Les données recueillies confirment que les dusting attacks envoient de minuscules fractions de cryptomonnaie vers un grand nombre d’adresses, dans le but d’exploiter la transparence de la blockchain pour tracer et désanonymiser les détenteurs. Sur Bitcoin, le seuil de dust correspond à 546 satoshis pour les transactions classiques et 294 pour le SegWit natif, mais les attaquants utilisent généralement entre 1 000 et 5 000 satoshis pour garantir la propagation de leurs transactions. Selon Chainalysis, les pertes liées aux arnaques et fraudes crypto ont atteint 9,9 milliards de dollars en 2024, et cette trajectoire s’est poursuivie en 2025 avec un total estimé à plus de 17 milliards de dollars.
Vous ouvrez votre wallet crypto un matin et constatez l’arrivée d’une fraction de token que vous n’avez jamais achetée. Quelques centimes au mieux, zéro valeur réelle. Pas un cadeau. Selon les données de Chainalysis, les arnaques et fraudes crypto ont dépassé 17 milliards de dollars en 2025, et les faux airdrops figurent parmi les vecteurs d’attaque en plus forte progression. Ce petit dépôt non sollicité a un nom : une dusting attack. Son but n’est pas de vous voler ces fractions, mais de tracer votre identité pour vous cibler ensuite.
Au programme
- Ce qu’est réellement une dusting attack et comment elle fonctionne techniquement sur Bitcoin, Ethereum et les chaînes EVM
- Qui mène ces campagnes : criminels, sociétés forensic, régulateurs, et pour quels objectifs
- Le danger réel : désanonymisation, phishing ciblé, extorsion et risques physiques pour les gros portefeuilles
- Le cas des faux tokens ERC-20 piégés avec smart contract malveillant : une évolution bien plus agressive
- 5 réflexes concrets pour protéger votre wallet sans sur-réagir
Qu’est-ce qu’une dusting attack, exactement ?
Une dusting attack consiste à envoyer un montant infime de cryptomonnaie : le « dust » — vers des milliers, parfois des centaines de milliers d’adresses à la fois. L’objectif n’est pas financier : c’est l’exploitation de la transparence inhérente à la blockchain pour tracer les mouvements des destinataires et lever le voile sur leur identité réelle.
Sur Bitcoin, le seuil technique de dust correspond à 546 satoshis pour les transactions classiques (non-SegWit) et à 294 satoshis pour les transactions SegWit natives. En dessous, le réseau refuse de relayer la transaction car les frais de traitement dépasseraient la valeur de l’output. En pratique, les attaquants envoient entre 1 000 et 5 000 satoshis pour s’assurer que la transaction passe sans encombre sur le réseau.
Sur les chaînes EVM comme Ethereum, le mécanisme diffère légèrement : les attaquants envoient souvent des tokens ERC-20 sans valeur réelle, ou de minuscules quantités d’ETH. L’adresse de destination est publique, aucune autorisation préalable n’est nécessaire. C’est aussi simple que d’envoyer un courrier sans que le destinataire puisse le refuser.
Comment le dust devient-il un outil de traçage ?
Le mécanisme repose sur une propriété fondamentale des blockchains UTXO (Unspent Transaction Output) comme Bitcoin : quand vous dépensez des fonds, vous regroupez plusieurs inputs dans une seule transaction. Si le dust figure parmi ces inputs, il sert de pont entre vos adresses auparavant isolées.
Les attaquants utilisent des scripts automatisés pour surveiller la blockchain en temps réel. Dès que la victime déplace ces fonds, intentionnellement ou par accident lors d’une consolidation de wallet, le script détecte le regroupement. Il en déduit que toutes les adresses impliquées appartiennent au même portefeuille, ce que l’on appelle le clustering d’adresses. Plusieurs adresses en apparence indépendantes se révèlent d’un seul coup appartenir à la même entité.
Sur Ethereum et les chaînes EVM, la logique est différente mais le résultat identique : chaque adresse est unique, mais les interactions avec des smart contracts, les approbations de tokens ou les transactions vers des exchanges connus créent des motifs exploitables. Les sociétés forensic comme Chainalysis et Elliptic disposent de bases de données massives d’adresses étiquetées, exchanges, services KYC, darknet, qui permettent d’associer un cluster à une identité réelle dès qu’une seule adresse du groupe touche un service connu.
