Alerte de vacances : décryptage de la tentative de phishing « Bonne année » déguisée en MetaMask, comment vider des centaines de portefeuilles ?

Connu chercheur en sécurité on-chain ZachXBT a récemment révélé qu’une attaque de phishing ciblant les utilisateurs du portefeuille MetaMask a entraîné la perte de plusieurs centaines de portefeuilles, pour un montant total dépassant 107 000 USD et qui continue de croître. Les attaquants ont profité des vacances du Nouvel An pour déguiser un envoi officiel d’un email de phishing « mise à jour forcée », incitant les utilisateurs à signer une autorisation de contrat malveillant.

Cet incident, conjointement avec la récente faille du plugin Trust Wallet qui a permis de voler au moins 8,5 millions de dollars, met une fois de plus en évidence la vulnérabilité extrême de la sécurité côté utilisateur dans le monde de la cryptographie. Cet article analysera en profondeur la méthode d’attaque, fournira un guide de réponse immédiate, et construira un système de défense approfondie orienté vers l’avenir.

Vue d’ensemble de l’attaque : chasse ciblée pendant les vacances

Au début de la nouvelle année, alors que les développeurs et équipes de support de projets sont en congé, avec un personnel réduit, une attaque coordonnée contre les portefeuilles de cryptomonnaies s’est déployée discrètement. ZachXBT, en surveillant la chaîne, a détecté que plusieurs centaines d’adresses de portefeuilles sur plusieurs chaînes compatibles EVM voyaient leurs actifs être continuellement dérobés par petites sommes, dispersées. La perte moyenne par victime est généralement inférieure à 2 000 USD, et tous les fonds volés convergent vers une même adresse suspecte. Au moment de la rédaction, le total des pertes confirmées dépasse 107 000 USD, et ce chiffre continue d’augmenter.

Bien que la cause fondamentale de l’attaque fasse encore l’objet d’enquêtes, de nombreux rapports d’utilisateurs révèlent le point d’entrée : un email de phishing déguisé en « mise à jour obligatoire » envoyé prétendument par MetaMask. Cet email, bien conçu, utilise le logo emblématique du renard de MetaMask, avec un chapeau de fête, et le sujet « Bonne année ! », exploitant habilement l’atmosphère festive pour réduire la vigilance des utilisateurs. Les attaquants ont choisi ce moment pour lancer leur offensive, en profitant d’un créneau où la réponse est lente et la vigilance relâchée.

Ce mode de vol « par petites sommes » est très stratégique. Il suggère fortement que, dans de nombreux cas, les attaquants ne cherchent pas à prendre le contrôle total du portefeuille en volant la phrase de récupération (Seed Phrase), mais exploitent plutôt l’autorisation de contrat malveillant (Contract Approval) que l’utilisateur a précédemment signé. Par défaut, de nombreux tokens ont des limites d’autorisation « infinies », mais les attaquants ne vident pas le portefeuille en une seule fois, ils contrôlent plutôt le montant de chaque vol, le maintenant à un niveau faible. Cela évite de déclencher une alerte immédiate chez la victime, tout en permettant une reproduction à grande échelle sur plusieurs centaines de portefeuilles, accumulant finalement un montant à six chiffres.

ZachXBT révèle les données clés de l’incident de phishing

Durée de l’attaque : pendant les vacances du Nouvel An, période précise à confirmer

Nombre de portefeuilles affectés : plusieurs centaines (chiffre en constante augmentation)

Perte moyenne par portefeuille : généralement inférieure à 2 000 USD

Perte totale confirmée : plus de 107 000 USD

Réseaux impliqués : plusieurs chaînes compatibles EVM (Ethereum, Polygon, Arbitrum, etc.)

Méthode d’attaque : email de phishing incitant à signer une autorisation de contrat malveillant

Analyse des quatre failles majeures dans le « » email de phishing efficace

Pourquoi autant d’utilisateurs expérimentés en cryptomonnaie tombent-ils dans le piège ? Cet email de phishing ciblant MetaMask constitue un exemple « pédagogique » de l’ingénierie sociale, dont le succès révèle précisément les faiblesses communes des habitudes de sécurité des utilisateurs ordinaires. Cependant, aussi sophistiquée que soit la dissimulation, ce type d’attaque finit toujours par laisser des traces dans les détails. Reconnaître ces quatre signaux clés permet d’intercepter efficacement la menace avant qu’elle ne cause des pertes.

