Anatomie d'un escroc du monde des cryptomonnaies : comment 1,93 milliard de dollars se sont évaporés en six mois
Un « drainer » ne vole pas votre phrase de récupération. Il vole votre signature. Un seul clic — un seul clic sur le bouton « Réclamer », « Vérifier » ou « Connecter le portefeuille » — et une série de contrats intelligents prédéfinis vide votre solde avant même que vous n’ayez le temps de retirer votre doigt du pavé tactile.
Qu'est-ce qu'un « drainer » exactement ?
A draineur de cryptomonnaies est un outil de hameçonnage spécialement conçu pour le Web3. Il ne cherche pas à vous soutirer votre mot de passe ni à extraire une clé privée. Au contraire, il vous incite à signer une transaction — généralement un approve(), setApprovalForAll(), ou hors chaîne Permit message — qui donne à l'attaquant le droit de déplacer vos actifs à sa guise. Le portefeuille reste « le vôtre ». Les fonds, eux, non.
Ce modèle est d'une efficacité redoutable, car il exploite à outrance légitime primitives de la blockchain. Votre clé privée n'est jamais compromise. Il n'y a aucun logiciel malveillant sur votre ordinateur. Il n'y a qu'une seule signature, sur une seule transaction, que les analystes de la chaîne pourront voir et dont l'effet ne peut être annulé par aucune autorité.
Selon Chainalysis, un « drainer » est « un outil de hameçonnage conçu pour l'écosystème Web3 » qui se fait passer pour une dApp légitime. Group-IB, Check Point Research, et ScamSniffer ont répertorié des milliers de campagnes reposant précisément sur ce mécanisme.
La chaîne d'attaque en 6 étapes
Chaque attaque de type « drainer » — Inferno, Pink, Angel, MS, CLINKSINK, Rugging, ainsi que les dizaines de variantes sans nom — suit les six mêmes étapes. Tout l’art consiste à les condenser toutes dans les quelques secondes qui séparent la connexion au portefeuille de la confirmation de la transaction.
1. Le leurre
Faux airdrops, publicités sponsorisées sur Google/X, comptes vérifiés piratés (les Comptes de la SEC et de Mandiant (qui ont tous deux été utilisés comme « mégaphones » pour détourner des fonds), des bots de vérification sur [REDACTED], de fausses émissions de NFT, des invitations « exclusives » à des versions bêta et des escroqueries liées à l’octroi de licences de propriété intellectuelle. Quelle que soit la forme sous laquelle elles se présentent, l’objectif est de vous diriger vers un domaine contrôlé par le pirate.
2. Se connecter
Vous cliquez sur « Connecter le portefeuille ». [REDACTED], Rabby, WalletConnect, [REDACTED]… Tout va bien, c'est tout à fait normal. Le script JavaScript « drainer » dispose désormais d'un accès en lecture à votre objet « portefeuille » via window.ethereum (ou l'équivalent), et commence à tirer eth_call les requêtes en arrière-plan.
3. Reconnaissance
L'outil de suivi répertorie vos actifs : solde natif, tokens ERC-20, collections de NFT, positions DeFi sur plusieurs chaînes. Il utilise des oracles de prix de type CoinGecko pour convertir tous les actifs en dollars américains. Les kits premium tels que Inferno Drainer enregistrer leur configuration sur la chaîne (BNB Chain) afin qu'il puisse être mis à jour sans avoir à redéployer la charge utile JS.
4. Signe
La dApp vous invite à « Vérifier la propriété », « Réclamer l'airdrop », « Approuver la collecte » ou « Signer pour accéder ». L'interface utilisateur du portefeuille affiche ce qui semble être un message anodin. En réalité, les données d'appel (calldata) sont soigneusement choisies pour maximiser les dégâts — voir la section suivante.
5. Égoutter
Dès que vous avez apposé votre signature, l'attaquant passe son coup transferFrom() à partir d'un portefeuille distinct (séparation opérationnelle — l'« adresse » qui a reçu l'autorisation n'est jamais le « destinataire » qui détient le butin). Les kits Premium regroupent les transferts d'ETH natifs, d'ERC-20, de NFT ERC-721/1155 et de Permit2 en une seule multicall. Latence nette entre la signature et le virement : secondes.
6. Laver
Les fonds transitent par SushiSwap / Uniswap (les DEX légitimes sont délibérément ajoutés à la liste blanche par la plupart des outils de sécurité), puis via des ponts vers d'autres chaînes, ensuite via des fourches de Tornado Cash, pour aboutir enfin à Monero. Le $284M [REDACTED] incident s'est retrouvé en XMR en l'espace de quelques heures.
Votre portefeuille (avant de signer)
Contrat de l'attaquant (après une signature)
Un exemplaire signé Permit2 Un simple message suffit pour valider l'ensemble du lot. Pas de deuxième confirmation. Pas de récupération.
Les quatre charges utiles meurtrières
Dans la pratique, chaque drainer utilise une combinaison de ces quatre éléments de base. Chacun d'entre eux est un légitime Norme ERC ou méthode RPC. Il n'y a pas de « correctif » — seulement la sensibilisation.
1. approve(spender, type(uint256).max) — Dépenses illimitées en ERC-20
La méthode classique. Vous validez un contrat de jeton pour le montant maximal possible (2^256 − 1) vers une adresse de paiement que vous ne contrôlez pas. Le payeur — c'est-à-dire l'attaquant — appelle alors transferFrom(you, attacker, balance) à leur convenance. L'autorisation reste valable indéfiniment, sauf si vous la révoquez explicitement via Revoke.cash ou directement le contrat du jeton.
2. setApprovalForAll(operator, true) — collection complète de NFT
Pire que la validation ERC-20, car c'est « tout ou rien » par collection. Une seule signature suffit pour que l'attaquant puisse désormais disposer de tous les NFT de ce contrat. C'est ainsi que Seth Green a perdu 4 Bored Apes en 2022 et qu'une seule victime a perdu 14 BAYC à la suite de la fausse arnaque à la licence « Forte Pictures » en décembre 2022.
3. EIP-2612 / Signatures hors chaîne avec Permit2
Voici le L'arme de prédilection pour la période 2024-2026. Au lieu d'une solution sur la chaîne approve() (ce qui consomme du gaz et se ressent clairement dans votre portefeuille), l'attaquant récupère une signature EIP-712 hors chaîne via eth_signTypedData_v4. Aucune transaction. Aucun gaz à payer de votre côté. Juste une fenêtre contextuelle indiquant « Signez ce message ». L'interface utilisateur du portefeuille pour la signature des données saisies est réputée pour être difficile à lire, et celle d'Uniswap Permis 2 permet de transformer une signature en autorisations pour plusieurs jetons à la fois.
Voir Étude de cas complète de Blockaid sur Permit2 pour un guide détaillé de l'attaque, incluant l'astuce de routage SushiSwap qui masque le détournement d'ETH au sein de ce qui ressemble à un échange normal.
4. Ingénierie sociale visant directement la phrase de récupération
Ce n'est pas à proprement parler un « drainer » au sens strict du terme — mais c'est la variante la plus rentable en 2026. Le Janvier 2026 : incident [REDACTED] n'a contourné aucun système de chiffrement. Un « agent du service client » a appelé la victime, l'a guidée tout au long d'un faux processus de « vérification » et l'a amenée à lui lire sa phrase de récupération. Résultat : 1 459 BTC + 2,05 millions de LTC = 284 millions de dollars, soit 71 % du montant total des pertes liées aux vols de cryptomonnaies pour ce mois-là, convertis en Monero avant que l'affaire ne fasse la une de l'actualité.
Les portefeuilles matériels empêchent l'extraction à distance des clés. Ils ne vous empêchent toutefois pas de saisir votre phrase de récupération sur le site web d'un hameçonneur. Utilisez un Phrase de passe BIP-39.
L'économie du « Drainer-as-a-Service »
Aucun des acteurs qui vous volent réellement votre argent n'écrit le code. Ils loyer En effet, le « Drainer-as-a-Service » (DaaS) est un marché B2B entièrement banalisé, caractérisé par une stratégie de marque, des niveaux de tarification, des canaux d'assistance, des mises à jour de version et une pression à la baisse évidente sur les commissions des opérateurs.
Coût d'adhésion pour un affilié : a $5,000–$10,000 deposit, parfois sous la forme d’un kit clé en main. L’affilié conserve entre 75 et 95 % des fonds volés et confie toutes les questions techniques — charge utile JS, contrat intelligent, hébergement, circuit de blanchiment, voire assistance [REDACTED] 24 h/24 et 7 j/7 — à l’opérateur. SentinelOne et le Étude universitaire IMC 2025 suivre la chaîne d'approvisionnement en détail.
