Faux airdrops et wallet drainers : l'arnaque à la signature (2026)
Faux airdrop, wallet drainer, signature Permit malveillante : comprendre le mécanisme exact de ces arnaques en 2026 et les 5 réflexes pour protéger ton portefeuille crypto.
La rédaction CryptoreflexRédaction & veille éditorialeCet article est une leçon du parcours Arnaques & erreurs : se protéger de l'académie — progression suivie et quiz de validation.
Suivre le parcoursTu reçois un DM sur Discord ou X : "Tu es éligible à un airdrop de 500 tokens — réclame avant la fin du compte à rebours." Tu cliques, tu connectes ton wallet, tu signes. Deux secondes plus tard, ton portefeuille est vide. Tu n'as jamais donné ta phrase secrète. Tu as juste signé une autorisation. Et ça a suffi.
C'est le mécanisme des faux airdrops et wallet drainers — l'arnaque la plus active en 2026 sur les réseaux sociaux et les serveurs Discord crypto. Ce guide t'explique exactement comment ça fonctionne, pourquoi c'est aussi efficace, et les 5 réflexes concrets pour ne jamais en être victime.
Ce qu'est un wallet drainer et pourquoi il est si dangereux
Un wallet drainer (videur de portefeuille) est un kit logiciel conçu pour vider automatiquement le contenu d'un portefeuille crypto dès qu'il obtient les autorisations nécessaires. Ce n'est pas un virus qui s'installe sur ton ordinateur. C'est un smart contract (contrat auto-exécutable enregistré sur la blockchain) malveillant, combiné à une interface web qui te fait signer l'autorisation de l'activer.
La différence avec un phishing classique est cruciale : on ne cherche pas à voler ta seed phrase (phrase de récupération de 12 ou 24 mots qui donne accès total à ton wallet). On cherche à te faire signer une approbation de dépense (token approval : autorisation accordée à un contrat de déplacer tes tokens à ta place) ou une signature Permit (variante plus récente qui accomplit la même chose via un seul message signé, sans transaction on-chain préalable). Ces autorisations sont des fonctionnalités légitimes de la DeFi — les escrocs les détournent.
Une fois l'autorisation accordée, le smart contract malveillant peut déplacer tes tokens vers l'adresse de l'attaquant. Pas besoin de ton accord supplémentaire. Pas besoin de ton mot de passe. L'autorisation suffit, et elle est valable jusqu'à ce que tu la révoques explicitement.
Le mécanisme exact de l'arnaque, étape par étape
Comprendre le déroulé complet permet de repérer à quel moment exactement la fraude opère.
Étape 1 — La promotion du faux site de claim. L'arnaque commence toujours par une promesse d'airdrop (distribution gratuite de tokens par un projet à ses utilisateurs). Le faux site de claim (réclamation) est diffusé via plusieurs canaux : faux comptes Twitter/X usurpant l'identité de projets connus, publicités payantes sur les réseaux sociaux, messages directs non sollicités sur Discord ou Telegram, ou encore des liens dans des serveurs Discord compromis ou clonés.
Étape 2 — La connexion du wallet. Le site imite visuellement l'interface officielle du projet (logo, couleurs, texte). Il te demande de connecter ton wallet (MetaMask, Rabby, Phantom, etc.) pour vérifier ton éligibilité. Cette étape est normale sur les vrais sites de claim — c'est pourquoi elle ne déclenche pas de méfiance immédiate.
Étape 3 — La signature malveillante. Le site te présente une demande de signature. Elle peut prendre deux formes :
- Une approbation de dépense (token approval) : une transaction classique qui autorise le contrat à dépenser un certain nombre de tes tokens ERC-20.
- Une signature Permit : un message signé hors-chaîne (off-chain) qui délègue la même autorisation sans frais de gas, ce qui la rend encore plus indolore à signer et plus difficile à détecter pour un utilisateur non averti.
Étape 4 — Le drainage automatique. Le kit wallet drainer récupère ta signature, la soumet au smart contract malveillant, et déclenche immédiatement le transfert de tes actifs vers l'adresse de l'attaquant. L'ensemble du processus prend quelques secondes. Les tokens sont ensuite dispersés via des services de mixage ou des bridges cross-chain pour brouiller les pistes.
