Le rapport de sécurité de janvier 2026 de la société de cybersécurité Scam Sniffer met en lumière une tendance préoccupante dans l’univers des cryptomonnaies : les attaques de phishing deviennent de plus en plus ciblées et dévastatrices. Selon les données recueillies, le phishing par signature à lui seul a entraîné des pertes d’environ 6,27 millions de dollars en janvier, touchant 4 741 victimes.
Intensification des attaques
Le début de l’année 2026 a marqué un net recul en matière de sécurité dans le secteur crypto. Contrairement aux tactiques généralisées précédemment observées, les cybercriminels concentrent désormais leurs efforts sur la « chasse aux baleines ». Le rapport de Scam Sniffer révèle que seulement deux individus fortunés ont représenté près de 65 % de l’ensemble des pertes liées au phishing par signature en janvier.
La plus grande perte individuelle s’est élevée à 3,02 millions de dollars, suite à la signature par un utilisateur d’une fonction malveillante « permit » ou « increaseAllowance ». Une fois cette autorisation accordée, les attaquants peuvent transférer un nombre illimité de tokens depuis le portefeuille de la victime, sans nécessiter d’approbation pour chaque transaction.
Double menace
Actuellement, les portefeuilles crypto sont confrontés à deux menaces très spécialisées : le phishing par signature et l’empoisonnement d’adresse. Le phishing par signature incite les utilisateurs à autoriser des permissions malveillantes sur des smart contracts. L’empoisonnement d’adresse, quant à lui, est plus insidieux et exploite les habitudes transactionnelles des utilisateurs pour mener des attaques ciblées.
Les attaquants génèrent des adresses « vanity » ou ressemblantes, quasi identiques à l’adresse réelle de l’utilisateur, avec les mêmes caractères de début et de fin. Ils envoient ensuite des transactions de faible valeur, voire nulles, à la victime, faisant ainsi apparaître ces adresses malveillantes dans l’historique des transactions. Lorsqu’un utilisateur souhaite effectuer un transfert et copie machinalement une adresse depuis son historique, il peut sélectionner par inadvertance l’adresse empoisonnée, envoyant ainsi ses fonds directement à l’attaquant.
Un coût bien réel
Les incidents de sécurité survenus en janvier illustrent la dure réalité de ces méthodes d’attaque. Dans le cas du phishing par signature, certains incidents isolés ont entraîné des pertes supérieures à 3 millions de dollars. L’empoisonnement d’adresse a causé des pertes encore plus spectaculaires, un investisseur ayant perdu 12,25 millions de dollars en une seule transaction après avoir copié la mauvaise adresse depuis son historique.
Ce cas n’est pas isolé. En décembre 2025, une autre victime a perdu 50 millions de dollars selon le même procédé. Après avoir testé un transfert de 50 USDT, l’attaquant a rapidement créé une adresse empoisonnée reprenant les quatre premiers et derniers caractères de l’adresse d’origine. Lorsque la victime a ensuite réalisé un transfert important, elle a copié la mauvaise adresse depuis son historique, entraînant une perte catastrophique.
Conseils de défense
À mesure que les techniques d’attaque gagnent en sophistication, il est essentiel que les utilisateurs mettent en place une défense en profondeur, en améliorant à la fois leurs habitudes et leurs outils techniques.
Premièrement, il ne faut jamais copier d’adresse depuis l’historique des transactions. L’empoisonnement d’adresse exploite précisément cette habitude. Saisir manuellement les adresses ou utiliser un carnet d’adresses s’avère bien plus sûr.
Deuxièmement, il convient de vérifier l’intégralité de la chaîne alphanumérique de l’adresse du destinataire avant tout transfert — il ne suffit pas de contrôler les premiers ou derniers caractères. Pour les transactions importantes, effectuez toujours un transfert test de faible montant. Une fois l’adresse validée, procédez au transfert principal.
En outre, chaque demande de signature doit être traitée avec la plus grande prudence. Avant d’autoriser un smart contract, examinez attentivement l’étendue des permissions sollicitées. Évitez d’accorder un accès illimité ou trop large à vos fonds.
Protection intelligente
La technologie constitue un pilier fondamental de toute stratégie de défense. Conserver d’importants actifs sur un portefeuille matériel est considéré comme une pratique de référence dans le secteur, car cela maintient les clés privées hors ligne.
L’activation de l’authentification à plusieurs facteurs est également indispensable, en privilégiant les applications d’authentification aux méthodes par SMS, jugées moins sécurisées. Pour les adresses utilisées fréquemment, il est recommandé de les enregistrer dans le carnet d’adresses ou sur liste blanche de votre portefeuille afin de limiter les risques d’erreur lors de la saisie ou du copier-coller.
Enfin, veillez à maintenir à jour votre logiciel de portefeuille et vos outils de sécurité. Les développeurs publient régulièrement des mises à jour pour corriger des vulnérabilités connues, rendant ces mises à jour fondamentales pour garantir la sécurité.
Même l’or numérique nécessite un coffre-fort physique. Alors que les incidents de sécurité se multiplient, le marché des cryptomonnaies demeure très volatil. Selon les données du marché Gate au 9 février, le cours du Bitcoin s’établit à 70 638,20 $, avec une capitalisation de 1 410 milliards de dollars et un volume d’échange sur 24 heures de 801,57 millions de dollars. L’Ethereum s’échange à 2 084,02 $ et le Solana se maintient à 87,22 $. Le Bitcoin domine le marché avec une part de 56,14 %. Safe Labs a identifié environ 5 000 adresses malveillantes agissant de concert, et l’équipe Shiba Inu a relayé cet avertissement de sécurité auprès de la communauté.
