Que faire si vous avez été victime d'une arnaque de drainur de portefeuille ou de phishing d'approbation : guide complet de récupération
Vous avez connecté votre portefeuille à ce qui semblait être un site légitime, signé une transaction, et en quelques secondes vos tokens ont disparu. Les attaques de draineurs de portefeuilles et de phishing d'approbation figurent parmi les arnaques crypto les plus techniquement sophistiquées en activité aujourd'hui. En 2024, elles ont vidé environ 494 millions de dollars de plus de 332 000 portefeuilles. Même si les défenses se sont améliorées et que les pertes de 2025 ont considérablement diminué, plus de 83 millions de dollars ont tout de même été volés à plus de 106 000 victimes. Ce guide explique précisément ce qui s'est passé, ce que vous devez faire maintenant, et à quoi ressemble une récupération réaliste.
1. Réponse rapide : la première étape la plus importante
⚡ Action immédiate si vous venez d'être drainé
Ouvrez immédiatement un vérificateur d'approbations de tokens comme revoke.cash ou Etherscan Approvals, connectez le portefeuille concerné et révoquez toutes les approbations accordées à des adresses inconnues. Cela ne récupère pas les fonds déjà volés, mais empêche un draineur actif de vider les tokens restants. Faites-le dans les minutes qui suivent.
Une fois les approbations révoquées, cessez d'utiliser le portefeuille compromis à toute fin sauf la documentation. Ne signez aucune nouvelle transaction avant de comprendre ce qui s'est passé.
2. À quoi ressemble cette arnaque
Une attaque de draineur de portefeuille exploite un mécanisme intégré dans Ethereum et les blockchains compatibles : la fonction approve. Celle-ci permet à une adresse tierce — un dépenseur approuvé — de transférer des tokens depuis votre portefeuille sans transaction séparée à chaque fois. Elle a été conçue pour un usage légitime dans la DeFi. Les attaquants l'ont transformée en arme.
Les points d'entrée les plus courants comprennent :
- Sites frauduleux de mint NFT et clones DeFi
- Signatures Permit et Permit2 (38 % des pertes dans les incidents de plus d'1 M$ en 2025)
- Comptes Discord et Twitter compromis
- Pages de réclamation d'airdrop
- Délégations malveillantes EIP-7702 (après août 2025)
Dans toutes les variantes, la victime signe une permission. Le serveur de l'attaquant appelle ensuite la fonction approvée pour transférer les tokens, souvent des millisecondes après la soumission de la signature.
Ampleur : Chainalysis a documenté 374 millions de dollars volés via le phishing d'approbation en 2023, 494 millions de dollars de 332 000 portefeuilles en 2024. Scam Sniffer 2025 a recensé 83,85 millions de dollars volés à 106 106 victimes.
3. Pourquoi les gens tombent dans le piège
Ces attaques réussissent parce qu'elles sont conçues pour déjouer les défenses habituelles. Quatre facteurs se combinent :
- La boîte de dialogue d'approbation est identique aux interactions DeFi légitimes
- L'urgence fabriquée (minuteries de compte à rebours, messages de rareté)
- Des comptes de confiance compromis (Discord/Twitter vérifiés)
- Les signatures Permit ressemblent à des connexions (sans gas, visuellement identiques à une connexion standard)
Le rapport Europol IOCTA 2025 documente comment l'infrastructure de phishing utilise des domaines sosies professionnels pour éliminer tout soupçon avant la signature.
4. Premières 24 heures : que faire immédiatement
La rapidité est essentielle. Suivez ces étapes dans l'ordre :
- Révoquez immédiatement toutes les approbations de tokens. Rendez-vous sur revoke.cash ou Etherscan. Un faible montant de gas est requis. Cela ne récupère pas les fonds volés mais stoppe le drainage en cours.
- Préservez toutes les preuves. Faites des captures d'écran de l'URL du site frauduleux, des transactions du portefeuille, des communications. Notez les horodatages exacts. Ne videz pas l'historique du navigateur.
- Copiez l'adresse du portefeuille de l'attaquant et les hachages de transactions depuis l'explorateur de blockchain. Ce sont les preuves clés pour toute enquête.
