment se défendre concrètement

  • Séparation des portefeuilles. Portefeuille froid (matériel, majeure partie du patrimoine) → portefeuille chaud opérationnel (1 à 2 semaines d'activité) → portefeuille jetable (tout ce qui est nouveau, solde quasi nul). Ne connectez jamais un portefeuille froid à une nouvelle dApp.
  • Portefeuille matériel + phrase de passe BIP-39. La phrase de passe fait toute la différence entre « l'incident Trezor de 284 millions de dollars » et « le pirate a votre phrase de récupération mais ne trouve rien ». Mémorisez-la. Ne la stockez pas sous forme numérique.
  • Simulateurs de transactions.Blockaid, Protection pour portefeuille, Pocket Universe, Fire — installez-en une. Elles affichent la variation réelle du solde avant que vous ne signiez.
  • Ajouter toutes les dApps à vos favoris. Ne tapez jamais « Uniswap » dans Google. Ne cliquez jamais sur les liens vers des cryptomonnaies sur les réseaux sociaux. Les résultats sponsorisés sont trompeurs bien plus souvent que vous ne le pensez.
  • Vérifiez vos validations chaque semaine.Revoke.cash affiche toutes les autorisations actives sur l'ensemble des chaînes. Révocer toutes celles que vous n'utilisez pas activement.
  • Avant toute chose, passez tout site inconnu par un proxy. Videz votre portefeuille, voyez ce qu'il contient, puis décidez s'il vaut vraiment la peine d'en avoir un.
  • Désactivez les extensions de navigateur dans le profil du portefeuille. Un profil de navigateur distinct (ou une fenêtre Brave Tor) réservé au Web3. Les extensions constituent un vecteur de fuite de ressources avéré — voir Analyse de la chaîne d'approvisionnement npm de Mend.io.
  • Vérifiez la réputation du domaine. Collez l'URL dans Rapports sur le domaine PhishDestroy, urlscan, ou notre bot Telegram. Si nous l'avons déjà vu, il est signalé.

Si vous avez déjà signé : faites-le dans les 60 prochaines secondes

  1. Stop. Ne signez rien d'autre, y compris les messages vous invitant à « réparer » ou à « récupérer » vos données : il s'agit d'arnaques de deuxième vague qui profitent de votre panique.
  2. Déplacez tout ce qui n'est pas encore asséché. Créez un tout nouveau portefeuille (de préférence matériel) et transférez-y les actifs restants. Commencez par ceux qui ont le plus de valeur. Traitez chaque adresse dérivée de la clé compromise est considérée comme définitivement perdue.
  3. Annuler les autorisations sur le portefeuille piraté via Revoke.cash — pour toutes les chaînes, pas seulement Ethereum. C'est une course contre l'automatisation mise en place par les pirates.
  4. Conservez toutes les traces. Hachages TX, adresses des pirates, horodatages, URL exacte du site de phishing. Capture d'écran avant de fermer l'onglet.
  5. Rapport. Classé sous Centre de signalement des crimes sur Internet du FBI, votre service local de lutte contre la cybercriminalité, les protocoles concernés (Uniswap, OpenSea, etc. — ils bloquent parfois les produits dérivés), et transmettez l'URL de phishing à @PhishDestroy_bot Nous mettons donc hors service l'infrastructure de la prochaine victime.
  6. Si une phrase de récupération a été divulguée : Le portefeuille a disparu. Arrêtez d'essayer de le « sécuriser ». Passez à autre chose, prenez un nouveau départ, tirez-en les leçons.

« Les drainers ne contournent pas la cryptographie. Ils remettent en cause l'hypothèse selon laquelle les humains sont capables de lire les données d'appel à la vitesse exigée par les portefeuilles. Il suffit de ralentir le processus d'une seule signature pour que tout le système de vol s'effondre. »

Sources et lectures complémentaires

  1. Chainalysis — Les « crypto-drainers » : une menace pour le Web3
  2. Group-IB — Enquête sur l'Inferno Drainer
  3. Check Point Research — Inferno Drainer Reloaded
  4. ScamSniffer — Pink Drainer 2024 incidents
  5. Blockaid — Déroulement étape par étape d'un vol de cryptomonnaies
  6. BleepingComputer — Détournement de Mandiant X via CLINKSINK
  7. Cyber Daily — Piratage de Mandiant = campagne de 900 000 dollars
  8. SentinelOne — L'essor du « Drainer-as-a-Service »
  9. Le gourou — Abus d'autorisation de portefeuille → attaques Web3 assistées par des logiciels malveillants
  10. Mend.io — Attaque de la chaîne d'approvisionnement npm visant les paquets Web3
  11. AInvest — Janvier 2026 : analyse de Trezor (284 millions de dollars)
  12. IMC 2025 : volet universitaire — Étude sur la mesure de l'économie du DaaS
  13. PhishDestroy — Les bureaux d'enregistrement à l'origine d'escroqueries à l'échelle mondiale
  14. PhishDestroy — Les coulisses d'une opération de démantèlement d'une attaque par hameçonnage
  15. PhishDestroy — Liste des menaces à éliminer en temps réel (plus de 130 000 menaces actives)

Comment PhishDestroy lutte contre les « drainers »

Nous sommes un collectif bénévole à but non lucratif. Nous traquons les infrastructures de draineurs 24 heures sur 24, 7 jours sur 7, sur les moteurs de recherche, les publicités payantes, Discord, X, Telegram et les pièges à registres, puis nous les neutralisons.

  • Plus de 785 000 Domaines liés au phishing et aux escroqueries suivis depuis 2019.
  • Plus de 89 000 signalements d'abus adressés aux bureaux d'enregistrement et aux hébergeurs.
  • 50 ans et plus Les éditeurs de logiciels antivirus et les plateformes de renseignements sur les menaces exploitent notre flux.
  • < 0,5 % taux de faux positifs sur plus de 100 000 rapports validés.
  • Gratuit, public, immuable archives des preuves sur GitHub + HuggingFace.

Vous avez repéré un site qui ralentit votre connexion ? Envoyez l'URL à @PhishDestroy_bot. On aura déposé la plainte pour abus avant même que ton café ne refroidisse.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Partager cet article

Enquêtes connexes

ÉTUDE DE CAS
BuyTRX Drainer : enquête au niveau des panneaux
Anatomy of a Takedown
MÉTHODOLOGIE
Comment on met fin à une opération de hameçonnage
Registrars Enabling Scams
ENQUÊTE
NameSilo, Webnic, NiceNic : des bureaux d'enregistrement à l'origine d'escroqueries
Avis de transparence. PhishDestroy est un projet à but non lucratif mené par des bénévoles. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les rendent possibles. Les références renvoient aux sources primaires dans la mesure du possible — veuillez les évaluer de manière indépendante. Aucune information présentée ici ne constitue un conseil financier ou juridique. Lire notre déclaration de transparence complète →