Premièrement, et le plus évident, c’est « une incohérence grave entre la marque et l’expéditeur ». Dans cette affaire, l’expéditeur affiche « MetaLiveChain » — un nom qui semble lié à la finance décentralisée (DeFi), mais qui n’a en réalité aucun lien avec MetaMask. C’est souvent une preuve directe que l’attaquant a usurpé un modèle d’email marketing légitime. L’en-tête de l’email contient même un lien de désabonnement pointant vers « reviews@yotpo .com », ce qui expose davantage son origine spam.

Deuxièmement, « la création artificielle d’un sentiment d’urgence » est une tactique classique du phishing. Le corps de l’email insiste sur le fait que cette mise à jour est « obligatoire », exigeant une action immédiate sous peine d’impact sur l’utilisation du portefeuille. Cela va à l’encontre des consignes de sécurité officielles de MetaMask. MetaMask indique clairement que l’« officiel ne demandera JAMAIS » par email non sollicité une vérification ou une mise à jour. Toute demande d’urgence prétendue venir de l’équipe officielle doit être considérée comme une alerte rouge.

Troisièmement, « liens trompeurs ». Les boutons ou liens dans l’email de phishing affichent souvent un texte (ex. « Mettre à jour maintenant ») qui pointe vers un domaine non conforme à l’organisation prétendue. Avant de cliquer, il suffit de survoler le lien avec la souris (sur ordinateur) pour voir l’URL réelle. Tout lien qui ne provient pas de metamask.io ou de ses sous-domaines officiels doit susciter une suspicion élevée.

Quatrièmement, « la demande d’informations sensibles ou de permissions » constitue la ligne rouge ultime. MetaMask et ses représentants légitimes ne demanderont JAMAIS par email, SMS ou téléphone votre « phrase de récupération secrète » (Secret Recovery Phrase). De même, demander à signer un message hors chaîne (off-chain) ou une transaction dont le contenu ou l’usage est inconnu est souvent une arnaque. Dans l’incident révélé par ZachXBT, il est probable que la victime ait été incitée à signer un contrat d’autorisation de tokens malveillant, ce qui revient à ouvrir la porte au transfert de ses actifs.

Guide d’intervention d’urgence : révoquer les autorisations et limiter les pertes

Dès que vous réalisez que vous avez peut-être cliqué sur un lien de phishing ou signé une autorisation suspecte, la panique ne sert à rien. Il faut immédiatement agir pour limiter la casse. La priorité est de « couper l’accès de l’attaquant ». Heureusement, plusieurs outils permettent de gérer et révoquer facilement les autorisations de contrat.

Pour les utilisateurs de MetaMask, il est possible de consulter et gérer toutes les autorisations de tokens directement dans l’interface Portfolio de MetaMask. De plus, des sites spécialisés comme Revoke.cash offrent une procédure très simple : connectez votre portefeuille, choisissez le réseau concerné, et la plateforme affichera clairement toutes les autorisations accordées à votre adresse sur différents contrats. Vous pouvez alors révoquer individuellement celles que vous ne faites plus confiance ou que vous n’utilisez plus, en envoyant une transaction de « révocation ». De même, des explorateurs comme Etherscan proposent une page de gestion des « Token Approvals », permettant de révoquer manuellement les autorisations pour ERC-20, ERC-721, etc. La réactivité est essentielle : agir vite peut sauver le reste de vos actifs avant que l’attaquant ne vide complètement le portefeuille.

Cependant, la bonne démarche dépend de l’évaluation précise du niveau d’infection. Il faut distinguer deux cas fondamentaux : « autorisation de contrat volée » et « phrase de récupération complètement compromise ». Si seul le premier cas est concerné, l’attaquant ne possède que le droit de transférer certains tokens, et la révocation d’autorisation peut préserver le contrôle du portefeuille. Si c’est le second, cela signifie que l’attaquant a pris le contrôle total, et toute opération (y compris la révocation) peut être interceptée ou dupliquée.

