Un trader crypto a perdu près de 1 million de dollars en USDT après avoir signé une autorisation piégée sur Ethereum. L’affaire, signalée par Scam Sniffer, ne relève pas d’un piratage classique. La victime n’a pas forcément perdu sa clé privée. Elle a surtout donné, sans le vouloir, à un contrat malveillant le droit de vider son portefeuille.
Crypto : une autorisation qui ouvre la porte au vol
Cette affaire s’inscrit dans une série plus large de fraude crypto où l’erreur humaine devient le vrai point d’entrée. Le trader a perdu exactement 999 999 USDT après avoir signé une approbation de token frauduleuse. Selon les informations relayées par Cointelegraph, les escrocs ont d’abord tenté de retirer 1 million de dollars via plusieurs appels groupés. L’opération a échoué, car le portefeuille ne contenait pas assez de fonds pour ce montant précis.
Quelques secondes plus tard, le script a recalculé le solde réel. Il a ensuite retiré le montant exact disponible. C’est cette seconde tentative qui a permis aux attaquants de drainer presque tout le portefeuille. L’écart paraît minime. Il montre pourtant une mécanique très automatisée.
Ce type d’attaque frappe parce qu’il ressemble à une opération normale. L’utilisateur pense valider une interaction avec une application décentralisée. En réalité, il autorise une adresse frauduleuse à déplacer ses tokens. Dans la crypto, une signature peut parfois coûter plus cher qu’un mauvais trade.
Les approvals restent l’un des angles morts de la DeFi
Sur Ethereum et dans la DeFi, les approvals sont courants. Ils permettent à un protocole ou à un contrat de dépenser certains tokens au nom de l’utilisateur. OpenZeppelin rappelle que l’événement Approval fixe l’allocation accordée à un “spender”, c’est-à-dire l’adresse autorisée à utiliser une partie des fonds.
Le principe est utile. Sans ces autorisations, les échanges décentralisés, les prêts, le staking ou certaines applications crypto seraient beaucoup plus lourds à utiliser. Le problème commence lorsque l’utilisateur ne comprend pas exactement ce qu’il signe.
Un faux site peut imiter une interface connue. Une fenêtre de signature peut paraître anodine. Un contrat peut demander une autorisation beaucoup plus large que nécessaire. Si l’utilisateur valide trop vite, le voleur n’a plus besoin de forcer l’entrée. La porte a déjà été ouverte.
Uniswap a aussi développé Permit2, un système destiné à simplifier les autorisations et les transferts par signature. L’outil peut améliorer l’expérience utilisateur, mais il rappelle aussi une réalité : plus les signatures deviennent fluides, plus les utilisateurs doivent apprendre à les lire avant de les approuver.
La fraude crypto devient plus industrielle
Ce vol d’un million de dollars ne tombe pas dans le vide. Chainalysis estime que les arnaques crypto ont reçu au moins 14 milliards de dollars on-chain en 2025. Le chiffre dépasse largement les 9,9 milliards de dollars initialement recensés pour 2024, avant révision.
Le phishing reste l’un des outils préférés des fraudeurs. Il ne demande pas toujours de casser un protocole. Il suffit souvent de tromper l’utilisateur, de copier une interface, de créer l’urgence et d’obtenir une signature. Cette simplicité apparente rend l’attaque dangereuse.
Les pertes ne touchent pas seulement les débutants. Les traders expérimentés peuvent aussi se faire piéger, surtout lorsqu’ils utilisent plusieurs portefeuilles, testent des dApps, participent à des airdrops ou se connectent à des plateformes peu vérifiées. Dans la crypto, l’habitude peut devenir un piège. On clique vite. On signe vite. Puis le portefeuille se vide.
La sécurité crypto commence avant la signature
Cette affaire rappelle une règle simple : une transaction refusée vaut parfois mieux qu’une signature mal comprise. Les utilisateurs doivent vérifier le site, l’adresse du contrat, le montant autorisé et la nature exacte de la permission demandée. Une signature qui semble “gratuite” peut donner un droit de dépense très réel.
La séparation des portefeuilles devient aussi essentielle. Un wallet principal ne devrait pas servir à tester des sites inconnus. Un portefeuille secondaire, avec peu de fonds, limite les dégâts en cas d’erreur. Cette discipline paraît ennuyeuse. Elle devient pourtant vitale dès que les montants montent.
Les outils de révocation d’autorisations peuvent également aider à réduire l’exposition. Ils permettent de retirer des permissions anciennes ou inutiles. Mais ils ne remplacent pas la vigilance au moment de signer. Une approbation piégée peut être exploitée très vite, parfois en quelques secondes.
La crypto donne aux utilisateurs un contrôle direct sur leurs actifs. C’est sa force. C’est aussi sa partie la plus rude. Aucun service client ne peut annuler une signature valide après coup. Dans cet univers, la sécurité ne commence pas après le vol. Elle commence au moment où la fenêtre de signature apparaît.
En bref
- Un trader crypto a perdu 999 999 USDT après une autorisation piégée.
- L’attaque n’a pas exigé de voler sa clé privée.
- Les approvals restent l’un des risques les plus sous-estimés de la DeFi.
