{"id":140,"date":"2026-07-01T22:25:25","date_gmt":"2026-07-01T22:25:25","guid":{"rendered":"https:\/\/hoge.gg\/fr\/rug-pull-defi-anatomie-arnaque-milliards\/"},"modified":"2026-07-01T22:25:25","modified_gmt":"2026-07-01T22:25:25","slug":"rug-pull-defi-anatomie-arnaque-milliards","status":"publish","type":"post","link":"https:\/\/hoge.gg\/fr\/rug-pull-defi-anatomie-arnaque-milliards\/","title":{"rendered":"Rug pull en DeFi : anatomie d&#8217;une arnaque \u00e0 plusieurs milliards"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Le 1er juillet 2026 marque la fin de la p\u00e9riode transitoire du r\u00e8glement europ\u00e9en MiCA. \u00c0 compter de cette date, toute plateforme de crypto-actifs servant des clients dans l&#8217;Union doit d\u00e9tenir un agr\u00e9ment ou cesser son activit\u00e9. Pourtant, aucune signature r\u00e9glementaire n&#8217;efface la menace qui vide les portefeuilles des particuliers plus vite que n&#8217;importe quel piratage sophistiqu\u00e9 : le rug pull.<\/p>\n<p class=\"wp-block-paragraph\">Derri\u00e8re ce terme (litt\u00e9ralement \u00ab tirer le tapis \u00bb) se cache un sc\u00e9nario devenu banal en finance d\u00e9centralis\u00e9e. Une \u00e9quipe lance un jeton, attire des liquidit\u00e9s \u00e0 coups de promesses de rendement, puis dispara\u00eet avec les fonds. Les cabinets de s\u00e9curit\u00e9 chiffrent les pertes de ce seul type d&#8217;escroquerie \u00e0 plusieurs milliards d&#8217;euros pour la seule ann\u00e9e 2025. D\u00e9cryptage d&#8217;un pi\u00e8ge qui frappe autant les d\u00e9butants que les investisseurs aguerris.<\/p>\n<h2 class=\"wp-block-heading\">Qu&#8217;est-ce qu&#8217;un rug pull, et en quoi diff\u00e8re-t-il d&#8217;un piratage ?<\/h2>\n<p class=\"wp-block-paragraph\">Un rug pull est une arnaque \u00e0 la sortie (exit scam) propre \u00e0 la DeFi. Les d\u00e9veloppeurs cr\u00e9ent un jeton, l&#8217;associent \u00e0 une paire de trading sur un \u00e9change d\u00e9centralis\u00e9 (DEX), puis encouragent l&#8217;afflux de capitaux gr\u00e2ce \u00e0 des campagnes sur les r\u00e9seaux sociaux et des taux de rendement spectaculaires. Une fois la cagnotte suffisamment garnie, ils retirent les liquidit\u00e9s ou vendent en masse leurs jetons, laissant les acheteurs avec des actifs invendables.<\/p>\n<p class=\"wp-block-paragraph\">La distinction avec un piratage est essentielle. Un hack exploite une faille technique contre la volont\u00e9 du projet ; un rug pull, lui, est une trahison d\u00e9lib\u00e9r\u00e9e organis\u00e9e par l&#8217;\u00e9quipe elle-m\u00eame. Il se distingue aussi du simple pump and dump, o\u00f9 des acteurs gonflent artificiellement un cours avant de le l\u00e2cher. Dans un rug pull, le contrat intelligent est souvent pi\u00e9g\u00e9 d\u00e8s l&#8217;origine pour emp\u00eacher les victimes de revendre leurs jetons.<\/p>\n<p class=\"wp-block-paragraph\">On distingue parfois le rug pull \u00ab dur \u00bb du rug pull \u00ab mou \u00bb. Le premier repose sur du code malveillant qui bloque les retraits ou d\u00e9tourne les fonds instantan\u00e9ment. Le second est plus insidieux : l&#8217;\u00e9quipe se contente de vendre progressivement ses jetons et d&#8217;abandonner le projet, une pratique plus difficile \u00e0 qualifier juridiquement mais tout aussi ruineuse pour les d\u00e9tenteurs.