C'est pourquoi les retraits ponctuels de type « jeu du chat et de la souris » ne suffisent pas — et c'est pourquoi les bureaux d'enregistrement qui ferment les yeux sur les abus constituent le véritable goulot d'étranglement. THE ENABLERS REGISTRY a recensé et signalé Plus de 16 000 domaines liés à Inferno seul.
Signaux d'alerte avant de signer
La boîte de dialogue de signature constitue la dernière ligne de défense. Si l'une de ces conditions est remplie, annuler — il n'existe aucun flux légitime qui les rende nécessaires :
- Vous êtes arrivé ici via un résultat de recherche sponsorisé, un message privé ou un lien contenu dans un e-mail. Les résultats liés aux cryptomonnaies sponsorisés ont été faussés sur tous les principaux moteurs de recherche. Utilisez toujours un signet pour y accéder.
- La signature est « gratuite » / « sans gaz » / « hors chaîne ». Il s'agit d'une signature hors chaîne de type « Permit2 ». Lisez les champs de données typées. Si
spenderSi cela vous est inconnu, passez votre chemin. - Le montant est de
uint256.max,0xfff…fff, ou « illimité ». Pratiquement aucun flux légitime ne nécessite une autorisation illimitée. - La fonction est la suivante :
setApprovalForAllsur un recueil que vous ne reconnaissez pas. Ou pour un « opérateur » autre qu'[REDACTED], Blur ou LooksRare. - Le site vous demande de changer de chaîne dès que vous vous connectez. Boucle d'extraction multi-chaînes en cours.
- Le contrat de destination a été déployé il y a moins de 7 jours. Les « drainers » de classe Inferno renouvellent leurs contrats intermédiaires toutes les 24 heures.
- Tu te sens pressé. Compteurs à rebours, « l'offre prend fin dans 4 min 32 s », « il ne reste plus que 12 places » : tous les modèles de Drainer sont fournis avec ces éléments.
- C'est le « service client » qui vous a contacté en premier. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72… Aucun d'entre eux ne vous envoie de message privé. Jamais.
Comment se défendre concrètement
- Séparation des portefeuilles. Portefeuille froid (matériel, majeure partie du patrimoine) → portefeuille chaud opérationnel (1 à 2 semaines d'activité) → portefeuille jetable (tout ce qui est nouveau, solde quasi nul). Ne connectez jamais un portefeuille froid à une nouvelle dApp.
- Portefeuille matériel + phrase de sécurité BIP-39. La phrase secrète fait toute la différence entre « l'incident [REDACTED] de 284 millions de dollars » et « le pirate a votre phrase de récupération mais ne trouve rien ». Mémorisez-la. Ne la stockez pas sous forme numérique.
- Simulateurs de transactions.Blockaid, Protection pour portefeuille, Pocket Universe, Fire — installez-en un. Ils affichent la variation réelle du solde avant que vous ne signiez.
- Ajouter toutes les dApps à vos favoris. Ne tapez jamais « uniswap » dans Google. Ne cliquez jamais sur les liens liés aux cryptomonnaies que vous trouvez sur les réseaux sociaux. Les résultats sponsorisés sont erronés bien plus souvent que vous ne le pensez.
- Vérifiez vos validations chaque semaine.Revoke.cash affiche toutes les autorisations actives sur l'ensemble des chaînes. Révociez celles que vous n'utilisez pas activement.
- Avant toute chose, passez tout site que vous ne connaissez pas par un proxy jetable. Videz votre portefeuille, voyez ce qu'il vous demande, puis décidez s'il vaut vraiment la peine d'en avoir un.
- Désactivez les extensions de navigateur dans le profil du portefeuille. Un profil de navigateur distinct (ou une fenêtre Brave Tor) dédié exclusivement au Web3. Les extensions constituent un vecteur de consommation d'énergie avéré — voir Analyse de la chaîne d'approvisionnement npm de [REDACTED].
- Vérifiez la réputation du domaine. Collez l'URL dans Rapports sur le domaine THE ENABLERS REGISTRY, urlscan, ou notre bot [REDACTED]. Si nous l'avons déjà vu, il est signalé.
