Rewards Hub 
Quatre agences de forces de l'ordre de trois pays ont tracé, pendant une semaine fin mars 2026, des cryptomonnaies volées à travers plus de 30 nations. À l'issue de l'opération, 12 millions de dollars ont été gelés, plus de 20 000 adresses de portefeuilles compromises signalées, et 120 sites frauduleux fermés. Cette opération, nommée Atlantic, était menée conjointement par l'US Secret Service, la National Crime Agency (NCA) du Royaume-Uni, la Police provinciale de l'Ontario et la Commission des valeurs mobilières de l'Ontario. Au total, la fraude identifiée dépasse les 45 millions de dollars, 33 millions restant sous enquête active.
La méthode quasi exclusive utilisée était le phishing par approbation, une attaque d’ingénierie sociale qui ne vole ni votre clé privée ni votre phrase de récupération. L’arnaque consiste à vous pousser à signer une transaction qui donne à un tiers un accès illimité à vos tokens. Vous ne transmettez pas de mot de passe, il suffit de cliquer sur « approuver » sur une fenêtre standard de portefeuille, et tous les actifs deviennent transférables à tout moment par l’attaquant.
Découvrez ce qu’a révélé l’opération Atlantic, le fonctionnement technique du phishing par approbation, et les étapes clés pour s’en protéger.
Ce qu’a réellement fait l’opération Atlantic
L’opération s’est déroulée sur une semaine, de fin mars à début avril 2026. L’US Secret Service a annoncé les résultats le 9 avril, qualifiant cette action de première coordination multinationale contre le phishing par approbation à grande échelle.
Les chiffres sont parlants : plus de 20 000 adresses de portefeuilles liées à des victimes ont été identifiées à travers plus de 30 pays, dont les États-Unis, le Royaume-Uni et le Canada. Les forces de l'ordre ont contacté directement plus de 3 000 victimes pour les avertir de la compromission de leurs portefeuilles et, dans certains cas, geler les fonds avant leur transfert par des fraudeurs. Une victime britannique a perdu environ 52 000 GBP lors d’une seule transaction de phishing par approbation.
En plus du gel de 12 millions de dollars, 120 domaines web utilisés par les fraudeurs pour héberger de fausses interfaces DeFi, des pages de faux airdrops et des fenêtres de connexion imitée ont été démantelés. The Block indique que les 33 millions restants sont toujours en cours de traçage, l’opération Atlantic se poursuivant.
Chainalysis a joué un rôle clé en fournissant des analyses on-chain, l’identification en temps réel des portefeuilles victimes et des données reliant les infrastructures de fraude sur plusieurs blockchains. La présence d’une société privée d’analyses blockchain au cœur d’une opération internationale illustre l’importance de la forensic blockchain dans la lutte moderne contre la fraude crypto.
Comment fonctionne le phishing par approbation (version technique)
Le phishing par approbation exploite une fonctionnalité inhérente à la DeFi. À chaque échange sur un DEX, prêt sur un protocole comme Aave, ou mint d’un NFT, l’utilisateur doit d’abord approuver le smart contract pour qu'il puisse transférer ses tokens. La norme ERC-20 comporte une fonction approve() recevant l’adresse du destinataire et le montant autorisé.
Les protocoles légitimes ne demandent l’approbation que du montant nécessaire. Par exemple, un swap de 500 USDC nécessite une autorisation pour 500 USDC. Mais la fonction permet aussi de demander une approbation illimitée. Un contrat malveillant peut donc solliciter un accès complet et permanent à tous vos tokens de ce type.
C’est là tout le principe de l’attaque : l’attaquant n’a pas besoin de votre phrase de récupération ou de votre clé privée, mais seulement d’une signature sur une transaction. L’interface trompeuse ressemble à une opération normale.
Trois étapes typiques : le fraudeur crée un site imitant une interface DeFi ou un outil de vérification de portefeuille. À la connexion, le site déclenche une demande d’approbation. Si vous confirmez sans vérifier les détails, vous accordez un accès illimité à vos tokens. L’attaquant n’est pas obligé de vider le portefeuille immédiatement, il peut attendre pour transférer les actifs à tout moment.
Une variante récente, le phishing par signature permit, est encore plus difficile à détecter : la victime signe un message hors chaîne autorisant le transfert. Cette signature n’apparaît pas dans l’historique des transactions et peut être exploitée plus tard par l’attaquant pour déplacer vos fonds.
Pourquoi le phishing par approbation est devenu l’arnaque crypto dominante
Les chiffres expliquent ce changement : selon le rapport Crypto Crime 2026 de Chainalysis, ces attaques ont causé plus d’un milliard de dollars de pertes en 2024 et 2025. Des chercheurs estiment qu’en janvier 2026, près de 300 millions de dollars ont été volés, principalement via le phishing par approbation.
Source : Chainalysis
L’explication est économique. Les attaques techniques (bugs de smart contract, flash loans, ponts DeFi) exigent des compétences pointues et des mois de préparation. Le phishing par approbation requiert surtout une interface convaincante et des bases en Solidity. Une fausse interface, relayée via réseaux sociaux, airdrops ou Discord compromis, permet de récolter des autorisations à grande échelle. Chaque approbation est une bombe à retardement, la victime ne s’en rendant compte que bien plus tard.
