Phishing crypto 2026 : ces campagnes qui vident les portefeuilles
Les pertes du phishing crypto reculent, mais les campagnes se font chirurgicales. Signatures piégées, address poisoning et jeux Steam vérolés : le point sur les attaques qui frappent en 2026.
Le phishing reste, en 2026, la façon la plus directe de vider un portefeuille crypto sans jamais toucher à une faille de smart contract. Pourquoi forcer une serrure quand on peut convaincre la victime de signer elle-même l’ordre de transfert ? Les données du premier semestre dessinent une tendance à double détente : le volume global des pertes recule, mais chaque campagne qui aboutit fait beaucoup plus mal. Tour d’horizon des attaques qui visent les détenteurs francophones de Bitcoin, d’Ethereum et d’actifs de jeu, et des réflexes qui permettent encore d’y échapper.
Le paradoxe de 2026 : moins de victimes, des pertes plus lourdes
Bonne nouvelle d’abord : selon les relevés de Scam Sniffer, les pertes liées aux wallet drainers ont chuté d’environ 83 % sur un an en 2025, pour tomber à près de 74 millions EUR, contre environ 434 millions EUR en 2024, avec un nombre de victimes ramené à 106 000. Le marché baissier y est pour beaucoup, tout comme les alertes désormais intégrées aux portefeuilles. Au moment où ces lignes sont écrites, le Bitcoin est d’ailleurs repassé sous les 53 000 EUR et l’Ether se traite autour de 1 370 EUR, d’après CoinGecko.
Mauvaise nouvelle ensuite : la baisse cache une concentration. En janvier 2026, les pertes par signature ont bondi de 207 % par rapport à décembre, à environ 5,5 millions EUR pour 4 741 victimes, soit 11 % de victimes en moins, rapporte BeInCrypto. Détail révélateur : deux victimes seulement ont représenté 65 % des montants dérobés sur le mois. Le phishing ne ratisse plus large, il vise juste.
Du spray and pray au whale hunting
Ce changement d’échelle porte un nom dans le milieu : le whale hunting, la chasse aux gros porteurs. Les opérateurs délaissent les campagnes de masse au profit de cibles moins nombreuses mais bien plus fortunées. Le paiement moyen d’une arnaque crypto est ainsi passé à environ 2 430 EUR en 2025, contre environ 690 EUR un an plus tôt, soit une hausse de 253 % documentée par Chainalysis.
L’intelligence artificielle accélère le mouvement. Elle abaisse le coût de production des leurres et augmente leur crédibilité : faux sites clonés au pixel près, voix synthétiques, vidéos truquées de dirigeants connus. Chainalysis estime que les revenus totaux des arnaques crypto ont atteint un record de près de 15 milliards EUR en 2025, et que les escroqueries s’appuyant sur des images deepfake de responsables publics ont progressé de plus de 1 400 % sur l’année. Pour un lecteur français, le risque est concret : faux conseillers et fausses plateformes relayés par des publicités ciblées restent le point d’entrée le plus courant, avant même l’étape de la signature piégée.
Signatures empoisonnées : Permit, Permit2 et la validation qui paraît anodine
La technique vedette de 2026 ne réclame aucune transaction visible. L’attaquant pousse la victime à signer un message hors chaîne, souvent un Permit ou un Permit2 (le standard d’autorisation popularisé par Uniswap). Aucun gaz à payer, aucune alerte de transfert : la fenêtre ressemble à une simple connexion. En réalité, la signature accorde une autorisation de dépense que l’escroc exerce plus tard, au moment de son choix.
Les montants n’ont rien de symbolique. En mars 2026, un détenteur a signé un Permit malveillant d’apparence routinière et perdu environ 1,55 million EUR en USDC. D’autres cas récents ont visé des tokens adossés à l’or ou des dérivés de Bitcoin, via de faux ordres increaseAllowance. Un point souvent mal compris : un hardware wallet ne protège pas contre ce piège. L’appareil signe fidèlement ce que vous approuvez ; si vous validez une autorisation malveillante, le matériel l’exécute sans broncher.