Qui lance ces campagnes et dans quel but ?
Pas un profil unique. Les motivations divergent radicalement selon l’acteur.
Les organisations criminelles visent les portefeuilles à forte valeur pour préparer des attaques ciblées. Une fois l’identité réelle liée à un wallet contenant plusieurs millions d’euros, les options sont larges : phishing sur-mesure, extorsion, voire menaces physiques contre le détenteur ou ses proches. La transparence absolue de la blockchain transforme un rich-lister crypto en cible identifiable.
Les régulateurs et forces de l’ordre utilisent également le dusting de façon légale, pour cartographier des réseaux criminels. Un service comme Tracfin ou Europol peut envoyer du dust sur des adresses suspectes pour vérifier si plusieurs portefeuilles appartiennent au même réseau de blanchiment. Chainalysis, dont les rapports servent de preuve devant les tribunaux de nombreux pays, fournit exactement ce type d’analyse de clustering.
Les sociétés forensic et académiques conduisent des campagnes à grande échelle dans un objectif de recherche, sans intention malveillante. Mais leurs données, une fois produites, sont potentiellement accessibles à des tiers.
La ligne entre surveillance légitime et espionnage illicite est donc mince. Un même envoi de dust peut être commandité par n’importe lequel de ces acteurs. La blockchain ne permet pas de distinguer l’expéditeur par son intention.
Pourquoi les faux tokens ERC-20 sont-ils plus dangereux que le dust classique ?
Le dusting a évolué. Sa version moderne, parfois appelée « Dusting 2.0 », va bien au-delà de la simple désanonymisation. Des attaquants envoient des tokens ERC-20 ou des NFT dont le smart contract sous-jacent contient du code malveillant.
Lorsque la victime tente de « vendre » ou « réclamer » ces tokens sur un DEX ou un site de phishing imitant un projet légitime, elle signe en réalité une transaction approve qui accorde au contrat malveillant un accès illimité à ses fonds réels : USDC, ETH, ou NFT de valeur. Le drain est instantané, irrévocable, et souvent total.
En mars 2026, le FBI a émis une alerte explicite au sujet d’un faux token « FBI Token » sur le réseau Tron, envoyé à des milliers de wallets. Les destinataires qui tentaient de le « réclamer » sur un site frauduleux se faisaient vider leur portefeuille. Ce type d’attaque hybride, dusting + phishing par smart contract, est désormais l’un des vecteurs en croissance la plus rapide selon Chainalysis.
Lecture CryptoActu Le glissement du dusting classique vers le faux-airdrop piégé marque un tournant. Avant, la menace était différée : traçage, puis attaque ciblée semaines plus tard. Aujourd’hui, le token non sollicité peut être lui-même l’arme. La règle d’or reste la même : ne jamais interagir avec un token non réclamé.
Les détenteurs de hardware wallets ne sont pas exemptés. Le device ne peut pas vous protéger si vous approuvez vous-même une transaction malveillante sur un site frauduleux. La sécurité se joue avant la signature, pas après.
Quels sont les risques concrets pour un portefeuille français important ?
La France compte parmi les pays européens où la détention de cryptomonnaies est significative. Un grand portefeuille exposé sur une adresse publique, notamment via une participation documentée à une ICO, un airdrop légitime ou un protocole DeFi majeur, peut attirer l’attention de campagnes de dusting ciblées.
Le risque principal ne vient pas du dust lui-même, mais de ce qu’il révèle. Une fois que plusieurs adresses d’un même portefeuille sont reliées, et que l’une d’elles a touché un exchange soumis au KYC, l’identité civile devient accessible à quiconque dispose d’un accès aux données de cet exchange : légalement via une réquisition, ou illégalement via un data breach. Les données KYC des grandes plateformes ont plusieurs fois fuité ces dernières années, créant des bases de données de correspondances adresse-identité exploitables par des acteurs malveillants.
Pour les détenteurs importants, le risque de désanonymisation est donc réel et documenté. Des groupes criminels ont déjà ciblé des individus identifiés comme riches en crypto pour des extorsions ou des enlèvements, notamment en Europe de l’Est et en Asie du Sud-Est. Garder le silence sur ses avoirs, diversifier ses adresses et ne pas consolider ses UTXOs sans précaution restent les meilleures protections.
La gestion des clés privées via une architecture multi-sig ajoute une couche supplémentaire : même si un attaquant identifie le portefeuille, il lui sera plus difficile d’en prendre le contrôle ou de forcer son propriétaire à signer.
Quels sont les 5 bons réflexes face à un token non sollicité ?
La règle absolue : ne jamais interagir avec un token ou une fraction de crypto que vous n’avez pas explicitement sollicités. Voici les 5 réflexes à appliquer.
- Ne pas déplacer le dust. Si le dust n’est jamais dépensé, l’attaquant ne peut pas créer de lien entre vos adresses. Laissez-le dormir. Le clustering ne fonctionne que si vous le déplacez.
- Utiliser la fonction coin control. De nombreux wallets Bitcoin (Electrum, Sparrow, certains hardware wallets) permettent de sélectionner manuellement les UTXOs à inclure dans une transaction. Excluez explicitement les UTXOs d’origine inconnue.
- Masquer les petits soldes et tokens non listés. MetaMask, Ledger Live et la plupart des wallets modernes permettent de masquer les tokens sans valeur de marché. Cette option est à activer immédiatement. Elle ne supprime pas le dust, mais vous évite de l’interagir par inadvertance.
- Générer une nouvelle adresse pour chaque transaction. Sur Bitcoin notamment, la réutilisation d’adresses est le principal facteur qui rend le clustering efficace. Les wallets HD (Hierarchically Deterministic) génèrent automatiquement de nouvelles adresses : assurez-vous que votre wallet le fait.
- Vérifier chaque token inconnu sur un explorateur. Avant toute interaction, consultez l’adresse du contrat sur Etherscan ou un équivalent. Des outils comme TokenSniffer signalent les contrats malveillants connus. Si le token est signalé ou non listé sur CoinGecko, ignorez-le entièrement.
Pour les seed phrases et clés privées, la vigilance s’applique aussi en amont : ne jamais les saisir sur un site qui vous propose de « réclamer » un airdrop. Aucun protocole légitime ne demande votre phrase de récupération pour distribuer des tokens.
Questions fréquentes
Qu’est-ce qu’une dusting attack en crypto ?
Une dusting attack consiste à envoyer de minuscules fractions de cryptomonnaie (le « dust ») vers des milliers d’adresses. L’objectif n’est pas de voler ces fonds, mais de tracer les mouvements ultérieurs de la victime pour relier plusieurs adresses à une même identité réelle. Sur Bitcoin, les attaquants utilisent généralement entre 1 000 et 5 000 satoshis.
Est-ce dangereux de recevoir des tokens inconnus dans son wallet ?
Recevoir du dust ou un token inconnu n’est pas dangereux en soi : vous n’avez rien signé, personne n’a accès à vos fonds. Le danger survient si vous interagissez avec ce token : le déplacer (dust Bitcoin) peut désanonymiser votre portefeuille, et tenter de vendre un faux token ERC-20 peut déclencher une approbation malveillante qui vide vos vrais fonds. Ne touchez pas aux tokens non sollicités, consultez notre guide sur la sécurité des wallets.
Une dusting attack peut-elle vider mon wallet directement ?
Un dust classique (satoshis ou ETH) ne peut pas vider votre wallet seul. En revanche, les campagnes de faux tokens ERC-20 ou NFT avec smart contract malveillant constituent une menace directe : si vous tentez de les « réclamer » ou de les échanger sur un site frauduleux, vous pouvez signer une transaction approve accordant un accès illimité à vos vrais fonds. Le FBI a publié une alerte explicite à ce sujet en mars 2026.
Comment les plateformes forensic comme Chainalysis utilisent-elles le dusting ?
Des sociétés comme Chainalysis et Elliptic analysent les patterns de transactions on-chain pour relier plusieurs adresses à un même portefeuille, en exploitant notamment les résultats de campagnes de dusting. Leurs rapports servent de preuves devant les tribunaux dans de nombreux pays. Europol et d’autres agences gouvernementales utilisent ces outils pour tracer des réseaux criminels, ce qui signifie que le dusting peut aussi être utilisé légalement dans un contexte d’enquête judiciaire.
Retrouvez toutes nos investigations sur notre page enquêtes.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash