Un utilisateur d’Ethereum a perdu la quasi-intégralité de son portefeuille, soit 999 999 USDT, après avoir signé une approbation de token frauduleux. La plateforme de surveillance Scam Sniffer a détecté l’attaque en temps réel, observant une tentative ratée de l’attaquant avant qu’il n’ajuste sa méthode pour siphonner les fonds. Ce vol, d’un montant proche du million de dollars, illustre la sophistication croissante des scripts de phishing qui s’adaptent aux soldes cibles pour maximiser leur butin.
Scam Sniffer a intercepté une attaque de phishing sur Ethereum ciblant un wallet unique. L’attaquant a d’abord échoué à retirer 1 million d’USDT, une somme supérieure au solde disponible. Trente-six secondes plus tard, un script a recalculé le montant exact et vidé le portefeuille de ses 999 999 USDT, ne laissant aucune miette derrière lui. L’incident met en lumière une technique de vol adaptative qui ne repose plus sur une interaction passive de la victime, mais sur un calcul en chaîne pour optimiser le drain de fonds approuvés.
Qu’est-ce que l’approbation de token frauduleux signée par la victime ?
La victime a signé une transaction d’approbation pour un token qu’elle croyait légitime, une méthode de phishing classique. Cette signature autorise un smart contract malveillant à manipuler un actif spécifique dans le portefeuille. Dans ce cas, l’actif ciblé était le stablecoin Tether, dont l’USDT domine les volumes de phishing en raison de sa liquidité et de sa stabilité de valeur.
Contrairement aux vols d’ETH natif, le phishing par approbation exige une signature explicite de l’utilisateur. Une fois obtenue, le contrat attaquant peut transférer des tokens sans autre interaction, souvent bien après que la victime a quitté le site piégé. Les pertes liées aux signatures non vérifiées s’accumulent : en 2026, ce type d’attaque continue de siphonner des millions chaque mois, selon les données de Scam Sniffer relayées par PANews.
Pourquoi l’attaquant a-t-il échoué avant de réussir son vol ?
La chronologie de l’attaque, détaillée par Wu Blockchain, révèle une mécanique de précision. Lors de sa première tentative, le script a demandé un transfert de 1 million d’USDT, dépassant de 631 USDT le solde réel du portefeuille, ce qui a bloqué la transaction. Le contrat n’a pas pour autant abandonné : 36 secondes plus tard, il a recalculé les fonds disponibles et ordonné le retrait exact de 999 999 USDT.
Cette double tentative est le marqueur d’un script avancé, conçu pour sonder un wallet avant de vider son contenu. L’attaque s’inscrit dans une tendance plus large où les pirates diversifient leurs cibles au-delà de l’Ethereum, comme l’a montré la migration du token GLMR de Moonbeam depuis l’écosystème Polkadot, qui a conduit des utilisateurs vers de nouveaux environnements techniques potentiellement moins familiers et plus vulnérables.
Quels risques pour les détenteurs d’USDT et les autres tokens ?
Ce type de phishing ne se limite pas à l’USDT. Tout token ERC-20 pour lequel une approbation a été signée peut être drainé. La vigilance doit redoubler avec l’émergence de tokens piégés imitant des projets légitimes, un stratagème déjà exploité par l’opération FBI Token Mirrors qui piège les arnaqueurs en simulant des opportunités d’investissement fictives.
La valeur élevée des stablecoins en fait une cible de choix. Un million de dollars en USDT est une somme colossale pour un particulier. Dans le même temps, des structures bien plus importantes se renforcent : BitMine a ainsi accumulé 5 millions d’ETH en trésorerie en quelques mois, illustrant l’écart abyssal entre les moyens de sécurisation des institutionnels et la vulnérabilité des utilisateurs individuels.
Lecture du rédacteur La rapidité d’exécution du script : un échec suivi d’un succès en moins d’une minute : prouve que les pirates ne tâtonnent pas. Ils utilisent des modèles prédictifs et des boucles de rétroaction pour optimiser leurs vols en temps réel. La sécurité des approbations ne repose plus sur la simple vérification de l’URL d’un site, mais sur une compréhension fine du bytecode des transactions signées.
À retenir
Le vol de près d’un million d’USDT, exécuté en deux tentatives éclair, rappelle que la signature d’une approbation de token est un vecteur d’attaque à part entière. Le script utilisé a démontré une capacité d’adaptation en chaîne qui contourne les simples erreurs de calcul initial. Pour les utilisateurs d’Ethereum, la vérification systématique des transactions reste la seule parade fiable face à ces scripts de plus en plus réactifs, alors même que le décrochage de la valeur de l’ETH pourrait pousser les portefeuilles à se tourner davantage vers les stablecoins, augmentant mécaniquement leur exposition.
Sources
-
ÉCONOMIE & MACROFonds tokenisés : 66 % des institutionnels visent 2027
-
ÉCONOMIE & MACROFed : l'IA devient un risque inflationniste, taux élevés prolongés