Wallet Drainers en 2026 : Anatomie du phishing crypto moderne

1. Le paysage macroeconomique du phishing en 2026

Le volume d'activites malveillantes sur le web a augmente de maniere alarmante. Au cours de l'annee ecoulee, les chercheurs en securite ont suivi environ 11,9 millions de domaines malveillants, avec une moyenne quotidienne de 378 411 domaines actifs a tout moment. Cette saturation de l'espace numerique est concue pour submerger les mecanismes de defense reactifs des institutions financieres et des plateformes technologiques, qui sont desormais les principales cibles de ces campagnes.

Les statistiques revelent que le secteur technologique concentre 36,13 % des attaques, suivi du secteur gouvernemental et financier a 26,84 %, et du commerce electronique a 14,72 %. Ces industries offrent un fort effet de levier aux attaquants, car la compromission d'une seule identite peut debloquer l'acces a de multiples systemes critiques.

La sophistication des attaques a fait passer le paiement moyen par arnaque de 782 $ en 2024 a 2 764 $ en 2025 — soit une augmentation de 253 % en glissement annuel. Ce phenomene s'explique par l'abandon par les escrocs des campagnes massives et indiscriminees au profit d'attaques hautement ciblees et personnalisees. Ils utilisent desormais des outils d'intelligence artificielle pour identifier et exploiter les individus a haute valeur nette, connus sous le nom de "whales" dans le jargon crypto.

Le role des stablecoins a ete fondamental dans cette expansion. En 2026, les stablecoins representent 84 % de l'ensemble du volume de transactions illicites. Leur stabilite de prix en fait le vehicule ideal pour le blanchiment d'argent et le contournement des sanctions, notamment dans les reseaux lies a la Russie tels que Garantex et le cluster de portefeuilles A7, qui ont traite plus de 39 milliards de dollars en 2025 dans le cadre d'un programme coordonne de contournement des sanctions etatiques.

Pour une vue plus large du paysage securitaire, incluant les 3,41 milliards de dollars de pertes totales sur l'annee 2025, consultez notre Rapport sur la securite crypto 2025–2026.

2. L'economie du Drainer-as-a-Service (DaaS)

Le modele economique derriere le vol de portefeuilles a ete structure de maniere similaire au Ransomware-as-a-Service (RaaS). Les developpeurs de malwares creent des infrastructures completes qu'ils louent a des "affilies" ayant moins de connaissances techniques. Ces fournisseurs de Drainer-as-a-Service (DaaS) offrent des panneaux de controle, des generateurs de pages d'atterrissage, des bots Telegram et un support technique pour plus de 90 types de portefeuilles.

Le modele DaaS a effectivement industrialise le vol de cryptomonnaies. Un affilie ayant des competences minimales en programmation peut lancer une campagne de phishing en quelques heures, en exploitant des pages de phishing concues professionnellement qui imitent des dApps populaires, des drops NFT et des sites de reclamation d'airdrops. La barriere a l'entree n'a jamais ete aussi basse — et les rendements n'ont jamais ete aussi eleves.

Le Rublevka Team : anatomie d'une "Traffer Team"

Le groupe connu sous le nom de "Rublevka Team" est un exemple marquant de cette professionnalisation. En activite depuis 2023, cette equipe d'origine russe a genere plus de 10 millions de dollars grace a des campagnes menees par des affilies. Leur succes repose sur une structure hierarchique et competitive :

Recrutement et structure. Le groupe recrute des specialistes en ingenierie sociale via des forums specialises tels que LolzTeam, Exploit et XSS. Les affilies recoivent entre 75 % et 80 % du butin, tandis que les developpeurs principaux conservent le pourcentage restant en tant que frais de service. Ce partage genereux attire un flux constant de nouveaux operateurs desireux de participer.

Infrastructure d'evasion. Le Rublevka Team emploie des techniques avancees de "cloaking" pour restreindre l'acces a leurs pages de phishing en fonction de l'adresse IP du visiteur, de son FAI ou de son pays d'origine. Cela empeche les chercheurs en securite ou les robots de Google de detecter le contenu malveillant. Si un chercheur d'une entreprise de securite connue visite l'URL, il voit une page inoffensive. Le veritable contenu de phishing n'est servi qu'aux victimes ciblees.

Contournement de la "Red Table". Ils ont implemente des fonctions pour debloquer les domaines signales comme dangereux par Google, en affichant temporairement du contenu inoffensif ("white pages") pour echapper aux analyses de securite. Une fois le domaine retire des avertissements de Google Safe Browsing, le contenu de phishing est reactive.

