Il y a des hacks bruyants, avec un protocole qui s’écroule en direct et des dashboards qui saignent. Et puis il y a ceux-là. Plus sournois. Presque polis. Une série de ponctions modestes, répétées, coordonnées, qui donnent l’impression d’une fuite d’huile… jusqu’au moment où l’on regarde le total. Depuis ce début janvier 2026, des enquêteurs on-chain signalent une attaque de type wallet draining qui touche plusieurs chaînes compatibles EVM. Le point commun est limpide : beaucoup de victimes, des pertes souvent limitées par personne, et une cause qui reste introuvable pour l’instant.
Un drain discret, mais parfaitement orchestré
Le dernier jour de l’année 2025, le marché crypto a souvent des airs de réveillon : la liquidité se fait plus fine, les positions se calibrent, et certains prix s’envolent presque par automatisme. Pourtant, pendant que les graphiques font leur spectacle, un autre mouvement circule en coulisses, bien moins visible. Le scénario est simple à décrire, moins à stopper. Des centaines de portefeuilles voient leurs fonds sortir sans qu’un schéma unique ne saute aux yeux. Pas de phishing massif clairement identifié. Aucune dApp piégée ne fait consensus pour expliquer l’exploit. Pas de faille de smart contract déjà cataloguée. La plupart des victimes perdent moins de 2 000 dollars. Et c’est précisément ce qui rend l’attaque toxique : elle ne déclenche pas toujours l’alarme émotionnelle.
Le cumul, lui, commence déjà à peser. Les estimations publiques tournent autour de 107 000 dollars et montent au fil des découvertes. Comme souvent dans ces affaires, le chiffre “actuel” est une photo prise en pleine course. L’inventaire réel arrive avec retard, parce que les victimes ne se manifestent pas toutes en temps réel.
Autre élément troublant : la dispersion. Les fonds volés ont été repérés sur plusieurs réseaux, notamment Ethereum et BNB Chain, mais aussi d’autres chaînes EVM. Cela ressemble à un opérateur qui sait fractionner, déplacer, brouiller. Ce n’est pas forcément ultra sophistiqué. Mais c’est méthodique. Et c’est suffisant pour faire perdre du temps aux enquêteurs, donc pour gagner du temps au voleur.
L’ombre de Trust Wallet et la piste extension
À ce stade, l’écosystème se pose la question qui fâche. Si ce n’est pas un smart contract, si ce n’est pas une campagne de phishing évidente, alors quoi ? L’hypothèse “côté wallet” revient vite sur la table, surtout avec le précédent récent de Trust Wallet, qui a dû ouvrir un portail officiel de réclamations après une mise à jour compromise de son extension Chrome, afin de centraliser les demandes d’indemnisation et éviter la surcouche d’arnaques “post-hack”.
Fin décembre, Trust Wallet a confirmé un incident de sécurité sur son extension Chrome, associé à des pertes estimées à plusieurs millions de dollars. La mécanique rapportée évoque un code malveillant injecté via la chaîne de distribution de l’extension, puis corrigé via mise à jour. C’est le genre d’histoire qui fait grincer des dents, parce qu’elle déplace le danger. On ne parle plus seulement de ne pas cliquer, mais de ne pas faire confiance aveuglément à l’outil qui protège.
Ce détail compte, parce qu’il change la philosophie de risque. On parle souvent de self custody comme d’un château fort. Mais si le pont levis, l’extension, est compromis, la forteresse devient une façade. Dans ce dossier, la communication officielle a insisté sur le retrait de l’extension et sur des démarches destinées aux victimes pour vérifier la propriété du wallet et réclamer un remboursement.
Évidemment, possible lien ne veut pas dire preuve. Pour l’attaque EVM en cours, la cause n’est pas confirmée. Mais le contexte rend tout le monde plus nerveux. Une faille dans la distribution d’un wallet populaire peut produire des dégâts en série. Et les attaques “à petits tickets” ressemblent souvent à ça : une moisson large, des pertes unitaires modestes, et une addition finale salée.
Décembre a donné le ton : hacks, pièges et fatigue cognitive
Le plus inquiétant, c’est que cette alerte ne tombe pas dans le vide. Décembre a déjà été décrit comme un mois chargé en incidents, avec une vingtaine d’exploits majeurs et des dizaines de millions de dollars de pertes estimées sur la période.
Et le diable est dans les détails. L’un des gros angles morts récents, c’est l’address poisoning. Des adresses quasi identiques. Des transferts envoyés au mauvais endroit. Et au final un trou béant. Là encore, ce n’est pas une vulnérabilité technique pure. C’est une attaque contre l’attention humaine. Et en fin d’année, l’attention est une ressource rare : fatigue, déplacements, fêtes, réflexes en pilotage automatique.
À l’échelle annuelle, les montants rappellent une vérité simple : la Crypto reste un terrain de chasse. Une part importante des pertes est attribuée à des groupes structurés, parfois liés à des États, avec la Corée du Nord régulièrement citée parmi les acteurs les plus actifs. Ce n’est pas un détail géopolitique pour faire sérieux. C’est un indice sur le niveau d’organisation et de persistance en face.
Pour réduire le risque, il faut redevenir ennuyeux, au bon sens du terme. Si vous utilisez un wallet via navigateur, évitez de laisser les mises à jour d’extensions se faire sans surveillance et vérifiez la version installée. Réduisez l’exposition en séparant un wallet “de dépenses” pour interagir avec les dApps d’un wallet “coffre” qui signe rarement. Activez les protections disponibles quand elles existent, et prenez l’habitude de vérifier systématiquement les premiers et derniers caractères avant d’envoyer. Si un drain survient, documentez immédiatement les transactions, puis signalez vite, car dans ces dossiers, la vitesse est un avantage rare.