EIP-7702 : quand une mise à niveau d’Ethereum se retourne
Le hard fork Pectra, déployé en 2025, a introduit l’EIP-7702 et sa logique de délégation : un compte classique (EOA) peut déléguer son exécution à du code de contrat. L’idée servait l’expérience utilisateur ; les drainers en ont fait une arme. Il suffit désormais d’amener la victime à signer une seule autorisation de délégation, présentée comme une « mise à niveau de sécurité du wallet » ou un « assistant IA » pour ses actifs.
Une signature, et le portefeuille devient un contrat programmable piloté par l’attaquant, de façon persistante. Un utilisateur a ainsi perdu environ 1,35 million EUR en une seule opération, détaille Cryptopolitan, tandis que des analystes de Wintermute estimaient que plus de 90 % des délégations EIP-7702 observées pointaient vers des contrats malveillants. Inferno Drainer et Pink Drainer figurent parmi les kits qui ont rapidement intégré la méthode.
L’address poisoning, ou l’art de copier la mauvaise adresse
Cette attaque ne pirate rien : elle exploite nos habitudes de copier-coller. L’escroc surveille vos transactions, génère une adresse vanity qui ressemble à s’y méprendre à l’une de vos contreparties habituelles (mêmes premiers et derniers caractères), puis vous envoie un minuscule transfert de poussière. L’adresse falsifiée s’inscrit alors dans votre historique. Le jour où vous copiez une adresse depuis ce même historique, vous risquez d’envoyer vos fonds droit à l’attaquant.
L’ampleur surprend. Scam Sniffer a chiffré ces vols par empoisonnement d’adresse à environ 54 millions EUR sur seulement deux mois sur Ethereum, relève crypto.news. Un investisseur a perdu environ 10,8 millions EUR en janvier en copiant la mauvaise adresse, après un cas à environ 44 millions EUR en décembre, selon le même mode opératoire.
Drainers as a service : Inferno, Pink et l’industrialisation
Derrière la plupart de ces campagnes se cache une économie de sous-traitance. Les kits de drainer sont loués à des affiliés contre une commission sur le butin, en général de 20 à 30 %. Inferno Drainer, actif de novembre 2022 à novembre 2023, a siphonné plus de 61 millions EUR avant d’annoncer sa fermeture, retrace Group-IB. Le service est pourtant réapparu, drainant au moins 7,9 millions EUR de plus de 30 000 portefeuilles en six mois.
La barrière à l’entrée s’effondre : un escroc débutant loue l’infrastructure, clone un site DeFi connu et lance sa propre opération en quelques heures. Début 2026, Safe Labs a signalé une campagne coordonnée s’appuyant sur près de 5 000 adresses malveillantes liées à ces outils. Les opérations de police, comme les saisies de domaines, ralentissent les acteurs sans les éliminer : un kit fermé est vite remplacé par un concurrent.
Le gaming dans le viseur : ces jeux Steam qui vident les wallets
Le public de HOGE Wire est aussi un public de joueurs, et c’est devenu un terrain de chasse. Le FBI a identifié sept jeux publiés sur Steam et truffés de malwares entre mai 2024 et janvier 2026 : BlockBlasters, Chemia, Dashverse, Lampy, Lunara, PirateFi et Tokenova. Tous embarquaient un info-stealer capable de récupérer données de navigateur, identifiants et clés de portefeuille, rapporte Bitdefender.
Le cas BlockBlasters est instructif : le jeu a d’abord passé les contrôles de Valve en build propre, avant qu’un correctif d’août n’y glisse un cryptodrainer. Bilan, plus de 130 000 EUR dérobés, dont environ 28 000 EUR à un streamer qui collectait des dons pour un traitement contre le cancer, son portefeuille vidé en direct. La leçon est simple : on ne conserve pas un portefeuille actif sur la machine qui installe des builds non vérifiés, et une invitation à « tester mon jeu » reçue en message privé doit éveiller les soupçons.
Faux recruteurs et entretiens piégés : la signature de Lazarus
Une partie des campagnes les plus coûteuses ne vise pas les utilisateurs, mais les développeurs. Le groupe nord-coréen Lazarus, et sa cellule BlueNoroff, se font passer pour des recruteurs sur LinkedIn et proposent de faux tests techniques. Les exercices de code, une fois exécutés, installent des chevaux de Troie via des paquets piégés sur npm, PyPI et GitHub, documente The Hacker News.
