Le 30 avril 2026, 326 ETH ont été siphonnés depuis plus de 570 adresses Ethereum abandonnées depuis des années, selon les données relayées par le chercheur en sécurité WazzCrypto. Toutes les sommes ont transité vers une seule adresse identifiée. L’opération, méthodique et silencieuse, suggère que l’attaquant détenait les clés privées depuis longtemps, sans avoir agi jusqu’ici.

Au programme

  • 326 ETH dérobés sur 570 adresses dormantes en une nuit (Crypto Times, 1er mai 2026)
  • Contrairement aux drainers classiques, aucun contrat ERC-20 piégé : seul de l’ETH natif a été ciblé
  • La source de compromission pourrait remonter à une fuite de clés privées ancienne, non encore identifiée
Drain ETH wallets dormants (30 avril 2026) Les fonds de plus de 570 wallets Ethereum dormants ont été vidés en ETH natif vers une unique adresse contrôlée par l'attaquant, sans recours à des contrats ERC-20. Drain wallets dormants : 30 avril 2026 570+ wallets Dormants (ETH natif) 326 ETH Clés privées Fuite ancienne ? Centralisé Wallet attaquant Adresse taggée Source : Crypto Times, CryptoSlate, 30 avr. 2026

Que s’est-il passé le 30 avril ?

Le chercheur WazzCrypto a été le premier à signaler l’incident sur le réseau principal Ethereum. En quelques heures, plus de 570 adresses ont été vidées de leur solde, l’intégralité des fonds convergeant vers une seule et même adresse identifiée on-chain.

Ce qui distingue cette opération des arnaques habituelles : aucun contrat ERC-20 piégé, aucune approbation frauduleuse. Seul de l’ETH natif a été transféré, ce qui implique que l’attaquant possédait directement les clés privées de chaque portefeuille ciblé. La précision de l’opération écarte l’hypothèse d’un simple hameçonnage opportuniste.

Pourquoi des wallets dormants depuis des années ?

Les adresses touchées n’avaient pas bougé depuis plusieurs années. Cette inactivité prolongée est précisément ce qui les rendait vulnérables : leurs propriétaires ne surveillaient plus les mouvements, et aucune alerte n’a pu être déclenchée à temps.

Selon Crypto Times, la cause profonde pourrait remonter à une fuite de clés privées ancienne, dont l’exploitant aurait patienté avant d’agir. Ce scénario n’est pas inédit : la vulnérabilité Profanity détectée sur les adresses vanity Ethereum en 2022 avait déjà montré qu’une fuite peut être exploitée des mois ou des années après sa découverte initiale.

“Unlike typical drainer-as-a-service scams that rely on tricked approvals for ERC-20 tokens, this operation pulled almost exclusively native ETH.” - Crypto Times, 1er mai 2026

Comment une clé privée peut-elle fuiter sans que son propriétaire le sache ?

Plusieurs vecteurs sont documentés : générateurs de wallets défaillants (comme la faille Profanity en 2022), stockage en clair sur des services cloud piratés, ou encore compromission d’extensions de navigateur utilisées à l’époque de création du wallet. Dans tous ces cas, la clé peut circuler pendant des années dans des bases de données souterraines avant d’être exploitée.

Le fait que 570 adresses partagent le même destin suggère une source commune : probablement un outil ou un service qui a généré ou stocké ces clés à un moment donné. Des travaux similaires avaient été mis en lumière lors du scandale Chainalysis sur la collecte d’adresses IP, illustrant que les métadonnées et les clés peuvent circuler dans des canaux inattendus.

Lecture CryptoActu Cette attaque rappelle une réalité souvent sous-estimée : la sécurité d’un wallet ne se mesure pas à son solde du moment, mais à la solidité de sa clé privée au fil du temps. Trois des plus grands drains de wallets individuels de ces 3 dernières années partagent ce même vecteur : une clé compromise des mois ou des années avant l’attaque effective.

Questions fréquentes

Qu’est-ce qu’un wallet Ethereum dormant ?

Un wallet dormant est une adresse qui n’a effectué aucune transaction depuis une longue période, souvent plusieurs années. Le solde y reste intact, mais le propriétaire n’est plus actif. Ces adresses représentent une cible de choix si leur clé privée a été compromise.

Comment savoir si mon wallet Ethereum est compromis ?

Surveiller régulièrement les transactions sortantes via un explorateur comme Etherscan suffit pour détecter un mouvement non autorisé. Si une adresse ancienne contient encore des fonds, il est conseillé de les transférer vers un wallet récent, généré avec un outil audité, et de stocker la clé hors ligne.

Quel montant a été dérobé lors de cette attaque ?

326 ETH ont été volés sur plus de 570 adresses distinctes lors de l’incident du 30 avril 2026. Pour aller plus loin sur la surveillance des adresses on-chain et les risques associés, notre analyse sur l’entité mystérieuse qui collectait des adresses IP Bitcoin détaille des mécaniques de compromission comparables.

À retenir

Une attaque silencieuse, probablement préparée de longue date, a vidé 570 wallets Ethereum dormants pour 326 ETH. La piste d’une fuite de clés ancienne reste la plus probable. À surveiller : l’identification de la source commune ayant exposé ces clés, et les éventuelles victimes supplémentaires qui n’ont pas encore constaté la perte.

Sources

Signal Baissier
Impact Mineur
EN DIRECT