Pourquoi les signatures Permit sont particulièrement piégeuses
Les signatures Permit (également appelées EIP-2612) méritent une attention particulière car elles sont systématiquement sous-estimées, même par des utilisateurs expérimentés.
Contrairement à une approbation classique, une signature Permit :
- Ne génère pas de transaction on-chain au moment de la signature (donc pas de frais de gas, pas d'alerte visuelle dans l'explorateur)
- Apparaît dans ton wallet comme un simple "message à signer", sans indicateur visuel de danger
- Autorise un contrat à déplacer le montant signé d'un token — et les escrocs forgent ce montant à la valeur maximale possible, ce qui revient à vider tout ton solde de ce token
- N'est pas réversible une fois soumise au contrat malveillant
Selon les données 2024 de Group-IB, les signatures de type Permit et les approbations malveillantes sont impliquées dans environ 56,7 % des cas de grosses pertes liées aux wallet drainers. C'est le vecteur dominant — pas le vol de seed phrase.
| Type d'autorisation | Transaction on-chain requise | Frais de gas visibles | Révocable avant exécution |
|---|---|---|---|
| Token approval classique | Oui | Oui | Oui (via revoke.cash) |
| Signature Permit (EIP-2612) | Non | Non | Non (après soumission on-chain) |
| Signature de message ordinaire | Non | Non | Sans objet (pas de transfert) |
La signature Permit est d'autant plus dangereuse qu'elle ressemble à une signature de message ordinaire — inoffensive en apparence. La distinction est dans le contenu exact du message. C'est pourquoi lire ce que tu signes n'est pas optionnel.
Les 5 réflexes pour ne jamais vider ton wallet
Ces cinq comportements protègent contre la quasi-totalité des attaques par wallet drainer.
Réflexe 1 — Vérifie l'URL avant de connecter ton wallet. L'URL du faux site imite l'officielle avec une lettre différente, un trait d'union ajouté, ou un domaine différent (.io au lieu de .com, etc.). Avant toute connexion, tape l'URL officielle manuellement depuis la source de référence (site officiel du projet, lien épinglé dans leur Discord officiel vérifié). Ne clique jamais sur un lien reçu en DM ou dans une pub.
Réflexe 2 — Lis ce que ton wallet te demande de signer. MetaMask et Rabby affichent le détail de chaque demande de signature. Avant de valider, vérifie : à quel contrat tu accordes une autorisation, sur quels tokens, pour quelle quantité. Si c'est illisible ou si la quantité est illimitée sans raison claire, refuse.
Réflexe 3 — Utilise un wallet burner pour les airdrops inconnus. Un wallet burner (portefeuille jetable, séparé de ton wallet principal) ne contient que le strict minimum : quelques euros en ETH ou SOL pour couvrir les frais de gas. Si ce wallet est drainé, la perte est négligeable. Ton capital principal reste sur un wallet distinct, jamais connecté à des sites non vérifiés. C'est la séparation la plus efficace que tu puisses mettre en place.
Réflexe 4 — Révoque régulièrement tes approbations. Chaque fois que tu interagis avec un protocole DeFi, tu laisses potentiellement une approbation active. L'outil revoke.cash (gratuit, open source) liste toutes les approbations en cours sur ton adresse et te permet de les révoquer en un clic. Une révocation régulière — une fois par mois ou après chaque session d'interaction avec de nouveaux protocoles — réduit drastiquement la surface d'attaque.
Réflexe 5 — Garde ton capital principal sur un hardware wallet. Un hardware wallet (portefeuille physique de type Ledger ou Trezor) signe les transactions en local, sans jamais exposer ta clé privée à internet. Même si tu signes accidentellement une transaction malveillante depuis l'interface, le hardware wallet t'affiche le détail sur son écran physique avant confirmation. C'est une couche de protection supplémentaire que les wallet drainers ne contournent pas facilement.
Pour aller plus loin sur la comparaison entre wallets chauds et froids, consulte notre guide complet sur les cold wallets vs hot wallets et notre article sur la sécurisation de tes cryptos avec wallet et 2FA.