- Cessez d'utiliser le portefeuille compromis. Traitez-le comme définitivement compromis. Transférez les actifs restants vers un portefeuille nouvellement créé, uniquement après avoir révoqué les approbations.
- Déposez une plainte pour cybercriminalité. En France : cybermalveillance.gouv.fr. Dans l'UE : unité cybercriminalité de la police nationale. Conservez votre numéro de rapport.
- Informez les exchanges concernés. Si la piste blockchain montre que les fonds se trouvent sur un exchange centralisé, signalez-le immédiatement à leur équipe de conformité avec le hachage de transaction.
- Contactez un enquêteur professionnel en blockchain si le montant volé est significatif. Un engagement précoce — dans les 24 à 48 heures — préserve les options de traçage.
⏰ Ne tardez pas
N'attendez pas pour voir si l'attaquant rend les fonds. Les opérateurs de draineurs ne restituent pas les fonds. Chaque heure de retard réduit les chances d'un gel réussi en exchange.
5. Ce qu'il ne faut PAS faire
Plusieurs réactions instinctives aggravent la situation :
- N'envoyez pas d'ETH pour récupérer les tokens restants. Les bots de draineurs balaient instantanément l'ETH entrant.
- Ne publiez pas votre adresse de portefeuille publiquement. Cela attire de faux services de récupération en quelques minutes.
- Ne répondez à personne qui vous contacte en premier. Les enquêteurs légitimes ne sollicitent pas par message privé.
- Ne payez aucun frais de récupération initial. Aucun tiers ne peut annuler une transaction blockchain exécutée.
- N'interagissez pas avec les tokens envoyés à votre portefeuille après le drain. Les tokens de poussette et les NFT suspects peuvent contenir des appels de contrat malveillants.
- Ne supposez pas que rien ne peut être fait. Chaque mouvement de fonds volés est enregistré de manière permanente.
6. À quoi ressemble vraiment la récupération
Les transactions blockchain sont irréversibles. Ce qui est possible, c'est le traçage forensique combiné à la coopération des exchanges et à la coordination avec les forces de l'ordre.
Traçage forensique
Toutes les transactions blockchain sont enregistrées sur un registre public et immuable. Les directives FATF de novembre 2025 notent que les registres blockchain offrent une traçabilité en temps réel qui soutient une récupération rapide lorsqu'elle est combinée à la coopération des exchanges. Un enquêteur professionnel cartographie le cluster de portefeuilles de l'attaquant, identifie les adresses de dépôt sur les exchanges et documente la chaîne de traitement.
Coopération des exchanges et gel des actifs
Lorsqu'un rapport forensique documenté reliant des fonds volés à une adresse de dépôt spécifique leur est présenté, de nombreux exchanges gèlent les retraits en attente. La fenêtre est généralement de 24 à 72 heures.
Application de la loi et litiges civils
L'Opération Spincaster a gelé des fonds dans plusieurs juridictions. Le plaidoyer de culpabilité du DOJ de décembre 2025 dans une affaire à 263 millions de dollars montre que les poursuites internationales sont actives. Pour les pertes supérieures à 50 000 dollars, les litiges civils de récupération d'actifs sont viables.
📊 Évaluation du flux de fonds
Les taux de récupération dépendent de là où les fonds sont allés. Les fonds acheminés vers des exchanges réglementés sont les cas les plus traitables. Une évaluation professionnelle du flux de fonds est le seul moyen fiable de le savoir.
7. Quand faire appel à un enquêteur professionnel
Seuils pour un engagement professionnel :
- Au-delà de 10 000 $ : Un rapport forensique est probablement rentable.
- Au-delà de 50 000 $ : Une enquête professionnelle est fortement conseillée. Les litiges civils deviennent proportionnés.
- Toute perte où la piste mène à un exchange centralisé : Un engagement précoce peut déclencher un gel.
- Toute perte institutionnelle ou professionnelle : Les obligations réglementaires ou d'assurance peuvent exiger un rapport formel.
Un enquêteur légitime effectue un traçage on-chain, produit un rapport forensique documenté, soumet des demandes de gel aux exchanges et coordonne avec les forces de l'ordre. Il facture un travail documenté.
