Wallet Drainers en 2026 : Anatomie du phishing crypto moderne

Introduction 1. Paysage macroéconomique

1. Le paysage macroéconomique du phishing en 2026

Le volume d'activités malveillantes sur le web a augmenté de manière alarmante. Au cours de l'année écoulée, les chercheurs en sécurité ont suivi environ11,9 millions de domaines malveillants, avec une moyenne quotidienne de 378 411 domaines actifs à tout moment. Cette saturation de l'espace numérique est conçue pour submerger les mécanismes de défense réactifs des institutions financières et des plateformes technologiques, qui sont désormais les cibles principales de ces campagnes.

Les statistiques révèlent que lesecteur technologique concentre 36,13 % des attaques, suivi par le secteur gouvernemental et financier à 26,84 %, et l'e-commerce à 14,72 %. Ces industries offrent un levier important pour les attaquants, car compromettre une seule identité peut débloquer l'accès à de multiples systèmes critiques.

La sophistication des attaques a fait passer lepaiement moyen par escroquerie de 782 $ en 2024 à 2 764 $ en 2025— une augmentation de 253 % d'une année sur l'autre. Ce phénomène s'explique par l'abandon des campagnes massives et aveugles au profit d'attaques hautement ciblées et personnalisées. Les escrocs utilisent désormais des outils d'IA pour identifier et exploiter les individus à forte valeur nette, appelés « baleines » dans le jargon crypto.

Le rôle des stablecoins a été fondamental dans cette expansion. En 2026, les stablecoins représentent84 % de tout le volume de transactions illicites. Leur stabilité de prix en fait le véhicule idéal pour le blanchiment d'argent et le contournement des sanctions, en particulier dans les réseaux liés à la Russie tels que Garantex et le cluster de portefeuilles A7, qui ont traité plus de39 milliards de dollars en 2025dans le cadre d'un programme coordonné d'évasion des sanctions étatiques.

Pour une vue d'ensemble du paysage de la sécurité, incluant les 3,41 milliards de dollars de pertes totales en 2025, consultez notreRapport sur la sécurité crypto 2025–2026.

2. Économie du DaaS

2. L'économie du Drainer-as-a-Service (DaaS)

Le modèle économique derrière le vol de portefeuilles s'est structuré de manière similaire au Ransomware-as-a-Service (RaaS). Les développeurs de logiciels malveillants créent des infrastructures complètes qu'ils louent à des « affiliés » ayant moins de connaissances techniques. Ces fournisseurs de Drainer-as-a-Service (DaaS) proposent des panneaux de contrôle, des générateurs de pages de destination, des bots Telegram et un support technique pourplus de 90 types de portefeuilles.

Le modèle DaaS a effectivement industrialisé le vol de crypto. Un affilié avec des compétences minimales en codage peut lancer une campagne de phishing en quelques heures, en exploitant des pages de phishing conçues professionnellement qui imitent les dApps populaires, les lancements de NFT et les sites de réclamation d'airdrops. La barrière à l'entrée n'a jamais été aussi basse — et les rendements n'ont jamais été aussi élevés.

La Rublevka Team : anatomie d'une « Traffer Team »

Le groupe connu sous le nom de « Rublevka Team » est un exemple frappant de cette professionnalisation. Opérant depuis 2023, cette équipe d'origine russe a généréplus de 10 millions de dollarsvia des campagnes menées par des affiliés. Leur succès repose sur une structure hiérarchique et compétitive :

Recrutement et structure.Le groupe recrute des spécialistes de l'ingénierie sociale via des forums spécialisés tels que LolzTeam, Exploit et XSS. Les affiliés reçoivent entre75 % et 80 % du butin, tandis que les développeurs principaux conservent le pourcentage restant comme frais de service. Ce partage généreux attire un flux constant de nouveaux opérateurs impatients de participer.

