Le message venait d'un compte que le trader suivait depuis des années. Un prétendu airdrop, 24 heures pour réclamer, lien direct vers la page de claim. Le site faisait sérieux, ne demandait qu'une signature, ni mot de passe, ni seed, ni approval, juste un « Sign » tout simple. Deux secondes plus tard, l'intégralité des NFTs et un solde de tokens à six chiffres étaient partis sur une adresse inconnue. La signature elle-même servait d'autorisation.
Les wallet drainers sont devenus l'arnaque dominante du Web3. Plus besoin de voler des identifiants à l'ancienne, ils se contentent de détourner les mécanismes sur lesquels les DApps reposent déjà. Une transaction assez complexe, signée dans MetaMask ou Rabby, déplace chaque token, chaque NFT et chaque position DeFi vers le smart contract de l'attaquant. Le système fait exactement ce pour quoi il a été conçu.
Ce que tu signes vraiment
Quand un site Web3 te demande de signer, tu valides rarement un simple transfert. Tu valides le plus souvent une approval, autrement dit tu donnes à un smart contract le droit d'agir à ta place. Une approval ERC-20 classique dit en gros « le contract X peut déplacer jusqu'à Y tokens Z depuis mon wallet ». La plupart des drainers réclament une approval infinie, donc « peut déplacer tous mes tokens Z ».
Côté NFT, il existe setApprovalForAll, une seule signature qui donne à un contract le droit de déplacer chaque NFT d'une collection. Avec Seaport ou Permit2, des ordres complexes débloquent plusieurs tokens d'un coup en une seule signature. Et avec les messages EIP-712, tu peux signer des autorisations très denses dont la version lisible par un humain ne laisse presque rien deviner de ce qui se passe vraiment.
Au moment de signer, ton wallet ne montre souvent qu'un vague « This will interact with a contract ». L'effet réel, à savoir quels tokens partent, quelles collections sont touchées, quelles sommes peuvent être ponctionnées dans les 30 prochains jours, n'apparaît tout simplement pas, ou alors en hex que personne ne lit.
Les wallet drainers en mode service
Plus personne ne code son drainer dans son coin. On loue des kits clé en main : Angel Drainer, Inferno, Pink, Rainbow. L'acheteur récupère le code du smart contract, un frontend configurable, un bot Telegram pour les alertes de statut, et un partage des fonds volés, en général 20 % pour l'opérateur du kit et 80 % pour l'acheteur.
Les kits couvrent à peu près n'importe quel réseau L1 ou L2 : Ethereum, Solana, Base, Polygon, BNB, Arbitrum. Le faux site détecte automatiquement le wallet qui se connecte et propose la fonction de drain adaptée à chaque chain. Les victimes n'ont même pas besoin de savoir sur quelle chain elles se trouvent.
En 2024, selon Scam Sniffer et Chainalysis, les utilisateurs ont perdu plus de 500 millions de dollars à cause de ces drainer kits, sur des centaines de milliers de victimes. En 2025, la tendance a continué de grimper, malgré les progrès des principaux wallets.
pertes documentées liées aux drainers en 2024
victimes individuelles en une année
part des fonds irrécupérable après signature
Pourquoi le blind signing est la vraie cause
Pour les transactions complexes, beaucoup de wallets se contentent d'afficher un hash et un message générique du genre « Signing this message could let the app do things on your behalf ». C'est ce qu'on appelle le blind signing. Cela existe parce qu'afficher les appels de smart contract en clair côté wallet est coûteux, et que beaucoup d'actions DApp ne se traduisent pas correctement en langage humain.
Les drainers en profitent systématiquement. L'attaque enveloppe l'opération qui autorise tout dans un message d'apparence dense, souvent un Permit2 ou un Seaport, qui ne raconte rien d'utile au lecteur humain mais transfère techniquement la totalité du budget en tokens. Les hardware wallets comme Ledger ou Trezor ont compris le problème et affichent désormais un parsing structuré pour les interfaces de contract les plus courantes, mais uniquement celles qu'ils connaissent.
La règle, c'est de ne jamais accepter le blind signing. Si ton wallet n'arrive pas à t'expliquer ce qui se passe, tu annules, même quand le site a l'air sérieux.
Les signatures qui doivent te faire tiquer
setApprovalForAll doit te mettre la puce à l'oreille dès que le site n'a pas été vérifié en profondeur. Le seul cas légitime, c'est un premier listing sur une marketplace, et même là les implémentations modernes devraient déjà être passées à Permit2.
Les approvals illimitées sur des tokens ERC-20 font partie du quotidien en DeFi, mais sur un site inconnu c'est un non catégorique. Si le montant affiché est 2^256 ou un nombre étrangement rond, tu as une signature de drainer sous les yeux.
Les signatures Permit2 autorisent un spender à déplacer des tokens pendant une heure à plusieurs mois, sans aucune transaction on-chain. Quand un site inconnu te demande un Permit2, tu signes un ordre de vol par avance.
Les offres Seaport qui empilent plusieurs items et des adresses destinataires que tu ne reconnais pas sont particulièrement vicieuses, parce qu'elles échangent des NFTs un par un contre des montants en tokens et que le tout ressemble à une vente parfaitement banale.
Un browser neuf à chaque mint
Le changement le plus efficace au quotidien, c'est d'arrêter d'interagir avec le Web3 depuis le browser où ton wallet principal est connecté. Une page de mint, un claim d'airdrop, une nouvelle DApp DeFi, tu les ouvres dans un browser isolé. Tu y connectes un wallet qui contient juste ce qu'il faut pour cette interaction et rien de plus. Un drainer vide ce wallet-là, repart avec les miettes, et n'approche jamais ta position principale.
La communauté appelle ça un « burner wallet », et c'est devenu la norme depuis des années chez ceux qui mintent beaucoup. L'étape que tout le monde oublie : le browser aussi mérite d'être jetable. Des extensions comme MetaMask gardent du session storage et des autorisations en mémoire, alors qu'un browser isolé termine la session à vide et reste protégé contre les replays de signature plus tard.
Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?
Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.
Ouvrir mon bureau virtuelRien à installer • Tous les appareils