<\/p>\n<h2 class=\"wp-block-heading\">Anatomie technique : comment le pi\u00e8ge est arm\u00e9<\/h2>\n<p class=\"wp-block-paragraph\">La plupart des rug pulls reposent sur quelques m\u00e9canismes r\u00e9currents, inscrits directement dans le code du smart contract. Les comprendre, c&#8217;est d\u00e9j\u00e0 savoir les rep\u00e9rer.<\/p>\n<ul class=\"wp-block-list\"><li><strong>Retrait de liquidit\u00e9<\/strong> : l&#8217;\u00e9quipe garde le contr\u00f4le du pool et vide la r\u00e9serve d&#8217;ETH ou de stablecoins, rendant le jeton impossible \u00e0 \u00e9changer.<\/li><li><strong>Fonction de frappe cach\u00e9e (hidden mint)<\/strong> : une fonction dissimul\u00e9e permet de cr\u00e9er des jetons \u00e0 volont\u00e9, puis de les revendre contre les actifs du pool.<\/li><li><strong>Honeypot<\/strong> : le contrat autorise l&#8217;achat mais bloque la revente pour tout le monde, sauf pour les adresses de l&#8217;\u00e9quipe.<\/li><li><strong>Privil\u00e8ges de propri\u00e9taire<\/strong> : listes blanches, listes noires ou plafonds de vente que seul le d\u00e9ployeur peut activer.<\/li><li><strong>Contrat \u00e9volutif (upgradeable)<\/strong> : un code propre au lancement, valid\u00e9 par un audit, puis modifi\u00e9 apr\u00e8s coup pour y glisser une porte d\u00e9rob\u00e9e.<\/li><\/ul>\n<p class=\"wp-block-paragraph\">Comme le rappelle le guide de s\u00e9curit\u00e9 de <a href=\"https:\/\/www.coingecko.com\/learn\/how-to-identify-and-protect-from-rug-pull-crypto-scam\">CoinGecko<\/a>, un verrouillage de liquidit\u00e9 affich\u00e9 ne suffit pas : certaines \u00e9quipes fixent une dur\u00e9e de blocage tr\u00e8s courte (7 \u00e0 30 jours), attendent l&#8217;expiration, puis siphonnent le pool. La plateforme pr\u00e9cise \u00e9galement qu&#8217;un audit v\u00e9rifie surtout les bugs, rarement l&#8217;intention malveillante dissimul\u00e9e dans un code par ailleurs impeccable en apparence.<\/p>\n<h2 class=\"wp-block-heading\">Le bilan chiffr\u00e9 de 2025<\/h2>\n<p class=\"wp-block-paragraph\">Les rug pulls ne sont pas un ph\u00e9nom\u00e8ne marginal. Selon le rapport <a href=\"https:\/\/www.certik.com\/resources\/blog\/hack3d-the-web3-security-report-2025\">Hack3d de CertiK<\/a>, les pertes totales li\u00e9es \u00e0 la s\u00e9curit\u00e9 Web3 ont atteint environ 3,1 milliards d&#8217;euros en 2025, en hausse de 37 % sur un an. De son c\u00f4t\u00e9, la plateforme de bug bounty <a href=\"https:\/\/immunefi.com\/\">Immunefi<\/a> a recens\u00e9 pr\u00e8s de 1,6 milliard d&#8217;euros de pertes concentr\u00e9es sur la seule finance d\u00e9centralis\u00e9e, un montant qui d\u00e9passe d\u00e9j\u00e0 le total de l&#8217;ann\u00e9e 2024.