Infrastructure d'évasion.La Rublevka Team utilise des techniques avancées de « cloaking » (dissimulation) pour restreindre l'accès à leurs pages de phishing en fonction de l'adresse IP, du FAI ou du pays d'origine du visiteur. Cela empêche les chercheurs en sécurité ou les bots de Google de détecter le contenu malveillant. Si un chercheur d'une firme de sécurité connue visite l'URL, il voit une page anodine. Le véritable contenu de phishing n'est servi qu'aux victimes ciblées.

Contournement de la « Table Rouge ».Ils ont mis en œuvre des fonctions pour débloquer les domaines signalés comme dangereux par Google, affichant temporairement du contenu inoffensif (« pages blanches ») pour échapper aux scans de sécurité. Une fois que le domaine est retiré des avertissements de Google Safe Browsing, le contenu de phishing est réactivé.

Le déploiement de ces outils permet à des attaquants avecexpérience technique minimalepour lancer des campagnes à fort impact, exploitant des événements médiatiques tels que des lancements de jetons (airdrops) ou des préventes de NFT pour attirer les victimes. Une fausse page « réclamez votre airdrop », combinée à une promotion sur les réseaux sociaux via des comptes compromis, peut générer des revenus à six chiffres en une seule journée.

3. Anatomie technique

3. Anatomie technique du drainer moderne

Les drainers de 2026 ont évolué pour exploiter la complexité dessmart contractset des nouveaux standards de réseau. Contrairement aux anciennes méthodes qui exigeaient que l'utilisateur envoie manuellement ses actifs, les drainers modernes incitent la victime à signer des transactions qui accordent despermissions illimitées sur ses fonds.

Comprendre les mécanismes techniques est crucial car cela révèle pourquoi les conseils de sécurité traditionnels — « ne partagez jamais votre phrase de récupération » — ne suffisent plus. La nouvelle génération d'attaques n'a pas besoin de votre phrase de récupération. Elle a besoin d'une signature unique sur une transaction soigneusement conçue. Pour en savoir plus sur la manière dont lesapprobations de jetons créent des risques cachés, consultez notre article dédié.

EIP-7702 : le nouveau champ de bataille

La mise à jour Pectra d'Ethereum a introduit le standard EIP-7702, initialement conçu pour apporter des capacités d'abstraction de compte aux comptes externes (EOA) comme MetaMask. Cependant, ce standard a ouvert unesurface d'attaque qualitativement nouvelle.

L'EIP-7702 permet à un EOA de déléguer temporairement sa logique d'exécution à un smart contract externe en signant un tuple d'autorisation. Les groupes de phishing ont développé une taxonomie d'attaques sous ce standard :

Tromperie par pointeur de délégation.Les utilisateurs sont incités à autoriser une adresse qui héberge une logique malveillante. Comme l'implémentation déléguée est opaque au moment de la signature, l'utilisateur installe effectivement un « cerveau malveillant » dans son propre portefeuille. L'aperçu de la transaction dans la plupart des interfaces de portefeuille ne communique pas clairement les implications d'une délégation EIP-7702.

Persistance du contrôle.Une fois la délégation inscrite dans l'emplacement de code du compte, tous les appels ultérieurs sont automatiquement routés via le code de l'attaquant. Cela crée uneséparation temporelle entre le moment du phishing et le moment du vol, permettant à l'attaquant d'attendre que le portefeuille détienne un solde plus important avant d'exécuter le drainage.

Activation inter-contexte.Le code malveillant peut être activé non seulement par des transactions initiées par l'utilisateur, mais aussi par des appels externes provenant d'autres contrats ou protocoles. Cela permet un drainage automatique des actifs sans aucune intervention directe de la victime — le portefeuille peut être vidé pendant que l'utilisateur dort.

D'un point de vue technique, l'implémentation utilise un nouveau type de transaction,SET_CODE_TX_TYPE (0x04), qui inclut une liste d'autorisations signées. Si un utilisateur signe l'une de ces autorisations pointant vers un contrat de drainer, l'attaquant peut invoquer des fonctions de transfert de masse pour les jetons ERC-20, les NFT et l'ETH de manière atomique et silencieuse.

