Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / CRYPTO DRAINER ANATOMY

Anatomie d'un « crypto-drainer » : 1,93 milliard de dollars volés

The Enablers Registry·Editorial mirror·/fr/crypto-drainer-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

MENACE WEB3

Anatomie d'un escroc du monde des cryptomonnaies : comment 1,93 milliard de dollars se sont évaporés en six mois

Un « drainer » ne vole pas votre phrase de récupération. Il vole votre signature. Un seul clic — un seul clic sur le bouton « Réclamer », « Vérifier » ou « Connecter le portefeuille » — et une série de contrats intelligents prédéfinis vide votre solde avant même que vous n’ayez le temps de retirer votre doigt du pavé tactile.

Anatomie d'un pirate de portefeuilles de cryptomonnaies — une chaîne d'attaque en six étapes
$1.93B
Pertes du premier semestre 2025
+540 % par rapport à 2023
$284M
Une seule victime, janvier 2026
Arnaque liée à la phrase de récupération [REDACTED]
Plus de 320 000
Victimes en 2023
environ 900 par jour
$5–10K
Coût d'accès au DaaS
kit prêt à l'emploi

Qu'est-ce qu'un « drainer » exactement ?

A draineur de cryptomonnaies est un outil de hameçonnage spécialement conçu pour le Web3. Il ne cherche pas à vous soutirer votre mot de passe ni à extraire une clé privée. Au contraire, il vous incite à signer une transaction — généralement un approve(), setApprovalForAll(), ou hors chaîne Permit message — qui donne à l'attaquant le droit de déplacer vos actifs à sa guise. Le portefeuille reste « le vôtre ». Les fonds, eux, non.

Ce modèle est d'une efficacité redoutable, car il exploite à outrance légitime primitives de la blockchain. Votre clé privée n'est jamais compromise. Il n'y a aucun logiciel malveillant sur votre ordinateur. Il n'y a qu'une seule signature, sur une seule transaction, que les analystes de la chaîne pourront voir et dont l'effet ne peut être annulé par aucune autorité.

Selon Chainalysis, un « drainer » est « un outil de hameçonnage conçu pour l'écosystème Web3 » qui se fait passer pour une dApp légitime. Group-IB, Check Point Research, et ScamSniffer ont répertorié des milliers de campagnes reposant précisément sur ce mécanisme.

La chaîne d'attaque en 6 étapes

Chaque attaque de type « drainer » — Inferno, Pink, Angel, MS, CLINKSINK, Rugging, ainsi que les dizaines de variantes sans nom — suit les six mêmes étapes. Tout l’art consiste à les condenser toutes dans les quelques secondes qui séparent la connexion au portefeuille de la confirmation de la transaction.

1 Lure airdrop / ad / DM 2 Connect wallet hooked 3 Recon analyzeWallet() 4 Sign approve / permit 5 Drain transferFrom() 6 Launder DEX → bridge → XMR SOCIAL ENGINEERING TECHNICAL EXECUTION EXFILTRATION

1. Le leurre

Faux airdrops, publicités sponsorisées sur Google/X, comptes vérifiés piratés (les Comptes de la SEC et de Mandiant (qui ont tous deux été utilisés comme « mégaphones » pour détourner des fonds), des bots de vérification sur [REDACTED], de fausses émissions de NFT, des invitations « exclusives » à des versions bêta et des escroqueries liées à l’octroi de licences de propriété intellectuelle. Quelle que soit la forme sous laquelle elles se présentent, l’objectif est de vous diriger vers un domaine contrôlé par le pirate.

2. Se connecter

Vous cliquez sur « Connecter le portefeuille ». [REDACTED], Rabby, WalletConnect, [REDACTED]… Tout va bien, c'est tout à fait normal. Le script JavaScript « drainer » dispose désormais d'un accès en lecture à votre objet « portefeuille » via window.ethereum (ou l'équivalent), et commence à tirer eth_call les requêtes en arrière-plan.