Si vous avez déjà signé : faites-le dans les 60 secondes qui suivent
- Arrête. Ne signez rien d'autre, y compris les messages vous invitant à une « réparation » ou à une « récupération » : il s'agit là d'escroqueries de deuxième vague qui profitent de votre panique.
- Déplacez tout ce qui n'est pas encore asséché. Créez un tout nouveau portefeuille (de préférence matériel) et transférez-y les actifs restants. Commencez par ceux qui ont la plus grande valeur. Traitez chaque l'adresse dérivée de la clé compromise est considérée comme définitivement gravée.
- Révoquer les autorisations sur le portefeuille piraté via Revoke.cash — pour toutes les chaînes, pas seulement Ethereum. C'est une course contre l'automatisation mise en place par l'attaquant.
- Tout consigner par écrit. Hachages Tx, adresses des pirates, horodatages, URL exacte du site de hameçonnage. Capture d'écran avant de fermer l'onglet.
- Rapport. Classer avec FBI IC3, votre service local de lutte contre la cybercriminalité, les protocoles concernés (Uniswap, [REDACTED], etc. — ils bloquent parfois les produits dérivés), et transmettez l'URL de l'hameçonnage à @EnablersRegistry On met donc hors service l'infrastructure de la prochaine victime.
- Si une phrase de récupération a été divulguée : Le portefeuille a disparu. Arrêtez d'essayer de le « sécuriser ». Passez à autre chose, prenez un nouveau départ, tirez-en les leçons.
« Les “drainers” ne contournent pas la cryptographie. Ils remettent en cause l’hypothèse selon laquelle les humains sont capables de lire les données d’appel à la vitesse exigée par les portefeuilles. Il suffit de ralentir d’une signature pour que tout le secteur du vol s’effondre. »
Sources et lectures complémentaires
- Chainalysis — Les « crypto-drainers » : une menace pour le Web3
- Group-IB — Enquête sur « Inferno Drainer »
- Check Point Research — Inferno Drainer Reloaded
- ScamSniffer — Incidents liés à « Pink Drainer » en 2024
- Blockaid — Décrire étape par étape le déroulement d'un vol de cryptomonnaies
- BleepingComputer — Piratage de Mandiant X via CLINKSINK
- Cyber Daily — Piratage de Mandiant = campagne de 900 000 dollars
- SentinelOne — L'essor du « Drainer-as-a-Service »
- Gurucul — Abus d'autorisation des portefeuilles → attaques Web3 facilitées par des logiciels malveillants
- [REDACTED] — Attaque de la chaîne d'approvisionnement npm visant les paquets Web3
- AInvest — Analyse de [REDACTED] : janvier 2026, 284 millions de dollars
- IMC 2025 — volet universitaire — Étude sur la mesure de l'économie du DaaS
- THE ENABLERS REGISTRY — Les bureaux d'enregistrement à l'origine d'escroqueries à l'échelle mondiale
- THE ENABLERS REGISTRY — Analyse d'un retrait d'une attaque par hameçonnage
- THE ENABLERS REGISTRY — Liste des menaces à éliminer en temps réel (plus de 130 000 menaces actives)
Comment THE ENABLERS REGISTRY lutte contre les « drainers »
Nous sommes un collectif d'opérateurs à but non lucratif. Nous traquons 24 heures sur 24 et 7 jours sur 7 les infrastructures de « drainer » sur les moteurs de recherche, les publicités payantes, [REDACTED], X, [REDACTED] et les « honeypots » des bureaux d'enregistrement, puis nous les neutralisons.
- Plus de 785 000 Domaines liés au possibly phishing et aux escroqueries suivis depuis 2019.
- Plus de 89 000 signalements d'abus adressés aux bureaux d'enregistrement et aux hébergeurs.
- 50+ Les éditeurs de logiciels antivirus et les plateformes de renseignements sur les menaces exploitent notre flux.
- < 0,5 % Taux de faux positifs sur plus de 100 000 rapports validés.
- Gratuit, public, immuable archives des preuves sur GitHub + HuggingFace.
Vous avez repéré un site qui ralentit votre connexion ? Envoyez l'URL à @EnablersRegistry. Nous aurons déposé la plainte pour abus avant même que votre café ne refroidisse.