Les signaux d'alerte d'un faux airdrop
Un airdrop légitime ne te demande jamais de signer une approbation de dépense pour "réclamer" des tokens. Les vrais airdrops envoient les tokens directement dans ton wallet, ou te demandent de signer une simple preuve de propriété — jamais une autorisation de dépense.
| Signal | Interprétation |
|---|---|
| DM non sollicité avec lien de claim | Arnaque quasi certaine — les projets sérieux n'envoient pas de DM |
| Compte Twitter/X non vérifié ou créé récemment | Compte cloné ou frauduleux |
| Urgence artificielle ("expire dans 2h") | Tactique de pression pour empêcher la réflexion |
| Demande d'approbation de dépense pour "claim" | Signal d'alerte maximal — un vrai claim ne nécessite pas ça |
| URL légèrement différente de l'officielle | Site phishing — vérifie lettre par lettre |
| Promesse de montant inhabituellement élevé | Si c'est trop beau pour être vrai, c'est une arnaque |
Pour les autres types de phishing crypto courants, notre article sur le phishing crypto en 2026 couvre les vecteurs complémentaires comme les faux emails et les faux supports. Consulte aussi notre guide sur les faux supports et SIM swap.
Que faire si tu as déjà signé
Reste à l'abri des arnaques crypto
Alerte hebdo : nouveaux scams FR, hacks plateformes, bonnes pratiques wallet.
Bonus : guide PDF "Les plateformes crypto régulées MiCA à utiliser en France 2026" à l'inscription.
Si tu réalises que tu viens de signer une autorisation suspecte, agis immédiatement — les secondes comptent.
1. Ouvre revoke.cash immédiatement et révoque toutes les approbations actives sur ton adresse. Si le drainer n'a pas encore soumis ta signature au contrat, la révocation peut bloquer le transfert.
2. Si tu détiens des actifs significatifs sur ce wallet, transfère-les maintenant vers une adresse propre que tu contrôles et qui n'a jamais interagi avec le site suspect. Fais-le avant de révoquer — le wallet drainer peut déclencher le transfert dès qu'il détecte l'activité de révocation.
3. Documente tout : URL du site frauduleux, hash de la transaction de signature, montants, horodatage. Ces informations sont nécessaires pour le signalement.
4. Signale l'arnaque à l'AMF (Autorité des marchés financiers) via la plateforme Épargne Info Service, et dépose une plainte auprès des services de police ou de gendarmerie. Le portail cybermalveillance.gouv.fr permet également un signalement dédié aux arnaques en ligne.
Les chances de récupérer les fonds sont faibles — les attaquants dispersent immédiatement les actifs volés. Mais le signalement contribue aux enquêtes en cours et peut aider d'autres victimes.
Pour une vue d'ensemble des arnaques crypto à connaître en 2026, consulte notre article sur les rug pulls et arnaques à la liquidité et retrouve l'ensemble de nos ressources dans l'Académie Cryptoreflex.
Conclusion
Le wallet drainer ne te vole pas ta seed phrase. Il exploite une fonctionnalité légitime de la blockchain — les autorisations de dépense — en te faisant signer quelque chose sans que tu comprennes ce que ça autorise réellement. C'est pour ça que c'est efficace. Et c'est pour ça que la défense est comportementale avant d'être technique.
Les cinq réflexes sont simples : vérifie l'URL, lis ce que tu signes, utilise un burner wallet pour les airdrops inconnus, révoque régulièrement tes approbations, et garde ton capital principal sur un hardware wallet. Appliqués systématiquement, ils couvrent la quasi-totalité des vecteurs d'attaque documentés.
Un airdrop légitime ne te demande jamais de signer une autorisation de dépense. Si quelque chose te le demande, c'est une arnaque. Sans exception.
FAQ
Qu'est-ce qu'un wallet drainer exactement ?
