Mon portefeuille a été vidé: Mesures d'urgence pour limiter les dégâts

— By Tony Rabbit in Tutorials

Mon portefeuille a été vidé: Mesures d'urgence pour limiter les dégâts

Votre portefeuille a été vidé et vous ne savez pas quoi faire ? Voici la réponse d'urgence exacte : identifiez l'approbation malveillante, révoquez les autorisations actives sur chaque chaîne, sauvez les actifs restants avant les bots de balayage, et abandonnez la seed pour de bon.

Si votre portefeuille a été vidé et que vous vous demandez quoi faire, un portefeuille vidé signifie qu'un attaquant a utilisé une approbation de token malveillante, une signature permit, ou votre phrase de récupération (seed phrase) divulguée pour déplacer vos actifs sans votre consentement. Le temps est crucial : la différence entre tout perdre et sauver une partie de vos avoirs se mesure généralement en minutes. Ce guide décrit la réponse d'urgence dans l'ordre, des dix premières minutes à la décision de ce qui est réellement récupérable. Agissez vite, mais suivez la séquence, car un mauvais mouvement, comme l'envoi de gas à un portefeuille empoisonné, peut livrer le reste de vos fonds directement à un bot.

Points Clés

  • Révoquer une seule approbation ne suffit pas si une signature permit ou une approbation sur une deuxième chaîne est toujours active.
  • Déplacez les actifs restants vers un tout nouveau portefeuille avant que les bots de balayage ne réagissent au gas entrant.
  • Une phrase de récupération (seed phrase) compromise est morte pour toujours ; ne la réutilisez jamais sur aucune chaîne ou compte.
  • Financer un portefeuille vidé avec du gas est souvent intercepté, alors ne le rechargez jamais.

Les 10 premières minutes : identifiez la cause du vidage

Avant de cliquer sur quoi que ce soit, trouvez la transaction qui a vidé votre portefeuille. Ouvrez un explorateur de blocs pour la chaîne affectée, collez votre adresse et examinez les transferts sortants les plus récents. Vous essayez de comprendre le mécanisme, car le mécanisme détermine ce qui est encore dangereux. Les causes courantes sont une approbation de token (approve) que vous avez signée pour un faux site, une signature Permit ou Permit2 sans gas qui ne nécessite aucune transaction on-chain pour autoriser un transfert, ou un compromis complet de la seed où l'attaquant a simplement vos clés.

Vérifiez si la sortie était un balayage unique ou un flux de transferts de tokens. Si seuls les tokens ERC-20 sont partis mais que votre monnaie native reste, vous êtes probablement confronté à un exploit d'approbation ou de permit plutôt qu'à une seed volée. Si tout, y compris le solde natif, a disparu, supposez que la seed elle-même est compromise. Notez l'adresse du drainer et les hachages exacts des transactions maintenant, car vous en aurez besoin plus tard pour la révocation et le traçage. Pour une liste de contrôle plus large des actions immédiates, notre guide des étapes immédiates de récupération de portefeuille crypto est un complément utile à cette page.

Révoquez les autorisations restantes sur chaque chaîne

Les drainers utilisent rarement une seule approbation. Ils détiennent souvent plusieurs autorisations actives et, de plus en plus, une signature permit hors chaîne qui peut autoriser un transfert dès qu'une nouvelle valeur arrive. Connectez un outil de révocation, ou mieux, un portefeuille que vous n'avez PAS compromis, et examinez chaque autorisation active. Révoquez les contrats de dépense malveillants, et révoquez toute autorisation définie au montant maximum (illimité), même celles que vous ne reconnaissez pas.

L'erreur critique est de s'arrêter à une seule chaîne. La même adresse existe sur Ethereum, Arbitrum, Base, Polygon, BNB Chain, et plus encore, et un attaquant qui vous a hameçonné une fois peut avoir placé des approbations sur plusieurs d'entre elles. Parcourez chaque réseau où vous avez détenu des actifs. Sachez que la révocation d'un approve on-chain n'annule PAS un permit signé ; un permit vit hors chaîne jusqu'à ce qu'il soit utilisé, donc la seule vraie défense est de retirer le solde sous-jacent que le permit pourrait toucher. Notre guide étape par étape sur comment révoquer les approbations de tokens couvre les mécanismes exacts par chaîne.

