Des opérateurs gèrent des milliers de wallets pour farmer des airdrops crypto à la place de particuliers français. Selon les données de CoinLaw compilées sur 2025, les attaques Sybil ont capturé près de 48 % des tokens dans certains grands airdrops. Ce chiffre illustre une réalité industrielle : derrière chaque distribution de tokens se livrent des opérations organisées, automatisées, parfois sous-traitées. Des forums, des groupes Telegram et des prestataires anglophones proposent ouvertement des services clé en main, ciblant aussi une clientèle francophone prête à payer pour « être présente » sur les bons protocoles sans y mettre les mains. Cette enquête documente le fonctionnement de cette industrie, ses cas avérés et la riposte des protocoles.

Au programme

  • Sybil farming : définition et logique économique d’une pratique qui a capté 48 % des tokens dans certains airdrops (CoinLaw, 2025)
  • Comment les fermes à wallets opèrent et se sous-traitent à l’échelle industrielle
  • Cas documentés : LayerZero (803 000 adresses filtrées), Apriori, MYX, zkSync
  • La riposte des protocoles : détection IA, bounty hunters, auto-déclaration
  • Risques concrets pour les particuliers qui externalisent leur farming

Qu’est-ce que le Sybil farming et pourquoi est-il aussi lucratif ?

Le Sybil farming est une pratique où une poignée d’entités, appelées « farmers » ou « hunters », créent de nombreux faux comptes pour contourner les règles d’un airdrop et augmenter massivement leur allocation de tokens. La mécanique repose sur une faille structurelle : beaucoup de programmes d’airdrop utilisent des systèmes de récompenses par paliers, où un seul wallet avec 100 transactions peut recevoir moins de tokens que 10 wallets avec 10 transactions chacun. Ces airdrops par paliers visent à distribuer les récompenses plus équitablement, mais cette structure incite des opportunistes à créer de multiples adresses pour recevoir davantage.

2024 a été la plus grande année d’airdrop de l’histoire de la crypto. CryptoRank documente plus de 6,6 milliards de dollars distribués sur l’année, avec Starknet (1,3 Md$), zkSync (2 Md$ au pic), LayerZero (700 M$+) et Hyperliquid (7 Md$+ au pic) représentant les parts les plus élevées. Ces montants ont transformé le farming en activité professionnelle. En 2023, un hunter a réussi à collecter 933 365 tokens Arbitrum pour une valeur totale de plus d’un million de dollars. Pas un accident. Une opération planifiée, reproduite à l’échelle.

Airdrops 2024 : montants distribués (pic de valorisation) Comparaison des 4 plus grands airdrops de 2024 par montant distribué au pic, illustrant l'échelle des distributions ciblées par les Sybil farmers. Grands airdrops 2024 : montant distribué (pic) Hyperliquid 7 Md$+ zkSync 2 Md$ Starknet 1,3 Md$ LayerZero 700 M$ Source : CryptoRank, 2024. Valeurs au pic de valorisation post-TGE.

Comment fonctionnent les fermes à wallets en pratique ?

L’infrastructure d’une ferme Sybil professionnelle se compose de plusieurs couches. Les opérateurs masquent leur activité via des adresses IP usurpées, des empreintes numériques de terminaux émulées, et des scripts de réclamation à haute fréquence. Chaque wallet reçoit un « persona » distinct : navigateur antidetect, proxy mobile avec une IP résidentielle réelle, historique de transactions réparties sur plusieurs mois pour imiter un utilisateur organique.

Sur zkSync en 2023, un opérateur a financé 21 877 wallets avec de petites quantités d’ether, puis déployé un token maison non open-source, se dotant de son propre DEX privé pour permettre des transferts indirects entre adresses. Chaque wallet a ensuite échangé les tokens récupérés contre 0,6 à 0,7 ether de profit. L’ensemble des transactions était automatisé, exécuté par un bot conçu par l’opérateur.

La dimension de sous-traitance est la moins documentée mais la plus préoccupante. Des offres circulent sur Telegram et des forums spécialisés : moyennant un abonnement mensuel ou un partage de gains, un opérateur gère des slots de wallets pour le compte de tiers. Le client fournit des fonds de départ, l’opérateur fournit l’infrastructure. Le marché noir des comptes KYC alimente souvent ces opérations, en permettant d’associer une identité vérifiée à des adresses farmées.

Quels cas documentés illustrent l’ampleur du phénomène ?

LayerZero Labs a conduit en juin 2024 la plus grande opération de filtrage Sybil de l’histoire des airdrops : 803 093 adresses filtrées sur environ 2,08 millions au total, avec 1,28 million de wallets qualifiés recevant une distribution valorisée à plus de 700 M$. Le chiffre est brutal : près de 4 adresses sur 10 étaient suspectes.

En octobre 2025, l’airdrop d’Apriori sur BNB Chain a perdu 80 % de ses tokens au profit d’un groupe Sybil contrôlant 5 800 wallets interconnectés, financés depuis seulement 13 adresses sources. L’attaque a exploité une fenêtre antérieure à l’annonce publique, et le token APR a chuté de plus de 60 % dans la foulée.

Dans le cas de l’airdrop MYX Finance, une entité unique a créé de multiples portefeuilles frauduleux. Une centaine de wallets fraîchement créés ont réclamé 9,8 millions de tokens MYX, soit environ 170 millions de dollars. Ces cas ne sont pas des accidents isolés. Optimism a découvert en 2022 que des milliers de wallets avaient coordonné leur activité pour farmer son airdrop. L’équipe a filtré de nombreuses adresses mais a reconnu que des Sybils avaient tout de même réussi à réclamer des tokens.

Lecture CryptoActu Ces 3 cas partagent un même point aveugle : la détection intervient après la distribution, pas avant. Apriori a perdu 80 % de ses tokens avant même d’avoir réagi. La course entre fermes et protocoles ressemble moins à un pare-feu qu’à une vérification a posteriori sur des dégâts déjà consommés.

Comment les protocoles ripostent-ils face aux Sybils ?

LayerZero a mené une des campagnes anti-Sybil les plus agressives de l’histoire crypto, combinant détection automatisée et bounty hunting communautaire qui a identifié des centaines de milliers de clusters. Le modèle : une fenêtre d’auto-déclaration a été ouverte, permettant aux utilisateurs de signaler eux-mêmes leurs adresses Sybil en échange de 15 % de l’allocation prévue. Selon Bryan Pellegrino, PDG de LayerZero Labs, jusqu’à 100 000 wallets se sont auto-déclarés. Ce jeu de données servira à entraîner des modèles de détection pour identifier d’autres opérations utilisant les mêmes logiciels ou méthodologies.

Les protocoles déploient désormais des systèmes de détection Sybil propulsés par l’IA et récompensent les utilisateurs authentiques dotés de « wallet narratives » solides, plutôt que les manipulateurs de volume. Les smart contracts eux-mêmes intègrent parfois des vérifications on-chain en temps réel, croisant données de transaction et signaux comportementaux hors chaîne. Des chercheurs de l’Université Technologique Militaire de Varsovie ont publié en 2026 un cadre de détection multicouches qui attribue un score à chaque adresse selon sa proximité avec la classe Sybil, s’appuyant sur un réseau d’isomorphisme de graphes pour classifier les topologies et un algorithme DBSCAN pour le clustering d’adresses.

De plus en plus de projets lient désormais les airdrops directement à des métriques comme le volume de trading ou les dépôts, pour éloigner les Sybil attackers. Le système favorise les utilisateurs qui paient réellement des frais au protocole, plutôt que ceux qui simulent une activité. Voir aussi nos analyses sur les stratégies d’airdrop actuelles pour comprendre comment les utilisateurs légitimes s’adaptent.

Quels risques concrets pour un Français qui externalise son farming ?

Confier ses clés privées ou ses fonds à un opérateur tiers expose à plusieurs risques imbriqués. Le premier est le vol direct : un opérateur malveillant dispose d’un accès complet aux wallets et peut vider les fonds à tout moment, sans recours possible. Le second est la perte sèche : si les wallets sont détectés comme Sybil, l’allocation est nulle et les frais de gas engagés (parfois plusieurs centaines d’euros sur des dizaines de wallets) sont perdus.

Le troisième risque est fiscal et réglementaire. Les tokens reçus en airdrop sont imposables en France comme revenus au taux du PFU de 30 % (12,8 % d’impôt sur le revenu et 17,2 % de prélèvements sociaux), dès le premier euro au-delà de l’abattement de 305 €. Un farming sous-traité n’efface pas cette obligation déclarative. Pire, si les fonds transitent par un tiers non identifié, Tracfin peut qualifier l’opération de flux suspects. Nos enquêtes sur le blanchiment via mixeurs et bridges montrent que les autorités françaises surveillent précisément ces schémas de circulation de fonds.

Enfin, le wallet crypto utilisé dans une opération Sybil peut se retrouver sur une liste noire partagée entre protocoles. La majorité des airdrops significatifs en 2025 et 2026 ont mis en place un filtrage Sybil. Les projets qui ne filtrent pas sont devenus rares, et ceux qui l’omettent tendent à être de moindre valeur. Un wallet compromis perd toute crédibilité pour les distributions futures. Pour approfondir les mécaniques on-chain, l’outil Chainalysis est régulièrement cité dans ces enquêtes de traçage.

Questions fréquentes

Le Sybil farming est-il illégal en France ?

Aucune loi française ne criminalise explicitement la création de multiples wallets. Mais externaliser ses activités à un tiers peut exposer à des qualifications de blanchiment si les flux sont jugés suspects par Tracfin. Les tokens reçus restent imposables au PFU de 30 % quel que soit leur mode d’obtention, et l’absence de déclaration constitue une fraude fiscale. Pour connaître les plateformes conformes, consultez notre guide sur les plateformes enregistrées AMF.

Comment un protocole détecte-t-il un cluster Sybil ?

Les systèmes de détection croisent les patterns comportementaux on-chain (wallets financés depuis la même adresse source, transactions en séquences identiques) et la corrélation temporelle (tous les wallets actifs au même moment, dans le même ordre). S’y ajoutent les empreintes de navigateurs, les données d’IP et, depuis 2025, des modèles d’apprentissage automatique entraînés sur des jeux de données de clusters déclarés. Voir aussi notre page sur les smart contracts pour comprendre où s’exécutent ces filtres.

Peut-on récupérer des tokens si ses wallets sont flaggés à tort ?

Certains protocoles ouvrent une procédure d’appel. LayerZero avait reçu plus de 30 000 recours de détenteurs de comptes lors de son opération de 2024. Le taux de succès reste faible : la charge de la preuve repose sur le demandeur, qui doit démontrer une activité organique. Des outils comme Chainalysis peuvent produire des rapports de traçabilité, mais leur coût dépasse souvent la valeur des tokens en jeu.

Qu’est-ce qu’une « wallet narrative » et pourquoi est-elle décisive ?

Une « wallet narrative » désigne l’historique cohérent et diversifié d’une adresse : ancienneté, variété des protocoles utilisés, montants engagés, interactions avec des applications réelles sur Solana, Ethereum ou d’autres chaînes. Les protocoles récompensent désormais les utilisateurs authentiques dotés de narratives solides, plutôt que les opérateurs de volume. Une ferme à wallets ne peut pas fabriquer rétrospectivement 2 ans d’usage réel.

Retrouvez toutes nos investigations sur notre page enquêtes.

Sources

Nous ajouter à vos sources préférées sur Google