<\/p>\n<figure class=\"wp-block-table\"><table><thead><tr><th>Source<\/th><th>Indicateur (2025)<\/th><th>Estimation<\/th><\/tr><\/thead><tbody><tr><td>CertiK (Hack3d)<\/td><td>Pertes totales s\u00e9curit\u00e9 Web3<\/td><td>~3,1 milliards EUR<\/td><\/tr><tr><td>Immunefi<\/td><td>Pertes concentr\u00e9es sur la DeFi<\/td><td>~1,6 milliard EUR<\/td><\/tr><tr><td>Cabinets de s\u00e9curit\u00e9<\/td><td>Pertes attribu\u00e9es aux rug pulls<\/td><td>~2,6 milliards EUR<\/td><\/tr><tr><td>Chainalysis<\/td><td>Jetons 2024 aux signes de pump and dump<\/td><td>74 037 (3,59 %)<\/td><\/tr><\/tbody><\/table><figcaption class=\"wp-block-table__caption\">Sources : rapports 2025-2026 de CertiK, Immunefi et Chainalysis. Conversions en euros approximatives.<\/figcaption><\/figure>\n<p class=\"wp-block-paragraph\">Un chiffre r\u00e9sume l&#8217;ampleur du probl\u00e8me du c\u00f4t\u00e9 de l&#8217;\u00e9mission des jetons. D&#8217;apr\u00e8s le <a href=\"https:\/\/www.chainalysis.com\/blog\/2025-crypto-crime-report-introduction\/\">rapport de Chainalysis<\/a>, plus de 74 000 jetons lanc\u00e9s en 2024 pr\u00e9sentaient des signes de manipulation de type pump and dump, soit 3,59 % de tous les jetons cr\u00e9\u00e9s cette ann\u00e9e-l\u00e0. Au premier trimestre 2025, les rug pulls repr\u00e9sentaient \u00e0 eux seuls environ deux tiers des escroqueries crypto recens\u00e9es, et le r\u00e9seau Binance Smart Chain concentrait la majorit\u00e9 des cas en raison de ses frais r\u00e9duits.<\/p>\n<p class=\"wp-block-paragraph\">Ces montants ne racontent qu&#8217;une partie de l&#8217;histoire. Beaucoup de petites victimes ne portent jamais plainte, par honte ou par m\u00e9connaissance des d\u00e9marches, si bien que les pertes r\u00e9elles d\u00e9passent probablement les estimations publi\u00e9es.<\/p>\n<h2 class=\"wp-block-heading\">Trois affaires qui ont marqu\u00e9 l&#8217;ann\u00e9e<\/h2>\n<p class=\"wp-block-paragraph\"><strong>LIBRA.<\/strong> En f\u00e9vrier 2025, le jeton LIBRA s&#8217;est envol\u00e9 apr\u00e8s un message du pr\u00e9sident argentin Javier Milei sur les r\u00e9seaux sociaux, atteignant une capitalisation de plusieurs milliards d&#8217;euros avant de s&#8217;effondrer de plus de 90 %. Les initi\u00e9s ont empoch\u00e9 environ 230 millions d&#8217;euros. <a href=\"https:\/\/www.coindesk.com\/business\/2026\/04\/07\/argentine-president-milei-s-call-logs-link-him-to-multimillion-dollar-libra-rug-pull-nyt\">CoinDesk<\/a> a \u00e9tabli des liens entre l&#8217;entourage pr\u00e9sidentiel et Hayden Davis, dirigeant de Kelsier Ventures ; l&#8217;affaire a vir\u00e9 au scandale d&#8217;\u00c9tat en Argentine et alimente toujours une enqu\u00eate judiciaire.<\/p>\n<p class=\"wp-block-paragraph\"><strong>Mantra (OM).<\/strong> Le 13 avril 2025, le jeton OM s&#8217;est \u00e9croul\u00e9 de 90 % en quelques heures, passant d&#8217;environ 5,80 euros \u00e0 0,45 euro et effa\u00e7ant plus de 4,6 milliards d&#8217;euros de valeur. Selon <a href=\"https:\/\/www.coindesk.com\/markets\/2025\/04\/14\/mantra-s-om-crashes-90-in-bizarre-selloff-as-team-alleges-forced-liquidations\">CoinDesk<\/a>, dix-sept portefeuilles avaient transf\u00e9r\u00e9 43,6 millions d&#8217;OM vers des plateformes d&#8217;\u00e9change juste avant la chute. L&#8217;\u00e9quipe a ni\u00e9 tout rug pull et invoqu\u00e9 des liquidations forc\u00e9es ; l&#8217;\u00e9pisode illustre la zone grise entre effondrement de march\u00e9 et sortie orchestr\u00e9e lorsque l&#8217;offre est tr\u00e8s concentr\u00e9e entre quelques mains.