3. Reconnaissance

L'outil de suivi répertorie vos actifs : solde natif, tokens ERC-20, collections de NFT, positions DeFi sur plusieurs chaînes. Il utilise des oracles de prix de type CoinGecko pour convertir tous les actifs en dollars américains. Les kits premium tels que Inferno Drainer enregistrer leur configuration sur la chaîne (BNB Chain) afin qu'il puisse être mis à jour sans avoir à redéployer la charge utile JS.

4. Signe

La dApp vous invite à « Vérifier la propriété », « Réclamer l'airdrop », « Approuver la collecte » ou « Signer pour accéder ». L'interface utilisateur du portefeuille affiche ce qui semble être un message anodin. En réalité, les données d'appel (calldata) sont soigneusement choisies pour maximiser les dégâts — voir la section suivante.

5. Égoutter

Dès que vous avez apposé votre signature, l'attaquant passe son coup transferFrom() à partir d'un portefeuille distinct (séparation opérationnelle — l'« adresse » qui a reçu l'autorisation n'est jamais le « destinataire » qui détient le butin). Les kits Premium regroupent les transferts d'ETH natifs, d'ERC-20, de NFT ERC-721/1155 et de Permit2 en une seule multicall. Latence nette entre la signature et le virement : secondes.

6. Laver

Les fonds transitent par SushiSwap / Uniswap (les DEX légitimes sont délibérément ajoutés à la liste blanche par la plupart des outils de sécurité), puis via des ponts vers d'autres chaînes, ensuite via des fourches de Tornado Cash, pour aboutir enfin à Monero. Le $284M [REDACTED] incident s'est retrouvé en XMR en l'espace de quelques heures.

Votre portefeuille (avant de signer)

ETH2.4815
USDC18,420.00
WBTC0.34
BAYC n° 42911 NFT
stETH12.1

Contrat de l'attaquant (après une signature)

ETH+2.4815
USDC+18,420.00
WBTC+0.34
BAYC n° 4291+1 NFT
stETH+12.1

Un exemplaire signé Permit2 Un simple message suffit pour valider l'ensemble du lot. Pas de deuxième confirmation. Pas de récupération.

Les quatre charges utiles meurtrières

Dans la pratique, chaque drainer utilise une combinaison de ces quatre éléments de base. Chacun d'entre eux est un légitime Norme ERC ou méthode RPC. Il n'y a pas de « correctif » — seulement la sensibilisation.

1. approve(spender, type(uint256).max) — Dépenses illimitées en ERC-20

La méthode classique. Vous validez un contrat de jeton pour le montant maximal possible (2^256 − 1) vers une adresse de paiement que vous ne contrôlez pas. Le payeur — c'est-à-dire l'attaquant — appelle alors transferFrom(you, attacker, balance) à leur convenance. L'autorisation reste valable indéfiniment, sauf si vous la révoquez explicitement via Revoke.cash ou directement le contrat du jeton.

// What you actually signed:approuver( 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, // attacker0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff// max uint256 ) // Wallet UI showed: "Verify wallet ownership"

2. setApprovalForAll(operator, true) — collection complète de NFT

Pire que la validation ERC-20, car c'est « tout ou rien » par collection. Une seule signature suffit pour que l'attaquant puisse désormais disposer de tous les NFT de ce contrat. C'est ainsi que Seth Green a perdu 4 Bored Apes en 2022 et qu'une seule victime a perdu 14 BAYC à la suite de la fausse arnaque à la licence « Forte Pictures » en décembre 2022.

setApprovalForAll( 0xattacker..., // "operator"vrai// approved for the entire collection )

3. EIP-2612 / Signatures hors chaîne avec Permit2

Voici le L'arme de prédilection pour la période 2024-2026. Au lieu d'une solution sur la chaîne approve() (ce qui consomme du gaz et se ressent clairement dans votre portefeuille), l'attaquant récupère une signature EIP-712 hors chaîne via eth_signTypedData_v4. Aucune transaction. Aucun gaz à payer de votre côté. Juste une fenêtre contextuelle indiquant « Signez ce message ». L'interface utilisateur du portefeuille pour la signature des données saisies est réputée pour être difficile à lire, et celle d'Uniswap Permis 2 permet de transformer une signature en autorisations pour plusieurs jetons à la fois.

// What [REDACTED] showed you:// "PermitSingle"// spender: 0x000000000022D473030F116dDEE9F6B43aC78BA3// ...looks fine, that's the real Permit2 contract...// What it actually authorized: { « détails »: { « jeton »: « 0xUSDC... », « montant »: "1461501637330902918203684832716283019655932542975", // max« expiration »: 281474976710655// year ~10889 }, « dépensier »: « 0xattacker... », « sigDeadline »: 9999999999 }

Voir Étude de cas complète de Blockaid sur Permit2 pour un guide détaillé de l'attaque, incluant l'astuce de routage SushiSwap qui masque le détournement d'ETH au sein de ce qui ressemble à un échange normal.

4. Ingénierie sociale visant directement la phrase de récupération

Ce n'est pas à proprement parler un « drainer » au sens strict du terme — mais c'est la variante la plus rentable en 2026. Le Janvier 2026 : incident [REDACTED] n'a contourné aucun système de chiffrement. Un « agent du service client » a appelé la victime, l'a guidée tout au long d'un faux processus de « vérification » et l'a amenée à lui lire sa phrase de récupération. Résultat : 1 459 BTC + 2,05 millions de LTC = 284 millions de dollars, soit 71 % du montant total des pertes liées aux vols de cryptomonnaies pour ce mois-là, convertis en Monero avant que l'affaire ne fasse la une de l'actualité.

Les portefeuilles matériels empêchent l'extraction à distance des clés. Ils ne vous empêchent toutefois pas de saisir votre phrase de récupération sur le site web d'un hameçonneur. Utilisez un Phrase de passe BIP-39.

L'économie du « Drainer-as-a-Service »

Aucun des acteurs qui vous volent réellement votre argent n'écrit le code. Ils loyer En effet, le « Drainer-as-a-Service » (DaaS) est un marché B2B entièrement banalisé, caractérisé par une stratégie de marque, des niveaux de tarification, des canaux d'assistance, des mises à jour de version et une pression à la baisse évidente sur les commissions des opérateurs.

Inferno
Très sophistiqué. Configuration sur la chaîne (BNB), canal de commande (C2) chiffré en AES, protection anti-débogueur, routage via SushiSwap. Analyse CP
réduction de 15 à 20 %
Angel (GhostSec)
Multi-chaînes, standardisées — versions numérotées à l'instar des logiciels commerciaux (v8.2, v8.3...).
réduction de 20 %
CLINKSINK
Basé sur JavaScript, axé sur Solana. Le kit à l'origine du piratage de Mandiant X (900 000 dollars) et de la compromission de la SEC.
réduction d'environ 20 %
Rose
Spécialisé dans les NFT. Record pour une seule victime : 320 000 dollars en BAYC/MAYC/Otherdeed en une seule transaction.
réduction d'environ 20 %
MS Drainer
$59M from 63K victims via X (Twitter) sponsored ads, March–November 2023. ScamSniffer
var.
Tapis multi-chaînes
Stratégie de leader sur les prix : proposer des commissions inférieures à celles d'Angel/Inferno pour gagner en volume.
réduction de 5 à 10 %

Coût d'adhésion pour un affilié : a $5,000–$10,000 deposit, parfois sous la forme d’un kit clé en main. L’affilié conserve entre 75 et 95 % des fonds volés et confie toutes les questions techniques — charge utile JS, contrat intelligent, hébergement, circuit de blanchiment, voire assistance [REDACTED] 24 h/24 et 7 j/7 — à l’opérateur. SentinelOne et le Étude universitaire IMC 2025 suivre la chaîne d'approvisionnement en détail.