En 2026, le schéma s’est affiné : un faux contact juridique d’une fintech, une invitation Calendly, puis un lien Zoom factice qui ouvre l’accès aux données du navigateur et aux extensions de portefeuille. L’enjeu est colossal, puisque les pirates liés à la Corée du Nord ont dérobé environ 1,8 milliard EUR en crypto sur la seule année 2025, selon CoinDesk. Le salarié et le développeur sont devenus le nouveau périmètre à défendre.
Côté France : ce que dit l’AMF
Pour le lecteur francophone, le premier réflexe reste réglementaire. L’Autorité des marchés financiers (AMF) tient une liste noire qui recense plus de 3 300 entités non autorisées, tous secteurs confondus, dont 23 noms ajoutés depuis janvier 2026 rien que pour les cryptoactifs. L’institution met aussi à disposition le service I-SCAN, qui agrège les alertes de plus de 150 régulateurs, et la plateforme Épargne Info Service pour signaler une fraude présumée, via son espace épargnants.
L’AMF le martèle : une publicité d’apparence sérieuse, un ton journalistique ou le relais par un influenceur ne confèrent aucune fiabilité. Et l’absence d’un nom de la liste noire ne vaut jamais certificat de légitimité, la liste n’étant pas exhaustive. Avant tout dépôt, la vérification de l’agrément est le strict minimum.
La riposte s’organise : Operation Atlantic et Clear Signing
Les autorités contre-attaquent. En mars 2026, les États-Unis, le Royaume-Uni et le Canada ont lancé l’opération Atlantic, dédiée à la désorganisation des arnaques par approbation (approval phishing), rapporte CoinDesk. Côté technique, l’Ethereum Foundation et plusieurs éditeurs de portefeuilles ont dévoilé le standard Clear Signing (ERC-7730), qui remplace le code illisible des signatures par des descriptions compréhensibles, vérifiées dans un registre public, précise CoinDesk.
En attendant que ces garde-fous se généralisent, voici comment les principales familles d’attaques se reconnaissent.
| Technique | Fonctionnement | Signal d’alerte | Parade |
|---|---|---|---|
| Signature phishing (Permit, Permit2) | Une signature hors chaîne accorde une autorisation de dépense | On vous demande de « signer » sans transfert visible | Lire le message, refuser s’il est illisible |
| Délégation EIP-7702 | Une autorisation donne un contrôle persistant du compte | « Mise à niveau de sécurité » ou « assistant IA » | Ne jamais déléguer à un contrat inconnu |
| Address poisoning | Fausse adresse glissée dans l’historique via un transfert de poussière | Adresse ressemblante reçue sans raison | Copier depuis un carnet, vérifier en entier |
| Wallet drainer (faux site DeFi) | Site cloné qui pousse à connecter et à signer | Lien sponsorisé, URL légèrement modifiée | Marque-pages officiels, contrôler le domaine |
| Jeu ou logiciel vérolé | Info-stealer qui aspire navigateur et clés | Build non vérifié, invitation en message privé | Machine dédiée, pas de wallet sur le PC de jeu |
Et quelques réflexes qui réduisent fortement la surface d’attaque :
- Stocker l’épargne sur un hardware wallet (Ledger, Trezor) et garder les clés hors ligne.
- Séparer un wallet « chaud » de faible montant, pour les interactions, et un wallet « froid » pour le reste.
- Révoquer régulièrement les approbations via des outils comme revoke.cash ou la page Token Approvals d’un explorateur.
- Ne jamais signer un message que l’on ne comprend pas, et se méfier de toute « mise à niveau » présentée comme urgente.
- Copier les adresses depuis une source fiable, jamais depuis l’historique, et contrôler le début et la fin.
- Vérifier l’URL exacte, fuir les liens sponsorisés et les messages privés non sollicités.
- Contrôler toute plateforme sur l’AMF (service I-SCAN) avant d’y déposer le moindre euro.
Aucune de ces mesures n’est infaillible prise isolément, mais leur cumul transforme une cible facile en proie coûteuse. C’est précisément ce que les opérateurs de phishing, devenus de véritables gestionnaires de rendement, cherchent à éviter.
Par la rédaction de HOGE Wire, pôle sécurité et exploits. Information à but éducatif, ceci ne constitue pas un conseil en investissement.