311 millions de dollars. C'est ce que les wallet drainers ont siphonné aux utilisateurs crypto rien qu'en janvier 2026, d'après les chiffres de CertiK. Et on ne parle pas de hacks sophistiqués sur des protocoles DeFi. On parle de gens comme vous et moi qui ont cliqué sur le mauvais lien et signé une transaction sans la comprendre.

Le truc, c'est que ces arnaques ne ressemblent plus du tout à ce qu'elles étaient il y a deux ans. Les wallet drainers de 2026 utilisent des interfaces propres, des noms de domaine crédibles, et parfois même de la pub Google pour vous attirer. Si vous interagissez avec des dApps ou que vous connectez votre wallet régulièrement, vous êtes une cible. Point.

C'est quoi exactement un wallet drainer ?

Un wallet drainer, c'est un script malveillant intégré dans un faux site web. Le site se fait passer pour un protocole DeFi, un mint NFT, ou un airdrop. Quand vous connectez votre wallet et que vous approuvez la transaction qui s'affiche, le script récupère le contrôle sur vos tokens et les transfère vers le portefeuille de l'attaquant.

La nuance qui tue : vous n'avez pas besoin de donner votre seed phrase. Le drainer exploite les autorisations que vous accordez volontairement via MetaMask ou un autre wallet. C'est une approbation de smart contract, pas un vol de clé privée. Et c'est précisément pour ça que la plupart des gens ne voient rien venir.

Si vous avez déjà été victime d'un keylogger qui enregistre vos frappes, vous connaissez le sentiment. Sauf qu'ici, c'est encore plus vicieux : c'est vous qui validez l'opération.

Comment fonctionne l'attaque, étape par étape ?

Le scénario est quasiment toujours le même, avec des variantes mineures.

Première phase : l'appât. L'arnaqueur crée un site qui imite un projet connu. Parfois c'est un clone pixel-perfect d'Uniswap ou d'un bridge L2. Parfois c'est un prétendu airdrop pour un token qui fait le buzz sur X. Les noms de domaine sont étudiés : uniswap-claim.com, arbitrum-airdrop.io, des trucs qui paraissent vrais si on ne regarde pas de trop près.

Deuxième phase : la distribution. Le lien circule via des comptes X compromis, des pubs Google Ads (oui, Google laisse passer ça), des messages directs sur Discord, ou des commentaires sous des posts populaires. Safe Labs a identifié début 2026 une campagne coordonnée impliquant plus de 5 000 adresses malveillantes liées à des outils de type drainer.

Troisième phase : la signature. Vous cliquez, vous connectez MetaMask, et une fenêtre de transaction apparaît. Elle ressemble à une approbation banale. Sauf que ce que vous signez donne au smart contract la permission de déplacer tous vos tokens ERC-20, vos NFT, ou les deux. Les drainers modernes obscurcissent les détails de la transaction pour que tout ait l'air normal.

Quatrième phase : le vidage. En quelques secondes, vos actifs partent. Les bons drainers trient automatiquement votre wallet. Ils prennent les tokens les plus liquides d'abord, puis les NFT de valeur. Certains le font en une seule transaction, d'autres enchaînent plusieurs approbations.

Pourquoi ça marche aussi bien en 2026 ?

Parce que les outils se sont industrialisés. On n'est plus dans l'artisanat.

Des kits comme Inferno Drainer, Pink Drainer et Angel Drainer ont créé un vrai marché du "Drainer-as-a-Service". N'importe qui peut acheter un kit, déployer un faux site, et commencer à voler. Le fournisseur prend une commission sur chaque vol, généralement entre 10 et 20 %. C'est un business model, pas un hobby.

Et puis il y a l'IA. Les rapports de TRM Labs pour 2026 montrent une hausse de 450 % des fraudes assistées par intelligence artificielle. Les arnaqueurs utilisent des deepfakes pour imiter des influenceurs crypto, des chatbots pour répondre aux questions des victimes en temps réel, et du machine learning pour personnaliser les campagnes de phishing en fonction de votre historique de transactions on-chain.

Même les lettres physiques s'y mettent. Des utilisateurs de Ledger ont signalé avoir reçu par courrier postal de fausses lettres les invitant à "mettre à jour le firmware" via un QR code menant à un site drainer. On est loin du prince nigérian.

Comment repérer un wallet drainer avant qu'il ne soit trop tard ?

Quelques signaux qui doivent vous mettre en alerte immédiate.