Le deploiement de ces outils permet a des attaquants ayant une experience technique minimale de lancer des campagnes a fort impact, exploitant des evenements mediatiques tels que les lancements de tokens (airdrops) ou les pre-ventes de NFT pour attirer les victimes. Une fausse page de "reclamation d'airdrop", combinee a une promotion sur les reseaux sociaux via des comptes compromis, peut generer des rendements a six chiffres en une seule journee.

3. Anatomie technique du drainer moderne

Les drainers de 2026 ont evolue pour exploiter la complexite des smart contracts et des nouveaux standards de reseau. Contrairement aux methodes plus anciennes qui necessitaient que l'utilisateur envoie manuellement ses actifs, les drainers modernes incitent la victime a signer des transactions qui accordent des permissions illimitees sur leurs fonds.

Comprendre les mecanismes techniques est crucial car cela revele pourquoi les conseils de securite traditionnels — "ne partagez jamais votre phrase de recuperation" — ne sont plus suffisants. La nouvelle generation d'attaques n'a pas besoin de votre phrase de recuperation. Elle a besoin d'une seule signature sur une transaction soigneusement elaboree. Pour en savoir plus sur la facon dont les approbations de tokens creent des risques caches, consultez notre article dedie.

EIP-7702 : le nouveau champ de bataille

La mise a jour Pectra d'Ethereum a introduit le standard EIP-7702, initialement concu pour apporter des capacites d'abstraction de compte aux Externally Owned Accounts (EOA) comme MetaMask. Cependant, ce standard a ouvert une surface d'attaque qualitativement nouvelle.

L'EIP-7702 permet a un EOA de deleguer temporairement sa logique d'execution a un smart contract externe en signant un tuple d'autorisation. Les groupes de phishing ont developpe une taxonomie d'attaques sous ce standard :

Tromperie du pointeur de delegation. Les utilisateurs sont amenes a autoriser une adresse qui heberge une logique malveillante. Puisque l'implementation deleguee est opaque au moment de la signature, l'utilisateur installe effectivement un "cerveau malveillant" dans son propre portefeuille. L'apercu de la transaction dans la plupart des interfaces de portefeuille ne communique pas clairement les implications d'une delegation EIP-7702.

Persistance du controle. Une fois la delegation ecrite dans le slot de code du compte, tous les appels subsequents sont automatiquement achemines via le code de l'attaquant. Cela cree une separation temporelle entre le moment du phishing et le moment du vol, permettant a l'attaquant d'attendre que le portefeuille contienne un solde plus important avant d'executer le drainage.

Activation cross-context. Le code malveillant peut etre active non seulement par des transactions initiees par l'utilisateur, mais aussi par des appels externes provenant d'autres contrats ou protocoles. Cela permet un drainage automatique des actifs sans aucune intervention directe de la victime — le portefeuille peut etre vide pendant que l'utilisateur dort.

D'un point de vue technique, l'implementation utilise un nouveau type de transaction, SET_CODE_TX_TYPE (0x04), qui inclut une liste d'autorisations signees. Si un utilisateur signe l'une de ces autorisations pointant vers un contrat drainer, l'attaquant peut invoquer des fonctions de transfert massif pour les tokens ERC-20, les NFT et l'ETH de maniere atomique et silencieuse.

Permit2 vs. EIP-7702 : comparaison technique

Le danger de l'EIP-7702 reside dans le fait qu'il brise des hypotheses de securite fondamentales. De nombreux developpeurs s'appuyaient sur la verification tx.origin == msg.sender pour prevenir les attaques de reentrance ou de flash loan, en supposant que les EOA ne pouvaient pas executer de code de contrat. L'EIP-7702 invalide cette premisse, permettant a un compte personnel de se comporter comme un contrat malveillant dans des contextes de gouvernance ou de protocoles DeFi. Pour une comprehension plus approfondie des types de portefeuilles et de leurs proprietes de securite, consultez Qu'est-ce qu'un portefeuille crypto ?

4. Adaptation par reseau : Solana, TON et Layer 2

Les developpeurs de drainers ont diversifie leurs cibles pour inclure des reseaux avec des frais plus bas et de grands volumes d'utilisateurs particuliers. L'expansion au-dela d'Ethereum represente une maturation de la menace — les kits de drainers sont desormais livres avec un support multi-chain integre.

Solana et le malware CLINKSINK

Solana est devenue une cible prioritaire en raison de sa vitesse de transaction et du boom des memecoins. Le drainer connu sous le nom de CLINKSINK, identifie par des chercheurs en securite en 2026, utilise des pages de phishing qui usurpent l'identite de Phantom, DappRadar et BONK. Une fois que la victime connecte son portefeuille pour reclamer un suppose airdrop, on lui demande de signer une transaction frauduleuse qui transfere instantanement ses SOL et tokens SPL vers les adresses des attaquants.