<\/p>\n<p class=\"wp-block-paragraph\"><strong>La vague memecoin.<\/strong> Sur les plateformes de lancement express, des jetons \u00e9ph\u00e9m\u00e8res naissent et meurent en quelques heures. Le sch\u00e9ma se r\u00e9p\u00e8te : une poign\u00e9e d&#8217;adresses d\u00e9tient l&#8217;essentiel de l&#8217;offre, la liquidit\u00e9 du pool est drain\u00e9e, et le cours perd 99 % de sa valeur dans la foul\u00e9e, laissant les derniers acheteurs sans le moindre recours.<\/p>\n<h2 class=\"wp-block-heading\">Pourquoi la DeFi est un terrain si fertile<\/h2>\n<p class=\"wp-block-paragraph\">Plusieurs caract\u00e9ristiques de la finance d\u00e9centralis\u00e9e facilitent ces arnaques. D\u00e9ployer un jeton co\u00fbte quelques euros et ne demande aucune autorisation pr\u00e9alable. Les frais r\u00e9duits de certaines cha\u00eenes en font de v\u00e9ritables usines \u00e0 jetons, o\u00f9 cr\u00e9er puis abandonner un contrat ne p\u00e8se presque rien. L&#8217;anonymat des \u00e9quipes, la composabilit\u00e9 des protocoles qui s&#8217;imbriquent les uns dans les autres et l&#8217;engouement pour les memecoins compl\u00e8tent un d\u00e9cor id\u00e9al pour les fraudeurs.<\/p>\n<p class=\"wp-block-paragraph\">La psychologie fait le reste. La peur de rater le train (FOMO), l&#8217;app\u00e2t de rendements \u00e0 trois chiffres et la viralit\u00e9 des r\u00e9seaux sociaux poussent \u00e0 investir avant toute v\u00e9rification. Le rythme s&#8217;est d&#8217;ailleurs acc\u00e9l\u00e9r\u00e9 : le d\u00e9lai moyen entre le lancement d&#8217;un projet frauduleux et sa disparition est tomb\u00e9 \u00e0 une douzaine de jours, contre pr\u00e8s de trois semaines deux ans plus t\u00f4t.<\/p>\n<h2 class=\"wp-block-heading\">Les signaux d&#8217;alerte \u00e0 rep\u00e9rer avant d&#8217;investir<\/h2>\n<p class=\"wp-block-paragraph\">Aucun indicateur ne prouve \u00e0 lui seul une fraude, mais leur accumulation doit alerter. Voici les principaux drapeaux rouges, largement document\u00e9s par les outils d&#8217;analyse on-chain et les cabinets d&#8217;audit.<\/p>\n<figure class=\"wp-block-table\"><table><thead><tr><th>Signal<\/th><th>Ce qu&#8217;il r\u00e9v\u00e8le<\/th><th>Comment v\u00e9rifier<\/th><\/tr><\/thead><tbody><tr><td>Liquidit\u00e9 non verrouill\u00e9e<\/td><td>L&#8217;\u00e9quipe peut vider le pool \u00e0 tout moment<\/td><td>Explorateur on-chain, GeckoTerminal<\/td><\/tr><tr><td>Offre tr\u00e8s concentr\u00e9e<\/td><td>Quelques portefeuilles contr\u00f4lent le cours<\/td><td>R\u00e9partition des d\u00e9tenteurs<\/td><\/tr><tr><td>Autorit\u00e9 de frappe active<\/td><td>Cr\u00e9ation illimit\u00e9e de nouveaux jetons<\/td><td>Code du contrat, scanners de risque<\/td><\/tr><tr><td>\u00c9quipe anonyme<\/td><td>Aucun recours en cas de disparition<\/td><td>Identit\u00e9s et historique v\u00e9rifiables<\/td><\/tr><tr><td>Absence d&#8217;audit s\u00e9rieux<\/td><td>Fonctions cach\u00e9es non d\u00e9tect\u00e9es<\/td><td>Rapports de cabinets reconnus<\/td><\/tr><\/tbody><\/table><\/figure>\n<p class=\"wp-block-paragraph\">Un projet l\u00e9gitime peut cocher une ou deux de ces cases sans \u00eatre frauduleux ; c&#8217;est la combinaison des signaux, et surtout l&#8217;opacit\u00e9 de l&#8217;\u00e9quipe, qui doit conduire \u00e0 la plus grande prudence.