Les pertes dues au phishing sur les réseaux de cryptomonnaies ont diminué de 83 % ! La nouvelle méthode d'attaque EIP-7702 reste active

Les pertes dues au phishing sur les réseaux de cryptomonnaies en 2025 ont chuté à 83,85 millions de dollars, avec une baisse de 83 %, et le nombre de victimes a diminué à 106 000. Scam Sniffer avertit que l’écosystème reste actif, les attaquants se tournant vers des stratégies à haute fréquence et à faibles montants, avec une perte moyenne par utilisateur de seulement 790 dollars. Une nouvelle attaque EIP-7702 a permis de dérober 2,54 millions de dollars en une seule fois.

Le troisième trimestre du marché haussier devient une zone de forte activité de phishing

La baisse des pertes n’indique pas une diminution des activités malveillantes, mais est étroitement liée au cycle du marché. La plateforme de sécurité Web3 Scam Sniffer analyse les détections de phishing basées sur des caractéristiques sur la chaîne de l’Ethereum Virtual Machine (EVM). Les pertes augmentent lors des périodes d’activité intense sur la chaîne, et diminuent lorsque le marché se refroidit. Le troisième trimestre 2025 coïncide avec la plus forte hausse de l’ETH cette année, avec des pertes en phishing atteignant 31 millions de dollars, dont près de 29 % se concentrent entre août et septembre.

Le rapport indique : « Lorsque le marché est actif, l’activité globale des utilisateurs augmente, et la proportion d’utilisateurs victimes aussi — la probabilité de phishing est positivement corrélée à l’activité des utilisateurs. » Les pertes mensuelles varient de 2,04 millions de dollars en décembre, la période la plus calme, à 12,17 millions en août, la période la plus active, avec un écart de 6 fois. Cette corrélation révèle le timing précis des attaques, qui se produisent lorsque les utilisateurs sont les plus actifs et dispersés.

Une raison plus profonde réside dans le changement de comportement des utilisateurs durant le marché haussier. Lorsque les prix des cryptomonnaies augmentent, la peur de manquer (FOMO) pousse les utilisateurs à trader fréquemment de nouveaux tokens, participer à des airdrops et à l’extraction de liquidités, activités nécessitant des signatures d’autorisation fréquentes, créant ainsi davantage d’opportunités pour le phishing. Les attaquants exploitent la baisse de jugement des utilisateurs en état d’excitation, en falsifiant des sites de projets populaires ou en imitant des canaux officiels Discord pour inciter à signer.

Le pic du troisième trimestre est également lié à la mise à niveau Pectra d’Ethereum. Le lancement de nouvelles fonctionnalités du protocole s’accompagne souvent d’un manque d’éducation des utilisateurs, permettant aux attaquants de développer rapidement de nouvelles méthodes d’attaque durant cette fenêtre. Ce mode de « l’innovation technique apportant une fenêtre de sécurité » s’est répété dans l’histoire des cryptomonnaies, du DeFi summer à la hype NFT, chaque avancée technologique étant suivie par l’émergence de nouvelles escroqueries.

EIP-7702 ouvre la boîte de Pandore

L’année 2025 marque l’émergence de nouvelles voies d’attaque. Des signatures malveillantes basées sur EIP-7702 sont apparues peu après la mise à niveau d’Ethereum Pectra. Les attaquants utilisent le mécanisme d’abstraction de compte pour regrouper plusieurs opérations malveillantes dans une seule signature utilisateur. Deux incidents majeurs en août liés à EIP-7702 ont causé 2,54 millions de dollars de pertes, illustrant la rapidité avec laquelle les attaquants s’adaptent aux changements au niveau du protocole.

EIP-7702 était initialement conçu pour améliorer l’expérience utilisateur, permettant à un compte externe (EOA) de se convertir temporairement en compte intelligent, facilitant les transactions en masse et la récupération sociale. Mais cette flexibilité a été détournée par les attaquants. Ils falsifient des requêtes d’autorisation apparemment normales, tout en dissimulant plusieurs opérations malveillantes dans une seule signature, telles que le transfert de tokens autorisé, la modification des permissions du compte ou la mise en place d’un agent malveillant.

Plus dangereux encore, la dissimulation dans une attaque EIP-7702 est très efficace. La plupart des attaques de phishing classiques impliquent des autorisations de tokens explicites, que les utilisateurs expérimentés peuvent repérer. Mais une attaque EIP-7702 peut se faire passer pour une mise à niveau légitime de compte ou une autorisation de transaction en masse, même pour un utilisateur technique, ce qui rend la détection difficile. L’interface des portefeuilles ne montre souvent pas clairement ces opérations complexes, rendant la compréhension de la véritable nature de la signature difficile pour l’utilisateur.