Les campagnes utilisant CLINKSINK ont vole environ 900 000 $, repartissant le butin selon un ratio 80/20 entre l'affilie et l'operateur du service. L'agilite de ces groupes est evidente dans leur rotation constante de domaines et d'API RPC (Remote Procedure Call) pour echapper aux listes noires des portefeuilles. Un domaine peut n'etre actif que pendant 4 a 6 heures avant d'etre remplace, rendant les defenses basees sur les listes noires traditionnelles largement inefficaces.

The Open Network (TON) et la tromperie par commentaires

L'integration de TON avec Telegram a facilite une nouvelle modalite de phishing basee sur la fonction de commentaire des transactions. Les attaquants envoient de fausses offres de, par exemple, 5 000 USDT, en utilisant le champ de commentaire pour afficher des messages comme "Recevoir 5 000 USDT" accompagnes d'un bouton "Confirmer". Lorsque l'utilisateur signe ce qui semble etre une reception de fonds, il autorise en realite un contrat qui draine ses Toncoins et Jettons (tokens TON).

Bien que certains operateurs de drainers aient abandonne TON en raison du manque de "whales" (investisseurs a fort capital), le volume de victimes particulieres reste significatif. La proximite sociale de Telegram — ou les utilisateurs peuvent recevoir des messages malveillants de contacts dont les comptes ont ete compromis — ajoute une couche de confiance que les canaux de phishing traditionnels ne possedent pas.

La dominance du Layer 2 : Base et Arbitrum

En 2026, les reseaux Layer 2 (L2) comme Base et Arbitrum concentrent plus de 77 % de la valeur totale verrouillee dans l'ecosysteme L2. Base, en particulier, est devenu le leader en transactions quotidiennes, depassant souvent 50 millions de transactions mensuelles. Cette concentration d'utilisateurs, favorisee par l'onboarding facile depuis Coinbase, a attire les developpeurs de kits de drainers comme Inferno et Angel, qui incluent desormais un support natif pour ces reseaux.

Les faibles frais de gas sur ces reseaux permettent aux escrocs de mener des attaques d'empoisonnement d'adresses a grande echelle. Ils envoient des micro-transactions depuis des adresses visuellement similaires aux propres adresses de l'utilisateur, esperant que la victime copie une adresse malveillante depuis son historique de transactions lors de futurs transferts. Sur le mainnet Ethereum, le cout en gas de chaque transaction d'empoisonnement serait prohibitif. Sur Base ou Arbitrum, un attaquant peut envoyer des milliers de transactions d'empoisonnement pour quelques dollars.

Pour en savoir plus sur la facon dont les differents types de portefeuilles interagissent avec ces reseaux, consultez notre guide sur les hardware wallets.

5. La revolution de l'IA dans le phishing

L'utilisation de l'intelligence artificielle generative a transforme le phishing d'une activite a "faible effort" en une operation haute fidelite. Les e-mails de phishing generes par l'IA atteignent des taux de clics quatre fois superieurs aux methodes traditionnelles. La grammaire est impeccable, la personnalisation est precise et le sentiment d'urgence est calibre selon le profil de chaque victime.

Deepfake vishing et clonage vocal

Le clonage vocal est devenu un outil critique pour le Business Email Compromise (BEC) et la fraude aux particuliers. Avec seulement trois secondes d'audio d'une personne, les attaquants peuvent generer des clones vocaux avec une precision de 85 %, atteignant un seuil d'"indiscernabilite" pour l'oreille humaine.

En mars 2026, des cas ont ete signales ou des escrocs ont utilise des clones vocaux de petits-enfants pour tromper des grands-parents, demandant des paiements urgents en Bitcoin pour une pretendue caution. Dans le domaine professionnel, l'incident de la societe Arup reste le cas de reference : un employe a transfere 25,6 millions de dollars apres avoir participe a un appel video deepfake ou le directeur financier et d'autres collegues apparaissaient — tous generes synthetiquement.

La combinaison du clonage vocal et de la video deepfake en temps reel a cree une menace qualitativement differente du phishing traditionnel. Lorsqu'une victime voit et entend une personne en qui elle a confiance lui demandant d'agir, les defenses psychologiques qui protegent contre les arnaques par e-mail ne s'activent tout simplement pas. Pour un guide complet sur la protection, consultez Rester en securite dans la crypto.