8. Signaux d'alarme des arnaques de récupération
La double victimisation est répandue. Signes d'alerte clés :
- Ils vous ont contacté en premier
- Ils garantissent la récupération
- Ils exigent des frais initiaux
- Ils vous ont demandé votre phrase seed ou vos clés privées
- Ils prétendent avoir des relations spéciales avec des exchanges ou des gouvernements
- Leur site a été enregistré récemment sans références vérifiables
⚠️ Signalez la fraude à la récupération
Si vous soupçonnez un service de récupération d'être frauduleux, signalez-le à la même autorité où vous avez déposé votre plainte initiale. Le FBI et Europol enquêtent activement sur la fraude à la récupération.
Vous avez perdu des fonds dans une arnaque de drainur de portefeuille ou phishing d'approbation ?
Recoveris mène des enquêtes forensiques on-chain pour tracer les crypto-actifs volés, cartographier les portefeuilles des attaquants et coordonner avec les exchanges et les forces de l'ordre pour une éventuelle récupération.
Demander une consultation initiale gratuiteVous n'êtes pas sûr d'avoir été ciblé ?
Faites notre quiz d'auto-évaluation gratuit pour évaluer votre situation et comprendre les prochaines étapes.
Références
- 1Chainalysis. Les arnaques de phishing d'approbation ciblé connaissent une croissance explosive. 2023. chainalysis.com
- 2Chainalysis. Mise à jour mi-année 2024 sur la criminalité crypto — Partie 2. 2024. chainalysis.com
- 3Federal Bureau of Investigation, Internet Crime Complaint Center. Rapport sur la criminalité Internet 2025. 2025. ic3.gov
- 4TRM Labs. Une année record pour la cybercriminalité. 2025. trmlabs.com
- 5Groupe d'action financière (GAFI). Mise à jour ciblée 2025 sur les actifs virtuels. Novembre 2025. fatf-gafi.org
- 6Europol. Évaluation de la menace de la criminalité organisée sur Internet (IOCTA) 2025. 2025. europol.europa.eu
- 7Scam Sniffer. Les pertes par phishing crypto en 2025 chutent de 83 % à 84 millions de dollars. 2026. drops.scamsniffer.io
- 8Infosecurity Magazine. Des escrocs vident 500 millions de dollars de portefeuilles crypto. 2025. infosecurity-magazine.com
- 9Département de Justice des États-Unis. Plaidoyer de culpabilité dans un système d'ingénierie sociale de 263 millions de dollars. Décembre 2025. justice.gov
9. Foire aux questions
Puis-je récupérer des crypto volées dans une attaque de phishing d'approbation ?
Dans certains cas, oui — mais la récupération dépend de là où les fonds sont allés et de la rapidité de votre action. Si les fonds volés ont atteint un exchange centralisé avant votre signalement, il existe une chance réaliste de gel. Une enquête forensique est la première étape.
Révoquer une approbation de token récupère-t-il mon argent ?
Non. Révoquer une approbation stoppe les transferts futurs mais n'a aucun effet sur les transferts déjà effectués. C'est toutefois la bonne étape immédiate pour protéger les tokens restants.
J'ai signé une signature Permit, pas une transaction approve - est-ce différent ?
Le résultat final est le même, mais le mécanisme diffère. Une signature Permit est un message signé hors chaîne qui n'apparaît pas dans l'historique de votre portefeuille avant sa soumission on-chain. En 2025, les signatures Permit et Permit2 représentaient 38 % des pertes importantes. Les étapes de récupération sont identiques.
Dois-je signaler à la police si le montant est faible ?
Oui. Même pour de petits montants, votre signalement contribue aux enquêtes globales. L'IC3 du FBI et Europol utilisent les données de plaintes pour cartographier les clusters de portefeuilles des attaquants. Le dépôt d'une plainte ne coûte rien.
Comment savoir si un service de récupération est légitime ?
Les entreprises légitimes d'analyse forensique blockchain ne contactent pas les victimes sans sollicitation, ne garantissent pas la récupération et facturent un travail documenté. Vérifiez les références, recherchez le nom de l'entreprise avec les termes « plainte » ou « arnaque », et consultez les forces de l'ordre avant de payer un tiers.