Les autorisations n’expirent jamais. Si vous avez approuvé un protocole suspect en 2023, cette autorisation est toujours active sauf révocation manuelle. Ces anciennes autorisations représentent une cible idéale pour les attaquants.
| Type d’attaque | Ce dont l’attaquant a besoin | Action requise de la victime | Réversible ? |
|---|---|---|---|
| Vol de clé privée | Votre clé privée ou phrase de récup. | Aucune après le piratage initial | Non |
| Phishing par approbation | Une transaction d’approbation signée | Cliquer sur « approuver » sur un faux site | Oui, si révoqué avant le vol |
| Phishing par signature permit | Une signature hors chaîne | Signer un message (non visible en tx) | Oui, si révoqué avant le vol |
| Exploit de smart contract | Un bug dans le code du protocole | Aucune (affecte tous les utilisateurs) | Dépend de la réaction du protocole |
Comment vérifier et révoquer vos autorisations de tokens
Bonne nouvelle : contrairement au vol de clé privée, le phishing par approbation est réversible tant que le portefeuille n’est pas vidé. Si vous révoquez l’autorisation à temps, elle devient caduque.
Commencez par vous rendre sur Revoke.cash et connectez votre portefeuille. L’outil scanne chaque autorisation, sur Ethereum, Polygon, BSC, Arbitrum et autres EVM, et affiche les contrats pouvant accéder à vos tokens.
Vérifiez les autorisations accordées à des contrats inconnus, celles sans limite de montant, ou datant de périodes suspectes. Toute approbation non intentionnelle à un protocole reconnu doit être révoquée sans délai.
Cliquez sur « revoke » à côté des lignes douteuses : cela soumet une transaction on-chain qui fixe l’allocation à zéro (frais de gas minimes). Le contrat ne pourra plus déplacer vos tokens une fois l’opération réalisée.
Faites ce contrôle chaque mois. Les autorisations s’accumulent discrètement, et un portefeuille actif depuis deux ans peut en compter des dizaines, chacune représentant un risque potentiel en cas de faille ou malveillance.
Pour les portefeuilles à forte valeur, la meilleure défense est d’utiliser un portefeuille matériel pour la conservation à froid, sans jamais le connecter directement à des protocoles DeFi. Utilisez un portefeuille chaud distinct avec un faible solde pour vos opérations DeFi et traitez chaque demande d’approbation avec la même vigilance qu’un email suspect.
Ce que signifie l’opération Atlantic pour l’avenir de la régulation crypto
Atlantic est un modèle, non un cas isolé. La collaboration (autorités américaines, britanniques, canadiennes et un régulateur financier) épaulée par Chainalysis marque l’émergence d’un nouveau schéma : les analystes blockchain privés agissent comme unité de renseignement intégrée auprès des forces de l’ordre.
Le fait d’avoir contacté 3 000 victimes directement est notable. Les fraudes financières traditionnelles identifient les victimes avec du retard, parfois des années. Grâce à la transparence de la blockchain, il a été possible d’alerter les portefeuilles compromis en temps réel, avant que les fonds ne soient transférés. Cet avantage est propre au secteur crypto, et son exploitation commence à se généraliser.
Mais seuls 12 millions ont été gelés sur 45 millions identifiés : environ 73 % des fonds restent en circulation, et ces montants ne représentent qu’une petite partie des pertes mondiales. Le modèle est validé, mais son extension à l’échelle du problème sera le prochain défi. On peut s’attendre à d’autres opérations similaires, avec la participation probable d’Europol, d’INTERPOL et de régulateurs asiatiques.
FAQ
Qu’est-ce que le phishing par approbation dans la crypto ?
Le phishing par approbation consiste à vous faire signer une transaction donnant à un fraudeur la permission de dépenser vos tokens, sans voler votre clé privée. Il exploite la fonction ERC-20 standard utilisée par tous les protocoles DeFi.
Puis-je récupérer mes fonds si j’ai été victime de ce type d’attaque ?
Si l’approbation n’a pas encore été exploitée, la révoquer immédiatement protège vos actifs restants. Si les fonds sont déjà partis, leur restitution dépend d’actions comme l’opération Atlantic, qui a gelé 12 millions pour un retour potentiel aux victimes. Les chances s’améliorent si vous déclarez l’incident aux autorités et à l’IC3 (Internet Crime Complaint Center du FBI) rapidement.
Comment savoir si mon portefeuille a été compromis par ce type de phishing ?
Connectez votre portefeuille à Revoke.cash et examinez chaque approbation active. Toute autorisation illimitée donnée à un contrat inconnu est suspecte. Vérifiez aussi les autorisations datant de périodes où vous avez pu cliquer sur des liens douteux ou interagir avec des sites non familiers.
Garder des cryptos sur une plateforme protège-t-il du phishing par approbation ?
Oui, car le phishing par approbation cible uniquement les portefeuilles auto-détenus où vous signez les transactions. Les actifs conservés sur une plateforme régulée comme Phemex ne sont pas exposés à ce risque, la plateforme gérant la garde et n’interagissant pas avec des smart contracts tiers via vos fonds. Vous dépendez alors de la sécurité de la plateforme.
À retenir
L’opération Atlantic a montré que le phishing par approbation est la première menace dans la fraude crypto à l’échelle internationale. L’opération a gelé 12 millions et identifié 45 millions de pertes, mais les chiffres de janvier 2026 (300 millions) illustrent l’écart entre la capacité d’intervention et l’ampleur des attaques. La leçon : chaque approbation active dans votre portefeuille représente un risque jusqu’à sa révocation. Si vous utilisez la DeFi depuis plusieurs mois sans vérifier ces autorisations, vous êtes exposé à un risque rarement connu. Revoke.cash ne prend que cinq minutes et c’est l’action la plus efficace pour sécuriser votre portefeuille auto-détenu.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil financier ou d’investissement. Le trading de cryptomonnaies comporte des risques importants. Effectuez toujours vos propres recherches avant toute décision.
