On pourrait croire à une accalmie. Presque à une victoire. En 2025, les attaques de phishing crypto liées aux “wallet drainers” ont pourtant perdu beaucoup de leur mordant sur le papier : 83,85 millions de dollars siphonnés, contre près de 494 millions en 2024. Oui, la chute est brutale. Mais non, ce n’est pas la fin de l’histoire. Parce que l’arnaque n’a pas disparu. Elle a changé de rythme, de taille, de stratégie. Et surtout, elle a gardé un talent intact : se remettre à courir dès que le marché recommence à danser.
Une baisse spectaculaire crypto, mais un thermomètre de marché
Le premier signal est net : moins de victimes, moins de casse. Scam Sniffer parle d’environ 106 000 personnes piégées en 2025, soit -68% sur un an. C’est énorme. Et ça suggère une meilleure hygiène, de meilleurs warnings, et peut-être une fatigue collective face aux liens douteux.
Mais la courbe n’est pas une ligne descendante. Elle respire avec le marché. Quand l’activité onchain grimpe, la probabilité d’erreur grimpe aussi. Pas besoin de complot : plus de transactions, plus de signatures, plus d’occasions de cliquer trop vite. Le phishing se comporte comme une statistique vivante.
Le troisième trimestre 2025 le montre parfaitement. Avec le rallye le plus fort d’Ethereum sur l’année, les pertes explosent à 31 millions de dollars sur la période. Et août-septembre, à eux seuls, pèsent près de 29% des pertes annuelles. En clair : quand ça chauffe, les drainers se frottent les mains. Et en ce 3 janvier 2026, le message est limpide : même si, selon Ben Cowen, Ethereum ne devrait pas inscrire de nouvel ATH cette année, les drainers n’ont pas besoin d’un record. Ils ont juste besoin d’un marché qui s’agite, d’une euphorie qui revient par vagues… et d’utilisateurs qui signent trop vite.
Permits, fausses signatures et efficacité froide
Le plus gros vol unique de l’année ? 6,5 millions de dollars en septembre, via une signature “Permit” malveillante. C’est un détail technique qui fait mal, parce qu’il rappelle une vérité gênante : l’attaquant n’a pas besoin de casser un protocole. Il lui suffit d’obtenir votre autorisation.
Les approbations Permit et Permit2 restent une arme premium. Dans les incidents au-dessus d’un million de dollars, les attaques basées sur Permit représenteraient 38% des pertes. Autrement dit, quand le butin est gros, l’approche “signature piégée” demeure un classique redoutable.
Et le pire, c’est la simplicité de l’illusion. Une interface propre. Une demande qui ressemble à une autre. Un “Sign” machinal. Les drainers prospèrent moins sur la complexité que sur la routine. La routine, c’est l’ennemi.
Nouveau terrain de jeu : EIP-7702 et l’adaptation express
2025, c’est aussi l’apparition d’un nouveau vecteur : des signatures malicieuses basées sur EIP-7702, observées peu après la mise à jour Pectra d’Ethereum. Le principe inquiète : en profitant de logiques proches de l’account abstraction, l’attaquant peut empaqueter plusieurs actions nocives dans une seule signature utilisateur. Une seule validation, plusieurs coups.
Deux cas majeurs en août auraient déjà coûté 2,54 millions de dollars. Ce chiffre n’a rien d’astronomique à l’échelle globale, mais il raconte quelque chose de plus important : la vitesse d’adaptation. À peine une nouveauté déployée, elle est testée comme surface d’attaque.
En parallèle, les “gros braquages” reculent. Seulement 11 incidents au-dessus d’un million en 2025, contre 30 en 2024. Sauf que ce n’est pas forcément une bonne nouvelle. Les attaquants semblent préférer le volume : des prélèvements plus petits, plus fréquents, plus difficiles à repérer. La perte moyenne par victime tombe à 790 dollars. Moins spectaculaire. Plus industriel.
Et pendant que le phishing se retaille, l’écosystème du hack respire aussi. En décembre, les pertes crypto liées aux hacks et exploits seraient tombées autour de 76 millions de dollars, en baisse d’environ 60% par rapport à novembre (194,2 millions). Là encore, ce n’est pas zéro. Alerte sécurité, sur EVM, les wallets ne se vident pas seulement via des hacks spectaculaires, mais aussi par des mécaniques de tromperie et de compromission très proches du phishing, comme l’address poisoning à 50 millions ou la fuite de clé privée à 27,3 millions liée à un wallet multi-signature.