<\/p>\n<h2 class=\"wp-block-heading\">Se prot\u00e9ger : outils et r\u00e9flexes de base<\/h2>\n<p class=\"wp-block-paragraph\">Avant d&#8217;engager le moindre euro, quelques v\u00e9rifications r\u00e9duisent nettement le risque. Des services comme le <a href=\"https:\/\/www.geckoterminal.com\/rug-checker\">Rug Checker de GeckoTerminal<\/a> analysent automatiquement le statut de la liquidit\u00e9, les autorit\u00e9s inscrites dans le contrat et l&#8217;historique du cr\u00e9ateur. Un explorateur de blockchain permet de contr\u00f4ler la r\u00e9partition des jetons, tandis qu&#8217;un d\u00e9tecteur de honeypot teste si la revente est r\u00e9ellement possible.<\/p>\n<ul class=\"wp-block-list\"><li>V\u00e9rifiez que la liquidit\u00e9 est verrouill\u00e9e sur une dur\u00e9e cr\u00e9dible, id\u00e9alement plusieurs ann\u00e9es.<\/li><li>Fuyez les projets dont une poign\u00e9e d&#8217;adresses d\u00e9tient la majorit\u00e9 de l&#8217;offre.<\/li><li>Lisez les rapports d&#8217;audit et m\u00e9fiez-vous des contrats \u00e9volutifs sans justification claire.<\/li><li>N&#8217;investissez jamais sur la seule foi d&#8217;un influenceur ou d&#8217;une c\u00e9l\u00e9brit\u00e9.<\/li><li>N&#8217;engagez que des sommes que vous pouvez vous permettre de perdre en totalit\u00e9.<\/li><\/ul>\n<h2 class=\"wp-block-heading\">MiCA, l&#8217;AMF et la protection des investisseurs fran\u00e7ais<\/h2>\n<p class=\"wp-block-paragraph\">Depuis ce 1er juillet 2026, le r\u00e8glement <a href=\"https:\/\/www.amf-france.org\/en\/news-publications\/depth\/mica\">MiCA<\/a> s&#8217;applique pleinement dans les 27 \u00c9tats membres. Les prestataires doivent d\u00e9tenir un agr\u00e9ment pour op\u00e9rer l\u00e9galement, et selon <a href=\"https:\/\/www.coindesk.com\/policy\/2026\/07\/01\/europe-s-mica-rollout-sparks-debate-over-who-wins-under-new-crypto-rules\">CoinDesk<\/a>, le march\u00e9 europ\u00e9en pourrait passer de pr\u00e8s de 3 000 acteurs enregistr\u00e9s \u00e0 seulement 300 ou 400 firmes agr\u00e9\u00e9es. Le cadre impose des obligations d&#8217;information et la s\u00e9paration des avoirs des clients, ce qui am\u00e9liore le recours juridique en cas de d\u00e9faillance d&#8217;un acteur r\u00e9gul\u00e9.<\/p>\n<p class=\"wp-block-paragraph\">La limite est connue, et l&#8217;<a href=\"https:\/\/www.esma.europa.eu\/esmas-activities\/digital-finance-and-innovation\/markets-crypto-assets-regulation-mica\">ESMA<\/a> comme l&#8217;AMF la reconnaissent : MiCA encadre les prestataires, pas les protocoles r\u00e9ellement d\u00e9centralis\u00e9s. Un rug pull orchestr\u00e9 par une \u00e9quipe anonyme sur un DEX \u00e9chappe donc largement au dispositif. En France, l&#8217;<a href=\"https:\/\/www.amf-france.org\/en\/warnings\/blacklists\">Autorit\u00e9 des march\u00e9s financiers<\/a> maintient des listes noires de sites non autoris\u00e9s ; depuis le d\u00e9but de 2025, elle y a ajout\u00e9 plus de 70 adresses proposant des services sur crypto-actifs. La consultation de la liste blanche des prestataires enregistr\u00e9s reste, elle, le seul moyen de v\u00e9rifier qu&#8217;une plateforme est soumise \u00e0 des r\u00e8gles minimales.