Les recommandations officielles de MetaMask sont claires : en cas de suspicion de fuite de la phrase de récupération, il faut cesser immédiatement d’utiliser le portefeuille. Il faut créer un nouveau portefeuille sur un appareil propre, sans virus, et transférer en toute sécurité tous les actifs non encore volés vers cette nouvelle adresse. La vieille phrase doit être considérée comme « à brûler définitivement » et ne plus jamais être utilisée. Cette décision radicale de « couper court » est la seule option pour faire face à la pire situation.

Construire une défense approfondie : du point unique à un système de sécurité

Que ce soit cette attaque de phishing ou la faille du plugin Trust Wallet ayant permis de voler 8,5 millions USD, toutes pointent vers une même conclusion : compter uniquement sur une seule couche de protection est risqué. Face à des menaces en constante évolution, l’utilisateur doit établir un « système de défense en profondeur » (Defense-in-Depth), en multipliant les barrières pour limiter la portée d’un éventuel incident.

Première couche : configuration du portefeuille et habitudes quotidiennes. Les fournisseurs de portefeuilles intègrent de plus en plus de fonctionnalités de sécurité. Par exemple, MetaMask encourage désormais à définir manuellement des limites de dépenses lors de l’autorisation, plutôt que d’accepter la limite « infinie » par défaut. Il faut aussi adopter une habitude régulière de révision et de suppression des autorisations obsolètes, en considérant cela comme aussi important que l’utilisation d’un portefeuille matériel. La fonction de sécurité Blockaid de MetaMask, qui alerte avant la signature d’une transaction suspecte, constitue une ligne de défense sous-estimée.

Deuxième couche : hiérarchisation des actifs et séparation des portefeuilles. C’est une des stratégies les plus efficaces contre toute intrusion. Il est conseillé d’adopter un modèle à trois niveaux :

• Portefeuille froid (stockage à long terme) : utiliser un portefeuille matériel (Ledger, Trezor) pour stocker les actifs principaux et à long terme.
• Portefeuille chaud (transactions courantes) : utiliser un portefeuille logiciel (MetaMask sur PC ou mobile) pour les opérations quotidiennes, comme le trading ou le staking.
• Portefeuille de test (interactions expérimentales) : créer un portefeuille dédié pour tester de nouveaux protocoles ou NFT, isolé des autres.

Ce modèle augmente la gestion, mais l’effort supplémentaire est la clé de la sécurité. Une attaque réussie sur un portefeuille de test ne coûtera que quelques centaines ou milliers de dollars, alors qu’une attaque sur un portefeuille unique contenant tous vos actifs pourrait être catastrophique.

Troisième couche : formation continue et état d’esprit. La sécurité est souvent attribuée à un manque d’éducation des utilisateurs. Pourtant, selon Chainalysis, en 2025, environ 158 000 incidents de vol de portefeuilles personnels ont été recensés, affectant au moins 80 000 personnes. La vitesse d’évolution des attaques dépasse souvent celle de l’apprentissage des utilisateurs. Il faut donc adopter une mentalité de « suspicion continue » : méfiez-vous de toute communication non sollicitée, considérez toute autorisation comme potentiellement dangereuse, et comprenez que la commodité de la cryptomonnaie constitue un vecteur d’attaque inévitable.

Le dévoilement par ZachXBT de cette plateforme de vol finira probablement par être neutralisé par le marquage de l’adresse et le gel des fonds par les CEXs. Mais une nouvelle version de l’outil, avec un modèle légèrement modifié et une nouvelle adresse, reviendra la semaine suivante. Dans cette boucle sans fin, le vrai choix de l’utilisateur n’est pas entre sécurité et commodité, mais entre « gérer activement sa sécurité » en acceptant un peu plus de tracas aujourd’hui, ou subir de grandes douleurs demain en perdant ses actifs. Construire et appliquer une stratégie de défense approfondie, c’est faire le premier choix, et garder le contrôle total de ses actifs.