C'est pourquoi les retraits ponctuels de type « jeu du chat et de la souris » ne suffisent pas — et c'est pourquoi les bureaux d'enregistrement qui ferment les yeux sur les abus constituent le véritable goulot d'étranglement. THE ENABLERS REGISTRY a recensé et signalé Plus de 16 000 domaines liés à Inferno seul.

Signaux d'alerte avant de signer

La boîte de dialogue de signature constitue la dernière ligne de défense. Si l'une de ces conditions est remplie, annuler — il n'existe aucun flux légitime qui les rende nécessaires :

  • Vous êtes arrivé ici via un résultat de recherche sponsorisé, un message privé ou un lien contenu dans un e-mail. Les résultats liés aux cryptomonnaies sponsorisés ont été faussés sur tous les principaux moteurs de recherche. Utilisez toujours un signet pour y accéder.
  • La signature est « gratuite » / « sans gaz » / « hors chaîne ». Il s'agit d'une signature hors chaîne de type « Permit2 ». Lisez les champs de données typées. Si spender Si cela vous est inconnu, passez votre chemin.
  • Le montant est de uint256.max, 0xfff…fff, ou « illimité ». Pratiquement aucun flux légitime ne nécessite une autorisation illimitée.
  • La fonction est la suivante : setApprovalForAll sur un recueil que vous ne reconnaissez pas. Ou pour un « opérateur » autre qu'[REDACTED], Blur ou LooksRare.
  • Le site vous demande de changer de chaîne dès que vous vous connectez. Boucle d'extraction multi-chaînes en cours.
  • Le contrat de destination a été déployé il y a moins de 7 jours. Les « drainers » de classe Inferno renouvellent leurs contrats intermédiaires toutes les 24 heures.
  • Tu te sens pressé. Compteurs à rebours, « l'offre prend fin dans 4 min 32 s », « il ne reste plus que 12 places » : tous les modèles de Drainer sont fournis avec ces éléments.
  • C'est le « service client » qui vous a contacté en premier. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72… Aucun d'entre eux ne vous envoie de message privé. Jamais.

Comment se défendre concrètement

  • Séparation des portefeuilles. Portefeuille froid (matériel, majeure partie du patrimoine) → portefeuille chaud opérationnel (1 à 2 semaines d'activité) → portefeuille jetable (tout ce qui est nouveau, solde quasi nul). Ne connectez jamais un portefeuille froid à une nouvelle dApp.
  • Portefeuille matériel + phrase de sécurité BIP-39. La phrase secrète fait toute la différence entre « l'incident [REDACTED] de 284 millions de dollars » et « le pirate a votre phrase de récupération mais ne trouve rien ». Mémorisez-la. Ne la stockez pas sous forme numérique.
  • Simulateurs de transactions.Blockaid, Protection pour portefeuille, Pocket Universe, Fire — installez-en un. Ils affichent la variation réelle du solde avant que vous ne signiez.
  • Ajouter toutes les dApps à vos favoris. Ne tapez jamais « uniswap » dans Google. Ne cliquez jamais sur les liens liés aux cryptomonnaies que vous trouvez sur les réseaux sociaux. Les résultats sponsorisés sont erronés bien plus souvent que vous ne le pensez.
  • Vérifiez vos validations chaque semaine.Revoke.cash affiche toutes les autorisations actives sur l'ensemble des chaînes. Révociez celles que vous n'utilisez pas activement.
  • Avant toute chose, passez tout site que vous ne connaissez pas par un proxy jetable. Videz votre portefeuille, voyez ce qu'il vous demande, puis décidez s'il vaut vraiment la peine d'en avoir un.
  • Désactivez les extensions de navigateur dans le profil du portefeuille. Un profil de navigateur distinct (ou une fenêtre Brave Tor) dédié exclusivement au Web3. Les extensions constituent un vecteur de consommation d'énergie avéré — voir Analyse de la chaîne d'approvisionnement npm de [REDACTED].
  • Vérifiez la réputation du domaine. Collez l'URL dans Rapports sur le domaine THE ENABLERS REGISTRY, urlscan, ou notre bot [REDACTED]. Si nous l'avons déjà vu, il est signalé.

