Phishing (hameçonnage)
Tentative d'arnaque qui imite un site, une app ou un email légitime pour voler des credentials ou faire signer une transaction malveillante.
Le phishing est le vecteur d’attaque numéro 1 en crypto. Contrairement aux exploits techniques de smart contracts, il cible directement l’utilisateur par manipulation psychologique. Chainalysis estime à plus de 1 milliard de dollars les fonds volés en 2024 par phishing.
Formes principales : faux sites web (uniswap.com → uniswap-v3.com, MetaMask → metarnask.com), faux support sur Discord/Telegram qui demande la seed phrase pour « aider », fake airdrops avec site de claim malicieux, drainer wallets qui demandent une signature de transaction qui transfère tout le contenu du wallet.
Règles de survie : ne jamais taper ou partager sa seed phrase (ni Ledger, ni MetaMask, ni Binance ne la demande), vérifier l’URL caractère par caractère avant de connecter un wallet, utiliser un bookmark direct plutôt que passer par Google, révoquer les approvals régulièrement sur revoke.cash, utiliser un wallet séparé avec peu de fonds pour explorer les dApps nouvelles, et toujours vérifier les détails de transaction sur l’écran physique du hardware wallet avant de signer.