Accueil
Actualités
Détails

Arnaque de Phishing sur Uniswap : Comment une Fausse Signature a Vidé un Portefeuille

iconActualités KuCoin
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
Le 22 août 2025, une arnaque choquante impliquant des cryptomonnaies a servi de rappel brutal des risques dans leDeFi. D'après la plateforme de sécurité ScamSniffer, un utilisateur a perdu environ 1 million de dollars en tokens et enNFTsaprès avoir signé une transaction malveillante déguisée enéchange Uniswap.
Cet incident illustre parfaitement un type courant d'arnaque par hameçonnage et signaturequi exploite la commodité du trading décentralisé et l'inattention des utilisateurs.
 

Comment fonctionne l'arnaque par hameçonnage : L'appât d'une fausse signature

 
Cette arnaque est particulièrement perverse en raison de son exécution ingénieuse, qui se déroule en quelques étapes clés :
  1. Interface factice, vraie tromperie :Les attaquants créent un faux site web qui est une réplique presque parfaite de l'interface officielle d'Uniswap. Ce site est généralement diffusé par des liens d'hameçonnage, que l'on peut trouver dans des publicités frauduleuses, des publications malveillantes sur les réseaux sociaux, voire dans des messages privés apparemment légitimes. Les utilisateurs sont souvent conduits sur le site frauduleux sans s'en rendre compte.
  2. Vous tromper pour que vous signiez une transaction malveillante :Lorsqu'un utilisateur initie une transaction sur le site factice (par exemple, un échange de tokens), le site génère une demande de transaction malveillante qui invite l'utilisateur à la signer. Il ne s'agit pas d'une signature normale d'Uniswap ; à la place, c'est une signature pour un contrat malveillant qui inclut une"approbation de transaction par lot"ou d'autres permissions cachées.
  3. Transfert silencieux des actifs :Une fois que l'utilisateur signe cette demande malveillante, il accorde sans le savoir à l'attaquant la permission de gérer sesactifs du portefeuilleen masse. L'attaquant peut ensuite utiliser cette permission pour vider les actifs de grande valeur, y compris des tokens et des NFTs, du portefeuille de la victime—et ce, sans nécessiter d'autorisation supplémentaire de l'utilisateur.
Dans ce cas précis, la victime a signé une demande frauduleuse de "règlement par lot" déguisée en un simple échange, ce qui a entraîné la vidange complète de son portefeuille. Ce type d'attaque est particulièrement dangereux car il ressemble en tous points à un processus DeFi normal, mais le code sous-jacent est conçu uniquement pour voler des fonds.
 

Comment protéger votre crypto : étapes clés pour éviter les arnaques par signature

Les arnaques par signature sont courantes dans lemondede la crypto, mais vous pouvez réduire considérablement vos risques en suivant ces précautions simples :
  1. Toujoursvérifierle domaine :Accédez uniquement aux échanges décentralisés via les canaux officiels ou vos favoris. Avant de faire quoi que ce soit, vérifiez l'URL dans la barre d'adresse de votre navigateur pour vous assurer qu'il s'agit bien du domaine officiel exact.
  2. Traitez chaque demande de signature avec prudence :Ne vous précipitez pas pour cliquer sur "confirmer" lorsqu'une demande de signature apparaît dans votre portefeuille. Lisez attentivement la demande. Si vous utilisez un portefeuille EVM comme MetaMask, il affichera généralement les détails de la transaction. Si quelque chose semble suspect ou si vous ne reconnaissez pas le contrat intelligent demandant une autorisation, annulez immédiatement la demande.
  3. Utilisez des outils de simulation de transactions :De nombreux portefeuilles et outils de sécurité tiers (comme ScamSniffer) proposentdes fonctionnalités de simulation de transactions. Simulez le résultat d'une transaction avant de la signer. Si la simulation montre que vos actifs seront transférés à une adresse inconnue, c'est un avertissement clair d'une arnaque.
  4. Examinez régulièrement les autorisations de votre portefeuille :De nombreuses arnaques reposent sur des autorisations à long terme. Prenez l'habitude de revoir régulièrement et de révoquer les autorisations inutiles ou suspectes. Vous pouvez utiliser des outils comme Etherscan ou d'autres services de sécurité de portefeuilles pour gérer vos approbations de contrats.
  5. Utilisez des portefeuilles séparés :Ne stockez pas tous vos actifs de grande valeur dans un seul portefeuille. Utilisez un "hot wallet" dédié pour vous connecter aux dApps et signer des transactions, et conservez la majorité de vos actifs dans un portefeuille plus sécurisé et moins utilisé, de préférence un portefeuille froid.
Dans le monde du Web3, votre signature est votre identité, et votre autorisation est votre commande. Protéger votre signature est la meilleure façon de protéger vos actifs. Restez vigilant, et ne laissez pas un simple clic devenir le point de départ d'une perte de plusieurs millions.
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.