Si vous avez déjà signé : faites-le dans les 60 secondes qui suivent

  1. Arrête. Ne signez rien d'autre, y compris les messages vous invitant à une « réparation » ou à une « récupération » : il s'agit là d'escroqueries de deuxième vague qui profitent de votre panique.
  2. Déplacez tout ce qui n'est pas encore asséché. Créez un tout nouveau portefeuille (de préférence matériel) et transférez-y les actifs restants. Commencez par ceux qui ont la plus grande valeur. Traitez chaque l'adresse dérivée de la clé compromise est considérée comme définitivement gravée.
  3. Révoquer les autorisations sur le portefeuille piraté via Revoke.cash — pour toutes les chaînes, pas seulement Ethereum. C'est une course contre l'automatisation mise en place par l'attaquant.
  4. Tout consigner par écrit. Hachages Tx, adresses des pirates, horodatages, URL exacte du site de hameçonnage. Capture d'écran avant de fermer l'onglet.
  5. Rapport. Classer avec FBI IC3, votre service local de lutte contre la cybercriminalité, les protocoles concernés (Uniswap, [REDACTED], etc. — ils bloquent parfois les produits dérivés), et transmettez l'URL de l'hameçonnage à @EnablersRegistry On met donc hors service l'infrastructure de la prochaine victime.
  6. Si une phrase de récupération a été divulguée : Le portefeuille a disparu. Arrêtez d'essayer de le « sécuriser ». Passez à autre chose, prenez un nouveau départ, tirez-en les leçons.

« Les “drainers” ne contournent pas la cryptographie. Ils remettent en cause l’hypothèse selon laquelle les humains sont capables de lire les données d’appel à la vitesse exigée par les portefeuilles. Il suffit de ralentir d’une signature pour que tout le secteur du vol s’effondre. »

Comment THE ENABLERS REGISTRY lutte contre les « drainers »

Nous sommes un collectif d'opérateurs à but non lucratif. Nous traquons 24 heures sur 24 et 7 jours sur 7 les infrastructures de « drainer » sur les moteurs de recherche, les publicités payantes, [REDACTED], X, [REDACTED] et les « honeypots » des bureaux d'enregistrement, puis nous les neutralisons.

  • Plus de 785 000 Domaines liés au possibly phishing et aux escroqueries suivis depuis 2019.
  • Plus de 89 000 signalements d'abus adressés aux bureaux d'enregistrement et aux hébergeurs.
  • 50+ Les éditeurs de logiciels antivirus et les plateformes de renseignements sur les menaces exploitent notre flux.
  • < 0,5 % Taux de faux positifs sur plus de 100 000 rapports validés.
  • Gratuit, public, immuable archives des preuves sur GitHub + HuggingFace.

Vous avez repéré un site qui ralentit votre connexion ? Envoyez l'URL à @EnablersRegistry. Nous aurons déposé la plainte pour abus avant même que votre café ne refroidisse.

#CryptoDrainer#Web3Security#WalletDrainer#Permit2#DaaS#Inferno

Partager cet article

Enquêtes connexes

ÉTUDE DE CAS
[REDACTED] Drainer : enquête au niveau des panneaux
MÉTHODOLOGIE
Analyse d'un retrait d'une attaque par hameçonnage
ENQUÊTE
IANA #1479, IANA #460, IANA #3765 : des bureaux d'enregistrement à l'origine d'escroqueries

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings