Le chercheur en sécurité on-chain ZachXBT a signalé des centaines de portefeuilles sur plusieurs chaînes EVM vidés de petits montants, généralement moins de 2 000 $ par victime, convergés vers une seule adresse suspecte.
Le total des vols a dépassé 107 000 $ et continue d'augmenter. La cause profonde reste inconnue, mais des utilisateurs ont signalé avoir reçu un e-mail d'hameçonnage déguisé en Mise à jour obligatoire de MetaMask, avec un logo de renard portant un chapeau de fête et un objet « Bonne année ! ».
Cette attaque est survenue pendant que les développeurs étaient en vacances, les canaux d'assistance fonctionnaient avec des équipes réduites, et les utilisateurs parcouraient des boîtes de réception encombrées de promotions du Nouvel An.
Les attaquants exploitent cette fenêtre. Les petits montants par victime suggèrent que le draineur fonctionne avec des approbations de contrats plutôt qu'une compromission complète de Seed phrase dans de nombreux cas, ce qui maintient les pertes individuelles en dessous du seuil où les victimes tirent immédiatement la sonnette d'alarme, mais permet à l'attaquant de s'étendre à des centaines de portefeuilles.
L'industrie traite encore un incident distinct d'extension de navigateur Trust Wallet dans lequel un code malveillant dans l'extension Chrome v2.68 a collecté des clés privées et vidé au moins 8,5 millions de dollars de 2 520 portefeuilles avant que Trust Wallet ne corrige avec la v2.69.
Deux exploits différents, même leçon : les points d'accès des utilisateurs restent le maillon le plus faible.
Anatomie d'un e-mail d'hameçonnage qui fonctionne
L'e-mail d'hameçonnage sur le thème MetaMask démontre pourquoi ces attaques réussissent.
L'identité de l'expéditeur affiche « MetaLiveChain », un nom qui semble vaguement lié à la DeFi mais n'a aucun lien avec MetaMask.
L'en-tête de l'e-mail contient un lien de désabonnement pour « [email protected] », révélant que l'attaquant a copié des modèles de campagnes marketing légitimes. Le corps présente le logo du renard de MetaMask portant un chapeau de fête, mélangeant la bonne humeur saisonnière avec une urgence fabriquée concernant une « mise à jour obligatoire ».
Cette combinaison contourne les heuristiques que la plupart des utilisateurs appliquent aux arnaques évidentes.
L'e-mail d'hameçonnage usurpe l'identité de MetaMask avec un logo de renard portant un chapeau de fête, prétendant faussement qu'une mise à niveau système « obligatoire » pour 2026 est requise pour l'accès au compte.La documentation officielle de sécurité de MetaMask établit des règles claires. Les e-mails d'assistance proviennent uniquement d'adresses vérifiées, telles que [email protected], et jamais de domaines tiers.
Le fournisseur de Portefeuille n'envoie pas d'e-mails non sollicités exigeant une vérification ou des mises à niveau.
De plus, aucun représentant ne demandera jamais une phrase de récupération secrète. Pourtant, ces e-mails fonctionnent parce qu'ils exploitent l'écart entre ce que les utilisateurs savent intellectuellement et ce qu'ils font par réflexe lorsqu'un message d'apparence officielle arrive.
Quatre signaux exposent l'Hameçonnage avant que des dommages ne se produisent.
Premièrement, discordance entre marque et expéditeur, car l'image de marque MetaMask provenant de « MetaLiveChain » signale un vol de modèle. Deuxièmement, urgence fabriquée autour de mises à jour obligatoires que MetaMask dit explicitement ne pas envoyer.
Troisièmement, les URL de destination qui ne correspondent pas aux domaines revendiqués, survoler avant de cliquer révèle la cible réelle. Quatrièmement, les demandes qui violent les règles de base des portefeuilles, comme demander des seed phrases ou inviter à des signatures sur des messages off-chain opaques.
Le cas ZachXBT démontre les mécanismes d'hameçonnage par signature. Les victimes qui ont cliqué sur le faux lien de mise à niveau ont probablement signé une approbation de contrat accordant au draineur la permission de déplacer des tokens.
Cette signature unique a ouvert la porte à un vol continu sur plusieurs chaînes. L'attaquant a choisi de petits montants par portefeuille car les approbations de contrats comportent souvent des plafonds de dépenses illimités par défaut, mais tout vider déclencherait des enquêtes immédiates.
Répartir le vol sur des centaines de victimes à 2 000 $ chacune passe sous le radar individuel tout en accumulant des totaux à six chiffres.
Révocation des approbations et réduction du rayon d'impact
Une fois qu'un lien d'hameçonnage est cliqué ou qu'une approbation malveillante est signée, la priorité se déplace vers le confinement. MetaMask permet désormais aux utilisateurs de visualiser et de révoquer les allocations de tokens directement dans MetaMask Portfolio.
Revoke.cash guide les utilisateurs à travers un processus simple : connectez votre portefeuille, inspectez les approbations par réseau et envoyez des transactions de révocation pour les contrats non fiables.
La page Token Approvals d'Etherscan offre la même fonctionnalité pour la révocation manuelle des approbations ERC-20, ERC-721 et ERC-1155. Ces outils sont importants car les victimes qui agissent rapidement pourraient couper l'accès du draineur avant de tout perdre.
La distinction entre compromission d'approbation et compromission de seed-phrase détermine si un portefeuille peut être récupéré. Le guide de sécurité de MetaMask trace une ligne dure : si vous suspectez que votre phrase de récupération secrète a été exposée, cessez immédiatement d'utiliser ce portefeuille.