Permit2 vs EIP-7702 : comparaison technique

Le danger de l'EIP-7702 réside dans le fait qu'ilbrise les hypothèses de sécurité fondamentales. De nombreux développeurs s'appuyaient sur la vérificationtx.origin == msg.senderpour empêcher les attaques de réentrance ou de prêt flash, en supposant que les EOA ne pouvaient pas exécuter de code de contrat. L'EIP-7702 invalide ce postulat, permettant à un compte personnel de se comporter comme un contrat malveillant dans des contextes de gouvernance ou des protocoles DeFi. Pour une compréhension plus approfondie des types de portefeuilles et de leurs propriétés de sécurité, voirQu'est-ce qu'un portefeuille crypto ?

4. Adaptation au réseau

4. Adaptation par réseau : Solana, TON et Layer 2

Les développeurs de drainers ont diversifié leurs cibles pour inclure des réseaux avec des frais moins élevés et d'importants volumes d'utilisateurs particuliers. L'expansion au-delà d'Ethereum représente une maturation de la menace — les kits de drainers sont désormais livrés avec un support multi-chaînes natif.

Solana et le malware CLINKSINK

Solana est devenue une cible prioritaire en raison de sa vitesse de transaction et de l'explosion des memecoins. Le drainer connu sous le nom de CLINKSINK, identifié par des chercheurs en sécurité en 2026, utilise des pages de phishing quiusurpent l'identité de Phantom, DappRadar et BONK. Une fois que la victime connecte son portefeuille pour réclamer un prétendu airdrop, elle est invitée à signer une transaction frauduleuse qui transfère instantanément ses jetons SOL et SPL vers les adresses des attaquants.

Les campagnes utilisant CLINKSINK ont volé environ900 000 $, répartissant le butin selon un ratio 80/20 entre l'affilié et l'opérateur du service. L'agilité de ces groupes est évidente dans leur rotation constante de domaines et d'API RPC (Remote Procedure Call) pour échapper aux listes noires de portefeuilles. Un domaine peut n'être actif que pendant 4 à 6 heures avant d'être remplacé, rendant les défenses traditionnelles basées sur les listes noires largement inefficaces.

The Open Network (TON) et la tromperie par commentaire

L'intégration de TON avec Telegram a facilité une nouvelle modalité de phishing basée sur lafonction de commentaire de transaction. Les attaquants envoient de fausses offres de, par exemple, 5 000 USDT, en utilisant le champ de commentaire pour afficher des messages tels que « Recevoir 5 000 USDT » à côté d'un bouton « Confirmer ». Lorsque l'utilisateur signe ce qui semble être une réception de fonds, il autorise en réalité un contrat qui draine ses Toncoins et ses Jettons (jetons TON).

Bien que certains opérateurs de drainers aient abandonné TON en raison du manque de « baleines » (investisseurs à fort capital), levolume de victimes parmi les particuliers reste significatif. La proximité sociale de Telegram — où les utilisateurs peuvent recevoir des messages malveillants de contacts dont les comptes ont été compromis — ajoute une couche de confiance qui fait défaut aux canaux de phishing traditionnels.

La dominance des Layer 2 : Base et Arbitrum

En 2026, les réseaux de couche 2 (L2) comme Base et Arbitrum concentrentplus de 77 % de la valeur totale verrouilléedans l'écosystème L2. Base, en particulier, est devenu le leader des transactions quotidiennes, dépassant souvent les 50 millions de transactions mensuelles. Cette concentration d'utilisateurs, favorisée par une intégration facile depuis Coinbase, a attiré les développeurs de kits de drainers comme Inferno et Angel, qui incluent désormais unsupport natif pour ces réseaux.

Les faibles frais de gaz sur ces réseaux permettent aux escrocs de mener desattaques par empoisonnement d'adresseà une échelle massive. Ils envoient des micro-transactions depuis des adresses visuellement similaires aux propres adresses de l'utilisateur, espérant que la victime copiera une adresse malveillante de son historique de transactions lors de futurs transferts. Sur le réseau principal Ethereum, le coût en gaz de chaque transaction d'empoisonnement serait prohibitif. Sur Base ou Arbitrum, un attaquant peut envoyer des milliers de transactions d'empoisonnement pour quelques dollars.

