Une campagne de phishing menée fin mai 2026 a compromis des centaines de portefeuilles EVM en se faisant passer pour MetaMask et en prétendant qu'une mise à jour du système de 2026 était obligatoire. L’enquêteur on-chain ZachXBT a identifié la fraude le 28 mai après avoir tracé un ensemble de transactions suspectes sur Ethereum, Polygon, Arbitrum et Base. Les pertes par portefeuille sont moins élevées que lors de piratages majeurs précédents, mais le nombre de victimes est important et le processus d’attaque s’est avéré particulièrement soigné.
En moyenne, la perte signalée par portefeuille atteint le bas de la fourchette des cinq chiffres, et le décompte de ZachXBT au 30 mai estimait le montant total détourné à plus de 9 millions de dollars sur plus de 400 adresses distinctes. L’intérêt de cette attaque réside moins dans la somme que dans la méthode employée. Un faux e-mail ou une notification informait les utilisateurs que leur portefeuille deviendrait inutilisable sans "validation" de la mise à jour. La page de validation demandait de connecter le portefeuille et de signer une transaction unique. Cette signature autorisait un contrat malveillant à accéder aux fonds. Les portefeuilles étaient alors vidés en quelques secondes.
Fonctionnement de l’attaque de phishing
L’attaque se compose de cinq étapes très simples. La victime reçoit un e-mail ou une notification semblant provenir de MetaMask. Le message indique qu’une mise à jour du système 2026 est requise pour continuer à utiliser le portefeuille et avertit que l’absence d’action entraîne la perte d’accès aux fonds après une certaine date. Le lien contenu dans la notification mène vers un site qui imite visuellement metamask.io. L’URL réelle est une variante trompeuse (par ex. metamasks-update.com, metamask-validator.io, secure-metamask.app, etc.).
La page d’accueil est une copie quasi parfaite du site officiel de MetaMask. Elle invite l’utilisateur à "vérifier" son portefeuille via un bouton ouvrant le module WalletConnect. L’utilisateur signe alors une transaction sans en lire le contenu. Il s’agit d’un setApprovalForAll sur des tokens ERC-20, d’une autorisation de transfert d’un NFT, ou d’une signature permit permettant au contrat malveillant de dépenser l’intégralité du solde.
En quelques secondes, le contrat malveillant transfère tous les tokens vers une adresse contrôlée par l’attaquant. Les fonds sont ensuite transférés entre différentes blockchains, mélangés via des alternatives à Tornado Cash, puis envoyés vers un petit ensemble de portefeuilles de destination toujours actifs au moment de la rédaction.
Facteurs ayant rendu cette campagne efficace
Trois éléments distinguent cette campagne des tentatives habituelles de vol de portefeuilles. D’abord, la qualité de l’usurpation : alors qu’auparavant les e-mails de phishing MetaMask étaient manifestement faux, cette opération utilisait des copies fidèles, des textes rédigés de façon professionnelle et des domaines enregistrés bien à l’avance, avec certificats SSL.
Ensuite, l’utilisation d’un sentiment d’urgence crédible : le message de "mise à jour obligatoire 2026" rappelle les alertes habituelles de logiciels légitimes (navigateur, application bancaire, etc.). Le ton est suffisamment neutre pour paraître authentique ; il n’y avait ni menace, ni promesse de récompense, ni demande de phrase de récupération. Seule la validation était demandée.
Enfin, la couverture multichaîne : les contrats malveillants ont été déployés simultanément sur Ethereum, Polygon, Arbitrum et Base, et l’adresse de destination s’adaptait automatiquement selon la chaîne utilisée par la victime. Les attaques précédentes ciblaient principalement Ethereum, négligeant les utilisateurs sur les solutions L2.
Traçabilité selon ZachXBT
L’analyse on-chain ayant permis de relier ces attaques a suivi une méthodologie standard. ZachXBT a identifié le premier contrat malveillant sur Ethereum et utilisé son historique pour remonter jusqu’au portefeuille financeur, lequel avait reçu de petites sommes de gas depuis un unique hot wallet ayant aussi financé les contrats malveillants sur Polygon, Arbitrum et Base. Le hot wallet avait été approvisionné à partir d’un retrait depuis une plateforme d’échange centralisée, trois semaines avant le début de la campagne.
L’enquête s’arrête généralement à ce retrait, la plateforme concernée étant offshore, non soumise à la procédure KYC et ne répondant pas aux réquisitions des autorités. Selon ZachXBT, la campagne serait gérée par une équipe spécialisée dans ce type d’opérations, louant leur infrastructure à des affiliés contre 20-30 % des montants volés, en échange du contrat malveillant, de la rotation des domaines et du blanchiment des fonds.
