Ce qu’un piratage de 440 000 $ révèle sur la menace croissante des « arnaques de permis » sur Ethereum

En bref

• Un détenteur d’USDC a perdu plus de 440 000 $ après avoir signé une transaction “permit” malveillante.
• Les attaques de phishing via “permit” ont représenté certaines des plus grosses pertes individuelles en crypto du mois de novembre.
• Les experts avertissent que les escrocs comptent sur l’erreur humaine et que la récupération est très improbable.

Pôle Art, Mode et Divertissement de Decrypt.

Découvrez SCENE

Un hacker est reparti avec plus de 440 000 $ en USDC après qu’un propriétaire de portefeuille a, sans le savoir, signé une signature “permit” malveillante, selon un tweet publié lundi par Scam Sniffer.

Ce vol survient dans un contexte de forte hausse des pertes dues au phishing. Environ 7,77 millions de dollars ont été siphonnés à plus de 6 000 victimes en novembre, selon le rapport mensuel de Scam Sniffer, soit une hausse de 137 % du total des pertes par rapport à octobre, même si le nombre de victimes a chuté de 42 %.

🚨 Quelqu’un a perdu 440 358 $ en $USDC après avoir signé une signature “permit” malveillante. pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 décembre 2025

“La chasse aux baleines s’est intensifiée avec un record à 1,22 million $ (permit signature). Malgré moins d’attaques, les pertes individuelles ont considérablement augmenté”, a noté l’entreprise.

Qu’est-ce qu’une arnaque “permit” ?

Les arnaques basées sur “permit” consistent à tromper les utilisateurs pour qu’ils signent une transaction qui semble légitime mais qui donne en réalité à un attaquant le droit de dépenser leurs tokens. Certaines dapps malveillantes peuvent masquer des champs, usurper des noms de contrats ou présenter la demande de signature comme une action courante.

Si l’utilisateur ne vérifie pas attentivement les détails, signer la demande accorde effectivement à l’attaquant la permission d’accéder à tous les tokens ERC-20 de l’utilisateur. Une fois l’accès obtenu, les escrocs vident généralement les fonds immédiatement.

La méthode exploite la fonction “permit” d’Ethereum, qui vise à faciliter les transferts de tokens en permettant aux utilisateurs de déléguer des droits de dépense à des applications de confiance. Cette commodité devient une vulnérabilité lorsque ces droits sont accordés à un attaquant.

“Ce qui est particulièrement délicat avec ce type d’attaque, c’est que les attaquants peuvent soit effectuer le permit et le transfert de tokens en une seule transaction (une approche smash and grab), soit s’octroyer un accès via le permit puis rester en sommeil en attendant de transférer tout fonds ajouté plus tard (tant qu’ils fixent une date limite d’accès suffisamment éloignée dans les métadonnées de la fonction permit)”, a expliqué Tara Annison, responsable produit chez Twinstake, à Decrypt.

“Le succès de ce type d’arnaque repose sur le fait que vous signez quelque chose sans vraiment savoir ce que cela va faire”, a-t-elle ajouté, précisant que “tout repose sur la vulnérabilité humaine et l’exploitation de l’empressement des gens”.

Annison a ajouté que cet incident est loin d’être isolé. “Il existe de nombreux exemples de phishing à forte valeur ou volume, conçus pour piéger les utilisateurs et leur faire signer quelque chose qu’ils ne comprennent pas totalement. Souvent sous prétexte d’airdrops gratuits, de fausses pages de projets pour connecter votre portefeuille ou d’alertes de sécurité frauduleuses pour vérifier si vous avez été impacté”, a-t-elle ajouté.

Comment se protéger

Les fournisseurs de portefeuilles ont déployé davantage de fonctionnalités de protection. MetaMask, par exemple, avertit les utilisateurs si un site paraît suspect et tente de traduire les données de transaction en intentions lisibles. D’autres portefeuilles mettent également en avant les actions à haut risque. Mais les escrocs continuent de s’adapter.

Harry Donnelly, fondateur et CEO de Circuit, a déclaré à Decrypt que les attaques de type permit sont “assez répandues” et a incité les utilisateurs à vérifier les adresses d’expéditeur et les détails des contrats.

“C’est la manière la plus claire de savoir : si c’est un protocole qui ne correspond pas à l’endroit où vous essayez d’envoyer les fonds, c’est probablement quelqu’un qui tente de les voler”, a-t-il dit. “Vous pouvez vérifier le montant, car ils essaieront souvent d’obtenir des approbations illimitées, par exemple.”

Annison a souligné que la vigilance reste la meilleure défense des utilisateurs. “Le meilleur moyen de se protéger contre une arnaque permit, approveAll ou transferFrom est de s’assurer que vous savez ce que vous signez. Quelles actions seront réellement effectuées dans la transaction ? Quelles fonctions sont utilisées ? Est-ce que cela correspond à ce que vous pensiez signer ?”

“De nombreux portefeuilles et dapps ont amélioré leurs interfaces pour s’assurer que vous ne signez pas à l’aveugle et que vous voyez le résultat, ainsi que des alertes pour les fonctions à haut risque. Mais il est important que les utilisateurs vérifient activement ce qu’ils signent et ne se contentent pas de connecter leur portefeuille et de cliquer sur signer”, a-t-elle ajouté.

Une fois volés, il est peu probable de récupérer les fonds. Martin Derka, cofondateur et responsable technique chez Zircuit Finance, a déclaré à Decrypt que les chances de récupérer les fonds étaient “pratiquement nulles”.

“Dans les attaques de phishing, vous avez affaire à quelqu’un dont le seul but est de prendre vos fonds. Il n’y a pas de négociation, pas d’interlocuteur, et souvent aucune idée de qui est la contrepartie”, a-t-il expliqué.

“Ces attaquants jouent sur le nombre”, a ajouté Derka, précisant que “une fois l’argent parti, il est parti. La récupération est essentiellement impossible.”