Pour en savoir plus sur la manière dont les différents types de portefeuilles interagissent avec ces réseaux, consultez notre guide sur lesportefeuilles matériels (hardware wallets).

5. Révolution de l'IA

5. La révolution de l'IA dans le phishing

L'utilisation de l'intelligence artificielle générative a transformé le phishing d'une activité « à faible effort » en une opération de haute fidélité. Les e-mails de phishing générés par l'IA atteignent destaux de clics quatre fois plus élevésque les méthodes traditionnelles. La grammaire est impeccable, la personnalisation est précise et le sentiment d'urgence est calibré selon le profil de chaque victime.

Vishing par deepfake et clonage de voix

Le clonage de voix est devenu un outil critique pour le compromis d'e-mails professionnels (BEC) et la fraude à la consommation. Avec seulementtrois secondes d'audiod'une personne, les attaquants peuvent générer des clones vocaux avec uneprécision de 85 %, atteignant un seuil d'« indiscernabilité » pour l'oreille humaine.

En mars 2026, des cas ont été signalés où des escrocs utilisaient des clones vocaux de petits-enfants pour tromper les grands-parents, demandant des paiements urgents en Bitcoin pour une prétendue caution. Dans la sphère corporative, l'incident de la firme Arup reste le cas de référence : un employé a transféré25,6 millions de dollarsaprès avoir participé à un appel vidéo deepfake où le directeur financier et d'autres collègues apparaissaient — tous générés synthétiquement.

La combinaison du clonage vocal et de la vidéo deepfake en temps réel a créé une menace qualitativement différente du phishing traditionnel. Lorsqu'une victime voit et entend une personne de confiance lui demandant d'agir, les défenses psychologiques qui protègent contre les escroqueries par e-mail ne s'activent tout simplement pas. Pour des conseils complets sur votre protection, voirRester en sécurité dans la crypto.

Agents d'escroquerie autonomes

La frontière la plus récente est le déploiement d'agents autonomes basés sur de grands modèles de langage (LLM). Ces bots peuvent entretenir des conversations de type « romance » ou d'investissement (Pig Butchering) simultanément avecdes milliers de victimes, en adaptant intelligemment leur ton et leur personnalité sur des semaines ou des mois.

L'opération « Truman Show » découverte par Check Point a révélé l'utilisation de90 « experts » générés par IAdans des groupes de messagerie, qui orientaient les victimes vers des applications de trading dont les données de marché étaient contrôlées par l'attaquant. Les victimes pensaient recevoir des conseils d'une communauté de traders prospères. En réalité, chaque « expert », chaque graphique et chaque success story était fabriqué par l'IA.

6. Études de cas

6. Études de cas : 2025–2026

L'analyse des incidents récents révèle l'exécution pratique de ces menaces — et les leçons que chacune comporte pour quiconque gère des actifs numériques.

Le vol par ingénierie sociale de 282 millions de dollars

En janvier 2026, un utilisateur de portefeuille matériel (hardware wallet) a subi une perte record de282 millions de dollars en Bitcoin et Litecoin. Malgré l'utilisation d'un Trezor, considéré comme l'un des portefeuilles les plus sécurisés du marché, la sécurité a été contournée par un stratagème d'ingénierie sociale où les attaquants se sont fait passer pour le support technique afin de manipuler l'utilisateur.

L'enquête a révélé que les attaquants ont utilisé uneclé API fuitéepour faciliter la tromperie, rendant leur usurpation du support légitime plus convaincante. Les fonds ont été rapidement blanchis via des plateformes d'échange instantané et des routes liées à THORChain, pour être finalement convertis enMonero (XMR)afin d'effacer toute trace. La conversion en Monero — une cryptomonnaie anonyme aux transactions intraçables — signifie que la récupération est virtuellement impossible.