Le site vous demande de connecter votre wallet pour "vérifier votre éligibilité" à un airdrop. Les vrais airdrops n'ont presque jamais besoin d'une approbation de smart contract. Si on vous demande de signer quelque chose pour recevoir un cadeau, c'est le cadeau qui vous coûtera cher.

L'URL ne correspond pas exactement au projet officiel. Un tiret en plus, un "l" remplacé par un "1", un ".io" au lieu de ".org". Vérifiez toujours en passant par le site officiel du projet, jamais par un lien sur les réseaux.

La transaction MetaMask affiche "SetApprovalForAll" ou des montants d'approbation illimités. C'est la permission la plus dangereuse que vous puissiez donner. Elle autorise le contrat à déplacer tous les tokens d'un type donné, sans limite.

Le projet n'existe que depuis quelques jours et promet des rendements déraisonnables. Si un protocole inconnu vous propose 400 % d'APY sur un stablecoin, posez-vous la question : d'où vient l'argent ? (Spoiler : c'est probablement le vôtre.)

Quels outils concrets pour se protéger ?

Je ne vais pas vous faire la leçon du "faites attention", si c'était suffisant, personne ne se ferait avoir. Il faut des outils.

Revoke.cash est votre meilleur ami. Ce site gratuit vous permet de voir toutes les approbations de smart contract actives sur votre wallet, et de les révoquer une par une. Prenez 10 minutes ce week-end pour nettoyer vos approbations en cours. Vous serez probablement surpris par le nombre de contrats qui ont encore accès à vos fonds.

Blockaid et Wallet Guard fonctionnent comme des pare-feu pour votre wallet. Ils simulent les transactions avant que vous les signiez et vous alertent si quelque chose semble malveillant. Pocket Universe fait un travail similaire en extension navigateur. Ces outils de type "wallet firewall" sont devenus un réflexe pour beaucoup d'utilisateurs actifs en DeFi.

Un wallet dédié pour les interactions dApps. Gardez le gros de vos avoirs sur un wallet froid (Ledger, Trezor) et utilisez un wallet chaud séparé, avec peu de fonds, pour tester les nouveaux protocoles. Si le wallet chaud se fait drainer, vous perdez 50 euros au lieu de 50 000.

Et si vous utilisez des agrégateurs DEX comme 1inch, assurez-vous de toujours passer par l'URL officielle. Les faux 1inch sont parmi les clones les plus courants dans les campagnes de drainer.

Que faire si votre wallet a déjà été drainé ?

D'abord, respirez. Ensuite, agissez vite.

Révoquez immédiatement toutes les approbations restantes sur le wallet compromis via Revoke.cash. Même si vos tokens sont partis, il peut rester des approbations actives qui permettront au drainer de revenir si vous recevez de nouveaux fonds.

Transférez tous les actifs restants vers un nouveau wallet. Pas un autre wallet sur le même appareil, un wallet entièrement nouveau, créé sur un appareil clean. L'ancien wallet est compromis, il ne sera plus jamais sûr.

Signalez l'arnaque. Chainabuse.com, le support du wallet utilisé, et la communauté crypto sur X. Plus les signalements sont rapides, plus les listes noires se mettent à jour vite.

Ne comptez pas récupérer vos fonds. Les transactions blockchain sont irréversibles. Méfiez-vous des "services de récupération" qui vous contactent après un vol : dans 99 % des cas, c'est une deuxième arnaque qui cible les victimes désespérées.

Pour comprendre comment les attaquants récupèrent parfois vos accès en amont, consultez notre article sur le SIM swapping qui vide des comptes crypto en 30 minutes.

Les wallet drainers vont-ils disparaître ?

Non. Pas tant que le phishing restera rentable et que les approbations de smart contract resteront aussi opaques pour l'utilisateur moyen.

Par contre, les défenses s'améliorent. MetaMask travaille sur des avertissements plus clairs lors des signatures de transactions. Des wallets comme Rabby affichent déjà une simulation lisible de ce que chaque transaction va réellement faire. Et les outils de simulation pré-signature comme Blowfish et Blockaid gagnent du terrain.

Le vrai changement viendra quand les wallets refuseront par défaut les approbations illimitées et que la simulation de transaction sera activée d'office, pas en option cachée dans les paramètres. On n'y est pas encore, mais la direction est la bonne.

En attendant, la règle est simple : ne signez jamais une transaction que vous ne comprenez pas. Et si un site vous promet des tokens gratuits en échange d'une connexion wallet... fermez l'onglet.

Pour aller plus loin sur la sécurité de vos accès, notre guide sur les attaques brute force et celui sur le DNS hijacking complètent bien le sujet.

Dernière mise à jour : mars 2026