Créez un nouveau portefeuille sur un appareil neuf, transférez les actifs restants et traitez la seed d'origine comme définitivement brûlée. La révocation des approbations aide lorsque l'attaquant ne détient que des permissions de contrat ; si votre seed est partie, le portefeuille entier doit être abandonné.
Chainalysis a documenté environ 158 000 compromissions de portefeuilles personnels affectant au moins 80 000 personnes en 2025, même si la valeur totale volée est tombée à environ 713 millions de dollars.
Les pertes de portefeuilles personnels en tant que part du vol total de crypto sont passées d'environ 10 % en 2022 à près de 25 % en 2025, selon les données de Chainalysis.Les attaquants touchent plus de portefeuilles pour des montants plus petits, le schéma identifié par ZachXBT. L'implication pratique : organiser les portefeuilles pour limiter le rayon d'impact compte autant que d'éviter l'Hameçonnage.
Un seul portefeuille compromis ne devrait pas signifier une perte totale du portefeuille.
Construire une défense en profondeur
Les fournisseurs de portefeuilles ont livré des fonctionnalités qui auraient contenu cette attaque si elles avaient été adoptées.
MetaMask encourage désormais à définir des plafonds de dépenses sur les approbations de tokens plutôt que d'accepter les permissions « illimitées » par défaut. Revoke.cash et le tableau de bord Shield de De.Fi préconisent de traiter les examens d'approbations comme une hygiène de routine parallèlement à l'utilisation de portefeuilles matériels pour les avoirs à long terme.
MetaMask active par défaut les alertes de sécurité des transactions de Blockaid, signalant les contrats suspects avant l'exécution des signatures.
L'incident de l'extension Trust Wallet renforce le besoin de défense en profondeur. Cette exploitation a contourné les décisions des utilisateurs, et le code malveillant dans une liste Chrome officielle a automatiquement collecté les clés.
Les utilisateurs qui ont séparé leurs avoirs entre portefeuilles matériels (stockage froid), portefeuilles logiciels (transactions tempérées) et portefeuille brûleur (protocoles expérimentaux) ont limité l'exposition.
Ce modèle à trois niveaux crée de la friction, mais la friction est le but. Un e-mail d'hameçonnage qui capture un portefeuille brûleur coûte des centaines ou quelques milliers de dollars. La même attaque contre un seul portefeuille contenant un portefeuille entier coûte de l'argent qui change une vie.
Le draineur ZachXBT a réussi parce qu'il ciblait la couture entre commodité et sécurité. La plupart des utilisateurs gardent tout dans une seule instance MetaMask car gérer plusieurs portefeuilles semble encombrant.
L'attaquant a parié qu'un e-mail d'apparence professionnelle le jour de l'An surprendrait suffisamment de personnes pour générer un volume rentable. Ce pari a payé, avec 107 000 $ et plus.
Les directives officielles de MetaMask identifient trois signaux d'alerte d'hameçonnage : mauvaises adresses d'expéditeur, demandes urgentes de mise à niveau non sollicitées, et demandes de phrases de récupération secrètes ou de mots de passe.Ce qui est en jeu
Cet incident pose une question plus profonde : qui porte la responsabilité de la sécurité des points d'accès dans un monde d'auto-garde ?
Les fournisseurs de portefeuilles construisent des outils anti-hameçonnage, les chercheurs publient des rapports de menaces et les régulateurs avertissent les consommateurs. Pourtant, l'attaquant n'avait besoin que d'un faux e-mail, d'un logo cloné et d'un contrat de drainage pour compromettre des centaines de portefeuilles.
L'infrastructure qui permet l'auto-garde, les transactions sans permission, les adresses pseudonymes et les transferts irréversibles la rend également impitoyable.
L'industrie traite cela comme un problème d'éducation : si les utilisateurs vérifiaient les adresses des expéditeurs, survolaient les liens et révoquaient les anciennes approbations, les attaques échoueraient.
Pourtant, les données de Chainalysis sur 158 000 compromissions suggèrent que l'éducation seule ne suffit pas. Les attaquants s'adaptent plus rapidement que les utilisateurs n'apprennent. L'e-mail d'hameçonnage MetaMask a évolué de modèles bruts « Votre portefeuille est verrouillé ! » à des campagnes saisonnières soignées.
L'exploitation de l'extension Trust Wallet a prouvé que même les utilisateurs prudents peuvent perdre des fonds si les canaux de distribution sont compromis.
Ce qui fonctionne : portefeuilles matériels pour les avoirs significatifs, révocation impitoyable des approbations, ségrégation des portefeuilles par profil de risque et scepticisme envers tout message non sollicité de fournisseurs de portefeuilles.
Ce qui ne fonctionne pas : supposer que les interfaces de portefeuille sont sûres par défaut, traiter les approbations comme des décisions uniques, ou consolider tous les actifs dans un seul Portefeuille chaud pour plus de commodité. Le draineur ZachXBT sera fermé car l'adresse est signalée et les échanges gèleront les dépôts.
Mais un autre draineur sera lancé la semaine prochaine avec un modèle légèrement différent et une nouvelle adresse de contrat
.
Le cycle continue jusqu'à ce que les utilisateurs intériorisent que la commodité de la crypto crée une surface d'attaque qui finit par être exploitée. Le choix n'est pas entre sécurité et utilisabilité, mais plutôt entre friction maintenant et perte plus tard.
Source : https://cryptoslate.com/hundreds-of-evm-wallets-drained-what-to-check-before-you-update/