Ce cas est l'illustration la plus coûteuse d'une vérité fondamentale :les portefeuilles matérielsprotègent contre les logiciels malveillants et l'extraction de clés à distance, mais ils n'offrentaucune protection contre un utilisateur remettant volontairement sa phrase de récupération. L'appareil ne peut pas distinguer une récupération légitime d'une attaque par ingénierie sociale.

L'exploitation du protocole TrueBit

Début 2026, le protocole TrueBit sur Ethereum a été exploité via une vulnérabilité dans la logique de prix de frappe (minting) de son jeton TRU. Un attaquant a abusé d'uneerreur mathématique permettant de frapper de grandes quantités de TRU avec presque zéro ETH, drainant environ26,6 millions de dollars en Etherdes réserves du protocole.

Ce cas démontre que si le phishing est la menace dominante,les vulnérabilités techniques dans les contrats intelligents « stagnants » ou peu visibles restent un risque latent. Le contrat de TrueBit avait été déployé des années auparavant et n'avait pas bénéficié de l'attention sécuritaire continue dont profitent les protocoles plus actifs. Les contrats hérités détenant une valeur significative sans maintenance active représentent une bombe à retardement. Pour des conseils sur l'évaluation de la sécurité des contrats intelligents, voirComment vérifier les contrats intelligents.

Campagnes d'usurpation d'identité gouvernementale : E-ZPass

L'une des campagnes de phishing les plus massives de 2025 a été l'opération « E-ZPass », qui a touché des millions de conducteurs aux États-Unis. Le groupe connu sous le nom de « Smishing Triad », utilisant l'infrastructure « Lighthouse », a envoyé desSMS frauduleux concernant des dettes de péagequi dirigeaient les utilisateurs vers des sites web impossibles à distinguer des sites officiels.

Cette opération a atteint330 000 messages envoyés en une seule journéeet a réussi à collecter environ1 milliard de dollars sur trois ans, démontrant la puissance du Phishing-as-a-Service (PhaaS). L'ampleur de cette campagne montre que l'infrastructure de phishing a mûri au point de pouvoir soutenir des opérations pluriannuelles générant des revenus à neuf chiffres — rivalisant avec les revenus de sociétés technologiques légitimes.

Bien qu'E-ZPass ait ciblé des méthodes de paiement traditionnelles, la même infrastructure et les mêmes techniques sont activement adaptées pour le vol de cryptomonnaies. La stratégie est identique : créer l'urgence, usurper l'autorité et diriger la victime vers un site qui capture ses identifiants ou ses signatures d'autorisation.

7. Stratégies de protection

7. Stratégies de protection et résilience en 2026

La défense contre le phishing moderne nécessite une transition de la « confiance implicite » vers unearchitecture Zero Trust. Chaque interaction, chaque demande de transaction et chaque communication doit être vérifiée indépendamment. L'époque où l'on faisait confiance à une URL parce qu'elle « semble correcte » ou à un appelant parce qu'il « semble légitime » est révolue.

Pour un guide complet surla sécurité en cryptoet lesmeilleures pratiques de confidentialité et de sécurité, consultez nos articles dédiés dans la section Learn.

Synergie matériel-logiciel : le modèle SignGuard

En 2026, posséder unportefeuille matérieln'est plus une garantie de sécurité suffisante. La tendance actuelle est l'utilisation desystèmes intégrés de protection de signature (SignGuard). Cette approche signifie que l'application du portefeuille (logiciel) analyse et décompile la transaction avant qu'elle n'atteigne l'appareil physique.

Parité d'analyse.Le logiciel doit afficher les détails de la transaction dans un format lisible par l'homme, avertissant des méthodes de contrat suspectes ou des approbations de dépenses illimitées. Si vous voyez une transaction demandantapprove(address, uint256.max), l'interface doit explicitement signaler que vous accordez un accès illimité à vos jetons.