Un wallet drainer est un kit logiciel malveillant composé d'un smart contract et d'une interface web conçus pour vider automatiquement un portefeuille crypto. Il n'installe rien sur ton ordinateur. Il exploite les approbations de dépense (token approvals) et les signatures Permit — des autorisations que tu accordes volontairement, sans comprendre ce qu'elles permettent réellement. Dès que l'autorisation est signée, le contrat malveillant peut déplacer tes tokens sans autre confirmation de ta part.
Quelle est la différence entre une signature Permit et une approbation classique ?
Une approbation classique (token approval) est une transaction on-chain : elle apparaît dans l'historique de ton wallet, génère des frais de gas, et est visible sur les explorateurs de blockchain. Une signature Permit (EIP-2612) est un message signé hors-chaîne : pas de transaction visible, pas de frais de gas, et elle ressemble à une signature de message ordinaire dans l'interface de ton wallet. C'est précisément ce qui la rend plus dangereuse — elle est plus facile à signer par inadvertance et moins facile à identifier comme risquée.
Comment révoquer les approbations que j'ai déjà accordées ?
Rends-toi sur revoke.cash, connecte ton wallet, et l'outil liste toutes les approbations actives sur ton adresse, réseau par réseau (Ethereum, BNB Chain, Polygon, etc.). Clique sur "Revoke" pour chaque approbation que tu veux supprimer — chaque révocation est une petite transaction on-chain qui nécessite un peu de gas. Fais cet audit régulièrement, notamment après toute session d'interaction avec des protocoles DeFi nouveaux.
Un hardware wallet me protège-t-il contre les wallet drainers ?
Partiellement. Un hardware wallet (Ledger, Trezor) protège ta clé privée en la gardant hors ligne — on ne peut pas la voler à distance. Mais si tu signes une autorisation malveillante depuis l'interface web connectée à ton hardware wallet, l'autorisation est valide. La protection réside dans l'écran physique du hardware wallet, qui affiche le détail de ce que tu signes : tu peux lire et refuser avant confirmation. C'est une couche de sécurité importante, mais elle ne remplace pas la vigilance sur ce que tu signes.
Comment distinguer un vrai airdrop d'un faux ?
Un vrai airdrop envoie les tokens directement dans ton wallet, ou te demande de signer une preuve de propriété d'adresse (une signature qui ne délègue aucune autorisation de dépense). Il est annoncé sur les canaux officiels vérifiés du projet (site officiel, compte Twitter/X avec badge de vérification, Discord officiel avec historique établi). Il ne crée jamais d'urgence artificielle et ne te demande jamais d'approuver un contrat pour "débloquer" tes tokens. Si une quelconque demande d'approbation de dépense apparaît dans le processus de claim, arrête-toi.
Sources
- Check Point Research — Inferno Drainer analysis (2024) : research.checkpoint.com
- Decrypt — Inferno Drainer : decrypt.co
- Group-IB — Crypto drainer statistics (2024) : group-ib.com
- revoke.cash (outil de révocation open source) : revoke.cash
- AMF Épargne Info Service (signalement arnaques) : abe-infoservice.fr
- Cybermalveillance.gouv.fr : cybermalveillance.gouv.fr
Articles similaires
Checklist anti-arnaque crypto : les réflexes qui protègent ton capital (2026)
9 min · 30/05/2026
Les 10 erreurs de débutant en crypto (et comment les éviter en 2026)
9 min · 30/05/2026
Faux support et SIM-swap : les arnaques qui vident ton wallet (2026)
8 min · 30/05/2026
Voir aussi
Pages connexes mentionnées dans cet article.
- CryptoEthereumL'ordinateur mondial qui fait tourner les applications décentralisées
- CryptoPolygonL'écosystème multi-chaines Ethereum, du PoS aux ZK-rollups
- CryptoBNBLa crypto de Binance, le plus grand exchange au monde
- PlateformeLedgerPour qui c'est : autocustody premium pour HODL multi-cryptos avec 5500+ assets supportés
- GlossaireHardware walletAppareil physique dédié au stockage des clés privées (Ledger Nano X, Trezor Model T, Coldcard). Les clés ne quittent jamais l'appareil — la
- GlossaireSmart contractProgramme informatique exécuté sur une blockchain, qui s'exécute automatiquement quand certaines conditions sont remplies. Inventé par Ether