Les pertes de 2,54 millions de dollars, bien que modérées, ne sont qu’un début pour cette nouvelle technique. Scam Sniffer avertit que, avec l’intégration croissante de la fonctionnalité EIP-7702 dans les portefeuilles et DApps, l’ampleur et la fréquence de ces attaques pourraient considérablement augmenter. Les attaquants apprennent et optimisent cette méthode, et des variantes plus sophistiquées pourraient apparaître à l’avenir.

De l’attaque solitaire à la pêche en réseau : une stratégie en mutation

Le changement de stratégie dans le phishing de cryptomonnaies repose sur une logique économique profonde. Les attaques massives rapportent beaucoup en une seule fois, mais comportent aussi un risque élevé. Les victimes sont plus susceptibles de porter plainte, d’engager des sociétés d’analyse blockchain pour suivre les fonds, ce qui expose davantage les attaquants à la loi. En revanche, les attaques à faible montant et à haute fréquence rapportent moins par incident, mais les victimes ont tendance à se dire qu’elles ont été simplement malchanceuses, et les autorités disposent de moins de ressources pour enquêter sur chaque petit cas.

De plus, la scalabilité des petites attaques est plus grande. Les attaquants peuvent utiliser des outils d’automatisation pour lancer simultanément des centaines de sites de phishing, générer des emails et messages sociaux en utilisant l’IA pour paraître crédibles, et traiter en masse les victimes. Ce mode de « l’industrie de la fraude » réduit le coût de chaque attaque et augmente l’efficacité globale. Le rapport conclut : « L’écosystème de la fuite reste actif — à mesure que les anciens fuyards disparaissent, de nouveaux apparaissent pour combler le vide. »

Trois grandes tendances dans le phishing en 2025

Réduction drastique du nombre de grands cas : en 2025, seulement 11 incidents ont causé des pertes supérieures à 1 million de dollars, contre 30 en 2024. La plus grosse attaque de phishing a eu lieu en septembre, avec 6,5 millions de dollars impliqués, utilisant une signature Permit malveillante.

Chute spectaculaire de la perte moyenne par victime : la perte moyenne par victime est tombée à 790 dollars, en forte baisse par rapport à l’année précédente. Cela montre que les attaquants ont changé de cible, passant de la chasse aux « gros » à une stratégie de masse visant les petits investisseurs.

Les autorisations Permit restent majoritaires : dans les incidents dépassant 1 million de dollars, les attaques basées sur Permit et Permit2 représentent 38 % des pertes totales, prouvant que cette méthode reste efficace et largement utilisée.

Toxification d’adresses et vulnérabilités des multi-signatures : nouveaux points d’attention

En décembre 2025, les attaques de hackers et vulnérabilités de cybersécurité liées aux cryptomonnaies ont causé des pertes d’environ 760 millions de dollars, en baisse de 60 % par rapport à novembre, où les pertes s’élevaient à 194 millions de dollars. PeckShield a recensé 26 incidents majeurs ce mois-là, montrant que, malgré la persistance des attaques, les pertes globales ont ralenti.

Le plus gros incident concerne une escroquerie par toxification d’adresses à hauteur de 500 millions de dollars, où les attaquants ont utilisé des adresses similaires pour inciter les victimes à transférer leurs fonds vers d’autres comptes. Ces attaques exploitent la limite de la vision humaine : la majorité des adresses de portefeuille affichent seulement les premiers et derniers caractères, le reste étant omis. Les attaquants génèrent des adresses proches des adresses cibles, en envoyant de petites quantités de tokens pour créer des enregistrements de transactions, ce qui peut induire en erreur les victimes lors de la copie d’adresses.

Dans un autre cas, la perte de 273 millions de dollars résulte d’une fuite de clés privées liées à des portefeuilles multi-signatures. Ces portefeuilles sont censés être plus sûrs, nécessitant plusieurs signatures pour valider une transaction. Mais si la gestion des clés est mauvaise — stockage dans le cloud, partage via des canaux non sécurisés, ou fuite par un employé — la sécurité est compromise. Ce cas rappelle que la sécurité technique dépend finalement des opérations humaines.

Malgré la baisse de 83 % des pertes dues au phishing, cela ne signifie pas la fin de la guerre. Scam Sniffer conclut clairement : l’écosystème reste actif, les attaquants ont simplement changé de tactique. Avec l’arrivée d’un nouveau marché haussier, les pertes pourraient à nouveau augmenter.