Agents autonomes d'arnaque

La frontiere la plus recente est le deploiement d'agents autonomes bases sur de grands modeles de langage (LLM). Ces bots peuvent maintenir des conversations "romantiques" ou d'investissement (Pig Butchering) simultanement avec des milliers de victimes, adaptant intelligemment leur ton et leur personnalite pendant des semaines ou des mois.

L'operation "Truman Show" decouverte par Check Point a revele l'utilisation de 90 "experts" generes par l'IA dans des groupes de messagerie, qui dirigeaient les victimes vers des applications de trading avec des donnees de marche controlees par l'attaquant. Les victimes croyaient recevoir des conseils d'une communaute de traders a succes. En realite, chaque "expert", chaque graphique et chaque histoire de succes etait fabrique par l'IA.

6. Etudes de cas : 2025–2026

L'analyse des incidents recents revele l'execution pratique de ces menaces — et les lecons que chacun d'entre eux porte pour quiconque gere des actifs numeriques.

Le vol de 282 millions de dollars par ingenierie sociale

En janvier 2026, un utilisateur de hardware wallet a subi une perte record de 282 millions de dollars en Bitcoin et Litecoin. Malgre l'utilisation d'un Trezor, considere comme l'un des portefeuilles les plus securises disponibles, la securite a ete contournee par un stratageme d'ingenierie sociale ou les attaquants se sont fait passer pour le support technique afin de manipuler l'utilisateur.

L'enquete a revele que les attaquants ont utilise une cle API fuitee pour faciliter la tromperie, rendant leur usurpation du support legitime plus convaincante. Les fonds ont ete rapidement blanchis via des echanges instantanes et des routes liees a THORChain, pour etre finalement convertis en Monero (XMR) afin d'effacer la trace. La conversion en Monero — une cryptomonnaie de confidentialite aux transactions intraçables — signifie que la recuperation est virtuellement impossible.

Ce cas est l'illustration la plus couteuse d'une verite fondamentale : les hardware wallets protegent contre les malwares et l'extraction de cles a distance, mais ils n'offrent aucune protection contre un utilisateur qui livre volontairement sa phrase de recuperation. L'appareil ne peut pas distinguer une recuperation legitime d'une attaque par ingenierie sociale.

L'exploitation du protocole TrueBit

Debut 2026, le protocole TrueBit sur Ethereum a ete exploite via une vulnerabilite dans sa logique de prix de minting du token TRU. Un attaquant a abuse d'une erreur mathematique permettant de minter de grandes quantites de TRU avec un ETH quasi nul, drainant environ 26,6 millions de dollars en Ether des reserves du protocole.

Ce cas demontre que si le phishing est la menace dominante, les vulnerabilites techniques dans les smart contracts "abandonnes" ou a faible visibilite restent un risque latent. Le contrat de TrueBit avait ete deploye des annees plus tot et n'avait pas recu l'attention securitaire continue dont beneficient les protocoles plus actifs. Les contrats herites detenant une valeur significative sans maintenance active representent une bombe a retardement. Pour des conseils sur l'evaluation de la securite des smart contracts, consultez Comment verifier les smart contracts.

Campagnes d'usurpation gouvernementale : E-ZPass

L'une des campagnes de phishing les plus massives de 2025 a ete l'operation "E-ZPass", qui a touche des millions de conducteurs aux Etats-Unis. Le groupe connu sous le nom de "Smishing Triad", utilisant l'infrastructure "Lighthouse", a envoye des SMS frauduleux concernant des dettes de peage dirigeant les utilisateurs vers des sites web indiscernables des sites officiels.

Cette operation a atteint 330 000 messages envoyes en une seule journee et a reussi a collecter environ 1 milliard de dollars sur trois ans, demontrant la puissance du Phishing-as-a-Service (PhaaS). L'ampleur de cette campagne montre que l'infrastructure de phishing a muri au point de pouvoir soutenir des operations pluriannuelles generant des rendements a neuf chiffres — rivalisant avec le chiffre d'affaires d'entreprises technologiques legitimes.

Bien que E-ZPass ait cible les methodes de paiement traditionnelles, la meme infrastructure et les memes techniques sont activement adaptees pour le vol de cryptomonnaies. Le schema est identique : creer l'urgence, usurper une autorite et diriger la victime vers un site qui capture ses identifiants ou ses signatures d'autorisation.

7. Strategies de protection et resilience en 2026

La defense contre le phishing moderne necessite une transition de la "confiance implicite" vers une architecture Zero Trust. Chaque interaction, chaque demande de transaction et chaque communication doivent etre verifiees de maniere independante. L'epoque ou l'on faisait confiance a une URL parce qu'elle "avait l'air correcte" ou a un interlocuteur parce qu'il "semblait legitime" est revolue.

