Arnaque au faux site de réclamation d'airdrop: Comment les draineurs volent votre portefeuille (et comment vérifier)
— By Tony Rabbit in Tutorials

Une arnaque au faux site de réclamation d'airdrop utilise un jeton non sollicité dans votre portefeuille comme appât pour vous attirer vers une page malveillante qui vous demande de signer une approbation de drainage. Voici la chaîne d'attaque exacte, ce que la signature fait réellement et comment vérifier avant de vous connecter.
Une arnaque au faux site de réclamation d'airdrop est une technique de vol où les attaquants déposent un jeton non sollicité dans votre portefeuille, le nomment d'après une URL de "réclamation", et comptent sur votre curiosité pour vous diriger vers un site web malveillant qui vous demande de signer une transaction de drainage de portefeuille. Le jeton lui-même est un appât inoffensif. Les dommages surviennent au moment où vous vous connectez et approuvez une demande sur le site falsifié. Contrairement à un airdrop légitime, rien de réel ne vous attend jamais à réclamer. L'entonnoir entier existe pour fabriquer une seule signature frauduleuse, et comprendre cet entonnoir fait la différence entre perdre un portefeuille et ignorer un jeton indésirable.
Points Clés
- Le jeton non sollicité est un appât, pas une valeur. Le vol se produit sur le site de réclamation, pas dans votre portefeuille.
- Le site vous demande de signer une approbation ou un permis hors chaîne qui donne à un draineur le contrôle de vos actifs.
- Les vrais airdrops sont d'abord annoncés par les canaux officiels. Vous vérifiez le canal, puis vous allez sur le site, jamais l'inverse.
- La bonne approche par défaut est de ne rien faire. Ne signez jamais pour "réclamer" un jeton que vous n'attendiez pas. Cachez-le et passez à autre chose.
La chaîne d'attaque d'une arnaque au faux site de réclamation d'airdrop
L'attaque se déroule selon une séquence prévisible. Premièrement, un jeton inconnu apparaît dans votre portefeuille. Vous ne l'avez jamais acheté, n'avez jamais interagi avec le projet, et souvent n'en avez jamais entendu parler. Le nom ou le symbole du jeton est fréquemment une URL, quelque chose comme "Claim at rewards-xyz.com" ou "$2,000 voucher - visit site." C'est l'appât. Le jeton est distribué en masse à des milliers d'adresses à la fois, parfois associé à une petite attaque de dusting qui envoie de minuscules montants pour faire paraître les portefeuilles "actifs" et dignes d'être ciblés.
Deuxièmement, la curiosité fait le travail de l'attaquant. Vous voyez un solde apparent, recherchez le nom et atterrissez sur un site qui ressemble à un portail de réclamation soigné: compte à rebours, image de marque du projet, un bouton "Claim Now" lumineux. Troisièmement, vous connectez votre portefeuille. Quatrièmement, le site présente une transaction ou une demande de signature qui n'est pas ce qu'elle semble être. Approuvez-la, et un contrat de draineur balaie vos vrais jetons, stablecoins ou NFT en quelques secondes. Aucune réclamation n'arrive jamais. Le jeton dans votre portefeuille n'était qu'un panneau d'affichage pointant vers le piège.
Ce que le site malveillant vous demande réellement de signer
Le bouton de réclamation ne vous donne jamais rien. Il demande une permission, et le danger réside dans la différence entre ce à quoi la fenêtre contextuelle ressemble et ce qu'elle fait. Il existe deux mécanismes principaux, et tous deux sont discrets par conception.
Le premier est une approbation de jeton. Vous pensez que vous activez une réclamation, mais vous accordez à un contrat intelligent la permission de déplacer un jeton spécifique hors de votre portefeuille, souvent pour un montant illimité. Le second est une signature de permit hors chaîne. Cela ressemble à un message "sign-in" inoffensif sans frais de gas, c'est précisément pourquoi les gens l'approuvent sans réfléchir. En réalité, cela autorise le même type de transfert via une signature sans gas. Si vous n'êtes pas sûr de leurs différences, notre explication des permissions de jetons approve versus permit explique pourquoi celle sans gas est souvent la plus dangereuse des deux.
Pourquoi un jeton non sollicité dans votre portefeuille est un signal d'alarme
Les airdrops légitimes ne commencent presque jamais par le dépôt surprise d'un solde échangeable et en vous demandant de visiter un site web. Les distributions réelles sont annoncées à l'avance, sont généralement réclamées via le domaine vérifié du projet auquel vous avez navigué délibérément, et ne dépendent pas d'un jeton apparaissant mystérieusement en premier. Lorsque le jeton arrive avant toute annonce et que son nom est un appel à l'action, la séquence est inversée, et cette inversion est le signal.
Un jeton inattendu est fonctionnellement une publicité que n'importe qui peut placer dans votre portefeuille pour quelques centimes, car l'envoi de jetons à une adresse ne nécessite aucune permission du destinataire. Traitez-le comme vous traiteriez un dépliant glissé sous votre porte promettant un prix gratuit "si vous appelez ce numéro". La simple apparence de valeur n'est pas une preuve de valeur. Pour le schéma plus large de la façon dont ces faux airdrops sont construits et repérés, consultez notre guide d'identification des arnaques aux faux airdrops.
Comment vérifier un canal d'airdrop officiel avant de se connecter
La vérification inverse le flux de l'arnaque. Au lieu de laisser un jeton vous mener à un site, vous partez d'une source que vous avez déjà confiance et travaillez vers l'extérieur. Ne cliquez jamais sur un lien qui vous est parvenu. Trouvez le projet de manière indépendante.
- Commencez par la source officielle, pas par le jeton. Localisez le projet via un agrégateur réputé, son compte social vérifié de longue date, ou un site de documentation que vous avez atteint en tapant l'adresse vous-même.
- Vérifiez le domaine. Les sites de draineurs utilisent des URL similaires avec des mots supplémentaires, des lettres échangées ou des domaines de premier niveau étranges. Comparez l'orthographe exacte avec plusieurs références officielles avant de connecter quoi que ce soit.
- Confirmez que l'airdrop a été annoncé en premier. Une vraie réclamation est documentée avant son ouverture. Si vous ne trouvez pas de publication officielle antérieure à l'arrivée du jeton, supposez que c'est un appât.
- Lisez chaque demande de signature. Si une "réclamation" vous demande d'approuver un jeton que vous possédez déjà ou de signer un permis sans gas nommant un dépensier inconnu, rejetez-la. Notre guide sur comment éviter les arnaques crypto couvre la discipline plus large de la connexion et de la signature.
L'approche par défaut de ne rien faire: ne jamais signer pour réclamer, juste cacher le jeton
La réponse la plus sûre à un jeton non sollicité est la moins chère: rien. Vous n'avez pas besoin de le vendre, de le renvoyer ou de le "réclamer". Un jeton se trouvant dans votre portefeuille ne peut pas déplacer vos actifs par lui-même. Seule une signature que vous autorisez peut le faire, donc retenir la signature met fin à l'attaque. Cachez ou filtrez le jeton comme spam dans l'interface de votre portefeuille et continuez.
Si vous vous êtes déjà connecté à un site suspect, ne signez rien d'autre en panique et examinez vos autorisations existantes. Utilisez un outil d'approbation fiable pour révoquer toutes les approbations de jetons que vous ne reconnaissez pas, car une approbation accordée continue de fonctionner jusqu'à ce que vous la supprimiez. Si vous craignez qu'une transaction ait déjà eu lieu et que des fonds soient en danger, suivez immédiatement les étapes de confinement de notre guide de récupération de portefeuille crypto, en déplaçant tous les actifs restants vers un nouveau portefeuille avant de faire quoi que ce soit d'autre. L'arnaque au faux site de réclamation d'airdrop ne réussit que lorsque vous fournissez le seul ingrédient qu'elle ne peut pas falsifier: votre propre approbation.
Cet article est à des fins éducatives uniquement et ne constitue pas un conseil financier.