Mécanisme de vidageLa révocation de l'approbation l'arrête-t-elle ?Ce qui vous protège réellement
Approbation de token on-chainOui, pour ce token et ce dépensierRévoquez sur chaque chaîne que vous avez utilisée
Signature Permit / Permit2Non, la signature est hors chaîneDéplacez les soldes pour qu'il n'y ait rien à prendre
Phrase de récupération (seed phrase) voléeNon, l'attaquant détient les clésAbandonnez entièrement le portefeuille

Sauvez les actifs non vidés vers un nouveau portefeuille

Si quelque chose a survécu, retirez-le avant que les bots de balayage automatisés ne réagissent. Tout d'abord, créez un tout nouveau portefeuille avec une toute nouvelle phrase de récupération (seed phrase) sur un appareil propre. Ne le dérivez pas de la seed compromise et ne réutilisez pas une ancienne sauvegarde. Envoyez les actifs restants, les NFT, les positions stakées et toute liquidité à cette nouvelle adresse.

Le piège ici est le gas. Un portefeuille vidé peut ne plus avoir de monnaie native pour payer les frais de transaction, et votre instinct est d'envoyer un peu de gas. Sur un portefeuille dont la seed est compromise, ce gas entrant est presque toujours balayé en quelques secondes par un bot surveillant l'adresse, de sorte que vous financez l'attaquant au lieu de vous-même. Si la seed est compromise, n'envoyez pas de gas du tout ; le portefeuille est une perte. Si seule une approbation a été abusée et que vos clés privées sont toujours secrètes, vous pouvez financer le gas, mais transférez d'abord les actifs de la plus haute valeur et agissez en une seule session ininterrompue.

Pourquoi une seed compromise doit être abandonnée définitivement

Une phrase de récupération (seed phrase) est la clé maîtresse de chaque compte et chaîne qu'elle peut dériver. Une fois qu'elle a touché un site malveillant, une fausse application de portefeuille ou une invite de phishing qui l'a capturée, vous devez la considérer comme une connaissance publique pour toujours. Il n'y a pas de rotation, de nettoyage ou de confiance partielle dans une seed divulguée. Les attaquants programment leurs bots pour surveiller indéfiniment les adresses connues comme compromises, de sorte que même des mois plus tard, toute valeur qui apparaît peut être vidée instantanément.

C'est pourquoi déplacer des fonds au sein du même portefeuille, ou vers un autre compte dérivé de la même seed, ne résout rien : l'attaquant dérive également ces comptes. La seule voie sûre est une nouvelle seed générée hors ligne sur un appareil propre, idéalement un portefeuille matériel. Si vous voulez comprendre comment ces flux de capture fonctionnent en premier lieu, consultez notre explication sur ce qu'est un wallet drainer et l'analyse plus approfondie des attaques de wallet drainer et comment les reconnaître.

Traçage de l'adresse du drainer pour signalement

Vous avez documenté l'adresse du drainer à l'étape un. Suivez-la maintenant. Collez l'adresse dans un explorateur de blocs et observez où les fonds volés circulent. Les drainers acheminent généralement les actifs via un portefeuille de consolidation, puis vers un mixer ou une adresse de dépôt d'échange centralisé. Si les fonds atteignent un échange, cette adresse de dépôt est la piste la plus solide, car une plateforme réglementée peut la geler si les forces de l'ordre agissent rapidement.

Enregistrez la chaîne, l'adresse du drainer, les sauts de consolidation, chaque hachage de transaction, les horodatages et la valeur approximative en USD perdue. Signalez-le au canal d'abus de l'échange concerné, à votre autorité locale de cybercriminalité et aux bases de données de signalement de wallet drainer qui signalent les adresses malveillantes. Les attentes réalistes sont importantes : le traçage ramène rarement vos fonds, mais il constitue une piste de preuves, aide à geler les dépôts d'échange et protège la prochaine victime en faisant inscrire l'adresse sur liste noire.

Ce qui est et n'est pas récupérable

Soyez honnête avec vous-même quant aux résultats. Les transactions on-chain sont définitives, donc les actifs déjà déplacés par l'attaquant sont perdus à moins qu'ils ne se trouvent sur un compte d'échange qui est gelé. Ce que vous pouvez encore sauver est tout ce que le drainer n'a PAS encore touché, c'est précisément pourquoi la rapidité de l'étape de sauvetage est si importante. Les assurances, les remboursements ou les "services de récupération" promettant d'annuler un transfert de blockchain sont presque toujours des arnaques qui vous vident une deuxième fois, alors ne payez jamais de frais initiaux pour récupérer des cryptos volées.

La leçon durable est la prévention. Après l'urgence, renforcez votre configuration avec un portefeuille matériel, un portefeuille "burner" dédié aux approbations risquées et une hygiène régulière des autorisations. Notre guide sur comment protéger les cryptos des hackers expose les défenses à long terme afin qu'une seule mauvaise signature ne vide plus jamais votre portefeuille principal.

Cet article est uniquement à des fins éducatives et ne constitue pas un conseil financier.