Les portefeuilles matériels auraient protégé la plupart des victimes
La quasi-totalité des portefeuilles touchés étaient des hot wallets (extensions de navigateur MetaMask, applications mobiles, solutions logicielles). Un portefeuille matériel (Ledger ou Trezor) connecté à MetaMask oblige l’utilisateur à confirmer physiquement chaque transaction sur son écran avant signature. Un utilisateur attentif peut ainsi refuser de valider un setApprovalForAll provenant d’un contrat inconnu.
C’est l’argument principal en faveur de la conservation matérielle : bien que le contrat malveillant reçoive la demande de signature, l’utilisateur doit l’approuver sur un écran sécurisé distinct. Cette interaction supplémentaire limite les confirmations trop rapides.
Une autre mesure logicielle existe : MetaMask et la plupart des interfaces de portefeuilles affichent désormais un aperçu simulé de la transaction qui traduit la demande d’approbation et signale tout accès illimité. L’aperçu est activé par défaut dans les dernières versions. Les utilisateurs sur d’anciennes versions, ou qui ont validé sans lire, ont été les principales victimes.
Conseils pour les utilisateurs EVM cette semaine
Les recommandations clés sont simples et déjà connues. Liste de contrôle de sécurité crypto : traitez tout message de "mise à jour obligatoire" ou de "validation" reçu par e-mail ou notification comme une tentative de phishing. Les mises à jour réelles de portefeuilles se font toujours au sein de l’application, jamais via des liens externes. En cas de doute, saisissez manuellement l’URL officielle dans votre navigateur.
Révoquez les autorisations inutilisées sur vos tokens. L’outil gratuit Revoke.cash permet de scanner votre portefeuille et d’identifier toutes les autorisations actives. Les approbations anciennes, non utilisées, représentent une surface d’attaque potentielle. Révoquez-les et ne laissez actives que celles indispensables. Utilisez un portefeuille matériel pour tout montant significatif en crypto. Si ce n’est pas possible, créez au moins un profil de navigateur dédié sans autres extensions.
Ne signez de transactions qu’après avoir vérifié leur contenu : un setApprovalForAll ou une signature permit affiche l’adresse du contrat concerné et l’étendue de l’autorisation. Si le contrat est inconnu et la portée illimitée, refusez systématiquement.
Foire aux questions
Comment savoir si je suis concerné ?
Vérifiez l’historique de votre portefeuille pour toute opération d’approbation ou de transfert que vous ne reconnaissez pas sur les 10 derniers jours. L’outil Etherscan token approvals liste toutes les autorisations actives. Une approbation vers un contrat inconnu est un signal d’alerte. Si un retrait suspect apparaît, il est probable que les fonds aient déjà été blanchis, mais il reste conseillé d’en informer ZachXBT et les autorités locales.
Pourquoi MetaMask ne bloque-t-il pas mieux ces domaines ?
MetaMask maintient une liste noire de domaines de phishing et y ajoute les nouveaux signalés. Néanmoins, la rotation rapide des domaines employés dans cette campagne dépasse la vitesse de mise à jour de la liste. Il s’agit d’une protection partielle, non totale.
Les portefeuilles L2 sont-ils plus sûrs que le réseau principal ?
Non. Les contrats malveillants utilisés ici fonctionnent sur toutes les chaînes EVM. Les réseaux L2 offrent des frais moindres, ce qui attire des portefeuilles de petits montants, mais la surface d’attaque reste identique.
Est-il plus sûr de transférer mes fonds vers une plateforme centralisée ?
Cela dépend de votre gestion des risques. Un dépositaire centralisé reconnu, avec assurance, stockage à froid et preuve de réserves, élimine le risque de phishing lié à l’auto-garde, mais introduit un risque de contrepartie et de plateforme. La bonne pratique consiste à utiliser un portefeuille matériel pour le stockage long terme, un petit hot wallet pour la DeFi active et, éventuellement, un dépositaire réputé pour la part à trader.
En résumé
La campagne a détourné plus de 9 millions de dollars sur plus de 400 portefeuilles en une semaine. L’infrastructure malveillante reste active, la rotation des domaines se poursuit, et la qualité de l’imitation demeure élevée. Les méthodes de défense sont connues : portefeuilles matériels, scepticisme sur toute "mise à jour obligatoire", révocations régulières des autorisations, lecture attentive des aperçus de transaction. Il est probable que la campagne cible bientôt d’autres portefeuilles majeurs (Rabby, Phantom, Trust) lorsque le leurre MetaMask cessera d’être efficace. Considérez le prochain e-mail de "mise à jour" de votre portefeuille comme vous le feriez avec une demande de code bancaire d’un inconnu.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil financier ou d’investissement. Le trading de crypto-monnaies comporte des risques. Effectuez toujours vos propres recherches avant toute décision de trading.