Protection open-source.Il existe une demande croissante pour des appareils dotés d'un micrologiciel (firmware) et d'un matériel entièrement auditables (open source), éliminant le risque de « portes dérobées » du fabricant. Si le micrologiciel n'est pas open source, vous vous en remettez aveuglément aux pratiques de sécurité du fabricant.

Sécurité multi-niveaux.L'utilisation de clés de sécurité physiques (FIDO2/YubiKey) est recommandée pour protéger l'accès aux plateformes d'échange et aux e-mails, éliminant la vulnérabilité de la 2FA par SMS. Les attaques par échange de carte SIM (SIM-swap) restent une menace importante, et la 2FA par SMS doit être considérée comme compromise par défaut.

Gestion des délégations EIP-7702

Pour les utilisateurs interagissant avec le nouveau standard Ethereum,l'hygiène de délégation est obligatoire. Il est essentiel d'utiliser des outils tels que l'EIP-7702 Delegation Checker pour vérifier si une adresse a été déléguée à un contrat inconnu.

La révocation d'une délégation EIP-7702 s'effectue en signant une nouvelle autorisation pointant versl'adresse zéro (address(0)), ce qui efface efficacement le marqueur de code du portefeuille et restaure son comportement standard. Cela doit être fait immédiatement si vous soupçonnez une délégation non autorisée, et de manière proactive dans le cadre d'une maintenance de sécurité régulière.

Pare-feu IA et sécurité du navigateur

Des plateformes d'extensions de navigateur de sécurité basées sur l'IA ont émergé, telles que LayerX et SquareX, qui analysent lecomportement du navigateur en temps réel. Ces outils détectent si une extension malveillante tente d'injecter des instructions dans des outils d'IA générative ou si elle tente d'usurper l'interface de portefeuilles populaires comme MetaMask ou Phantom.

La détection ne repose plus sur des signatures de logiciels malveillants connus mais surl'analyse dynamique des anomalies comportementales. Si un site web tente de superposer une fausse fenêtre contextuelle MetaMask sur la vraie, ou s'il demande un type de signature incohérent avec l'action que l'utilisateur pense effectuer, la couche de sécurité intervient avant que la signature ne soit soumise.

8. Au-delà des phrases de récupération

8. L'avenir de la sécurité : au-delà des phrases de récupération (seed phrases)

Le modèle traditionnel d'une phrase de récupération unique comme point de défaillance unique est en train d'être remplacé, en particulier dans les environnements institutionnels et pour les utilisateurs fortunés.

Technologie MPC (Multi-Party Computation).Cette approche divise la clé privée en plusieurs fragments distribués sur différents appareils et parties, de sorte qu'aucun appareil ou personne ne détienne le contrôle total des fonds. Même si un fragment est compromis, l'attaquant ne peut pas reconstruire la clé complète sans obtenir un nombre seuil de fragments supplémentaires.

Abstraction de compte permanente.La migration vers les portefeuilles de contrats intelligents (EIP-4337) permet la mise en œuvre delimites de dépenses, de listes blanches d'adresses et de récupération sociale. Ces fonctionnalités minimisent les dommages au cas où une signature serait compromise. Une limite de dépenses de 1 000 $ par jour signifie que même une attaque de phishing réussie ne peut drainer que 1 000 $ avant que la victime ne détecte le problème et ne réagisse.

Hygiène opérationnelle.La recommandation générale pour 2026 est d'utiliser les portefeuilles chauds (hot wallets) uniquement pour les opérations quotidiennes avec de petits montants, tandis que la majeure partie des actifs doit rester dans descoffres-forts matériels déconnectés de toute interaction fréquente avec les dApps. La règle d'or : si vous ne porteriez pas ce montant en espèces dans votre poche dans la rue, il ne devrait pas se trouver dans un hot wallet.

Pour une compréhension plus approfondie des architectures de portefeuilles et de leurs compromis en matière de sécurité, consultez nos guides sur lesportefeuilles cryptoet lesportefeuilles matériels (hardware wallets).

9. Points clés à retenir