<\/p>\n<h2 class=\"wp-block-heading\">Que faire si vous \u00eates victime ?<\/h2>\n<p class=\"wp-block-paragraph\">Un rug pull laisse rarement une voie de r\u00e9cup\u00e9ration simple, mais quelques d\u00e9marches restent utiles. Signalez le site \u00e0 l&#8217;AMF et consultez les alertes de l&#8217;<a href=\"https:\/\/www.abe-infoservice.fr\/fr\/actualites\/crypto-actifs-lamf-met-en-garde-le-public-contre-les-activites-de-plusieurs-acteurs-non-autorises\">Assurance Banque \u00c9pargne Info Service<\/a>, le portail public d&#8217;information sur les arnaques financi\u00e8res. Conservez toutes les preuves (adresses de transactions, captures d&#8217;\u00e9cran, \u00e9changes de messages) et d\u00e9posez plainte ; la plateforme PHAROS permet de signaler les contenus frauduleux en ligne. Un avocat sp\u00e9cialis\u00e9 pourra ensuite \u00e9valuer les recours, en particulier lorsque des interm\u00e9diaires r\u00e9gul\u00e9s sont impliqu\u00e9s dans la cha\u00eene.<\/p>\n<p class=\"wp-block-paragraph\">Gardez enfin \u00e0 l&#8217;esprit que la tra\u00e7abilit\u00e9 de la blockchain joue parfois en faveur des victimes. Les analystes on-chain suivent les flux de fonds, et plusieurs affaires de 2025, dont le dossier LIBRA, ont d\u00e9bouch\u00e9 sur des enqu\u00eates judiciaires gr\u00e2ce \u00e0 ces donn\u00e9es publiques. Le rug pull n&#8217;a rien d&#8217;une fatalit\u00e9 technologique : c&#8217;est une escroquerie ancienne habill\u00e9e de code, et la vigilance de l&#8217;investisseur reste la meilleure des protections.<\/p>\n<p class=\"wp-block-paragraph\"><em>Par la r\u00e9daction de HOGE Wire, cellule enqu\u00eates et s\u00e9curit\u00e9 crypto.<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Les rug pulls ont siphonn\u00e9 des milliards d&#8217;euros en 2025, du scandale LIBRA aux memecoins de Pump.fun. Comment ils fonctionnent et comment s&#8217;en prot\u00e9ger, alors que MiCA s&#8217;applique pleinement.<\/p>\n","protected":false},"author":4,"featured_media":141,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[],"class_list":["post-140","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security-exploits"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/140","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/comments?post=140"}],"version-history":[{"count":0,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/140\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/media\/141"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/media?parent=140"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/categories?post=140"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/tags?post=140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}