Pour un guide complet sur la securite dans la crypto et les meilleures pratiques en matiere de confidentialite et de securite, consultez nos articles dedies dans la section Learn.

Synergie materiel-logiciel : le modele SignGuard

En 2026, posseder un hardware wallet n'est plus une garantie de securite suffisante. La tendance actuelle est l'utilisation de systemes integres de protection des signatures (SignGuard). Cette approche signifie que l'application du portefeuille (logiciel) analyse et decompile la transaction avant qu'elle n'atteigne le dispositif physique.

Parite d'analyse. Le logiciel doit afficher les details de la transaction dans un format lisible par l'humain, avertissant des methodes de contrat suspectes ou des approbations de depenses illimitees. Si vous voyez une transaction demandant approve(address, uint256.max), l'interface devrait explicitement signaler que vous accordez un acces illimite a vos tokens.

Protection open source. La demande est croissante pour des appareils avec un firmware et un materiel entierement auditables (open source), eliminant le risque de "portes derobees" du fabricant. Si le firmware n'est pas open source, vous faites confiance aux pratiques de securite du fabricant sur parole.

Securite multi-niveaux. L'utilisation de cles de securite physiques (FIDO2/YubiKey) est recommandee pour proteger l'acces aux exchanges et aux e-mails, eliminant la vulnerabilite de la 2FA par SMS. Les attaques de SIM-swap restent une menace significative, et la 2FA par SMS devrait etre consideree comme compromise par defaut.

Gestion des delegations EIP-7702

Pour les utilisateurs interagissant avec le nouveau standard Ethereum, l'hygiene de delegation est obligatoire. Il est essentiel d'utiliser des outils tels que l'EIP-7702 Delegation Checker pour verifier si une adresse a ete deleguee a un contrat inconnu.

La revocation d'une delegation EIP-7702 s'effectue en signant une nouvelle autorisation qui pointe vers l'adresse zero (address(0)), ce qui efface effectivement le marqueur de code du portefeuille et restaure son comportement standard. Cela devrait etre fait immediatement si vous soupconnez une delegation non autorisee, et de maniere proactive dans le cadre d'une maintenance de securite reguliere.

Pare-feu IA et securite du navigateur

Des plateformes d'extensions de securite de navigateur basees sur l'IA ont emerge, telles que LayerX et SquareX, qui analysent le comportement du navigateur en temps reel. Ces outils detectent si une extension malveillante tente d'injecter des invites dans des outils d'IA generative ou si elle tente d'usurper l'interface de portefeuilles populaires comme MetaMask ou Phantom.

La detection ne repose plus sur des signatures de malwares connus mais sur une analyse dynamique des anomalies comportementales. Si un site web tente de superposer une fausse fenetre MetaMask par-dessus la vraie, ou s'il demande un type de signature incompatible avec l'action que l'utilisateur croit effectuer, la couche de securite intervient avant que la signature ne soit soumise.

8. L'avenir de la securite : au-dela des phrases de recuperation

Le modele traditionnel d'une phrase de recuperation unique comme seul point de defaillance est en train d'etre remplace, notamment dans les environnements institutionnels et pour les utilisateurs a haute valeur nette.

Technologie MPC (Multi-Party Computation). Cette approche divise la cle privee en plusieurs fragments distribues sur differents appareils et parties, de sorte qu'aucun appareil ou personne ne dispose d'un controle total sur les fonds. Meme si un fragment est compromis, l'attaquant ne peut pas reconstruire la cle complete sans obtenir un nombre seuil de fragments supplementaires.

Abstraction de compte permanente. La migration vers des smart contract wallets (EIP-4337) permet l'implementation de limites de depenses, de listes blanches d'adresses et de recuperation sociale. Ces fonctionnalites minimisent les dommages en cas de compromission d'une signature. Une limite de depense de 1 000 $ par jour signifie que meme une attaque de phishing reussie ne peut drainer que 1 000 $ avant que la victime ne detecte le probleme et ne reagisse.

Hygiene operationnelle. La recommandation generale pour 2026 est d'utiliser les hot wallets uniquement pour les operations quotidiennes avec de petites sommes, tandis que l'essentiel des actifs devrait rester dans des coffres-forts materiels deconnectes de toute interaction frequente avec des dApps. La regle d'or : si vous ne porteriez pas cette somme en especes dans votre poche dans la rue, elle ne devrait pas se trouver dans un hot wallet.

Pour une comprehension approfondie des architectures de portefeuilles et de leurs compromis de securite, consultez nos guides sur les portefeuilles crypto et les hardware wallets.