Tous les articles

À quel point l’arnaque à l’approbation est-elle dangereuse et pourquoi tant de gens s’y laissent-ils prendre ?

blockchainJanuary 23, 2026·#Blockchain

L'arnaque d'approbation ne nécessite pas de phrase de départ mais peut toujours vider votre portefeuille. Tan Phat Digital analyse en profondeur les mécanismes techniques, la psychologie comportementale et les méthodes de prévention les plus efficaces pour les investisseurs.

À quel point l’arnaque à l’approbation est-elle dangereuse et pourquoi tant de gens s’y laissent-ils prendre ?

Le passage de l'Internet de l'information (Web2) à l'Internet des valeurs (Web3) a révolutionné la manière dont les individus possèdent et transfèrent des actifs. Cependant, la nature décentralisée et irréversible de la technologie blockchain en fait également un terrain fertile pour des formes sophistiquées de cybercriminalité. Selon l'analyse de l'équipe Tan Phat Digital, « Approval Scam » est devenue l'une des méthodes d'attaque les plus dangereuses, ciblant directement le mécanisme de fonctionnement de base des contrats intelligents. Contrairement aux attaques traditionnelles basées sur l'appropriation de clés privées, Approval Scam exploite le consensus des utilisateurs via des interfaces de programmation d'application (API) standardisées de jetons, rendant la propriété fragile après une seule confirmation.

Fondement technique du mécanisme d'approbation dans Blockchain

Pour comprendre la nature de Approval Scam, il est nécessaire d'analyser les normes actuelles de jetons qui dominent l'écosystème Ethereum et les chaînes compatibles EVM (Ethereum Virtual Machine). Ces normes réglementent la manière dont les actifs numériques interagissent entre eux et avec les applications décentralisées (dApps).

Norme ERC-20 et fonction d'approbation

ERC-20 est la norme la plus populaire pour les jetons fongibles (jetons fongibles). L'une des six fonctions obligatoires de cette norme est approuve(adresse dépensier, montant uint256). Cette fonction permet au propriétaire du portefeuille de déléguer à une autre adresse (généralement un contrat intelligent dApp) le droit de retirer une certaine quantité de tokens de son portefeuille.

Ce mécanisme est appelé « Allocation ». Lorsque les utilisateurs effectuent une transaction sur des échanges décentralisés (DEX) comme Uniswap, ils doivent autoriser le contrat d'Uniswap à retirer les jetons de leur portefeuille pour effectuer l'échange. Cela crée un maximum de commodité, mais introduit également une faille de sécurité : si le contrat approuvé est malveillant, il peut retirer les fonds de l'utilisateur à tout moment sans autre intervention du titulaire du portefeuille.

Différences entre ERC-721 et ERC-1155 dans le mécanisme d'approbation

Alors que l'ERC-20 traite des jetons fongibles, l'ERC-721 et l'ERC-1155 régissent les jetons non fongibles. (NFT) et jetons polyvalents. Voici les détails de leur mécanisme d'approbation :

  • Norme ERC-721 (Single NFT) : Utilisez la fonction d'approbation typique setApprovalForAll(operator, approved). Cette commande affecte tous les NFT appartenant à cette collection dans le portefeuille de l'utilisateur.

  • Norme ERC-1155 (Hybrid FT & NFT) : Utilisez également la fonction setApprovalForAll(operator, approved). Cependant, le champ d'influence est plus large, incluant tous les types de jetons (à la fois les NFT et les jetons ordinaires) couverts par ce contrat.

Pour les NFT, les fraudeurs incitent souvent les victimes à signer la fonction setApprovalForAll. Une fois signé, l'attaquant a le droit de « supprimer » tous les objets de valeur de la collection sans avoir à les approuver chacun. C'est la base des vols de NFT à grande échelle sur des plateformes comme OpenSea.

Mécanisme de variante : permis EIP-2612 et permis2

L'essor du Web3 a conduit à la nécessité de réduire les coûts du gaz et d'optimiser l'expérience utilisateur, donnant ainsi naissance à des méthodes d'approbation en chaîne (sans gaz).

EIP-2612 : signature hors chaîne. Revolution

EIP-2612 introduit la fonction permit(), permettant aux utilisateurs d'approuver les limites de dépenses avec une signature numérique hors chaîne au lieu d'une véritable transaction blockchain. L'utilisateur signe un message structuré qui comprend l'adresse du propriétaire, l'adresse du dépensier, la quantité de jetons, le numéro occasionnel et la période de validité. Il suffit à l’escroc de collecter cette signature et de la soumettre lui-même à la blockchain pour activer le droit de retrait des fonds. Ceci est extrêmement dangereux car les utilisateurs croient souvent à tort qu'ils se contentent de « se connecter » ou de « s'authentifier » sur un site Web.

Permit2 : le centre de gestion des approbations d'Uniswap

Permit2 est un protocole qui unifie les approbations pour tous les jetons ERC-20. Les utilisateurs ne doivent approuver le contrat Permit2 qu’une seule fois. Bien qu’il dispose d’une fonction d’expiration automatique, il crée une concentration de risques. Si un fraudeur capture un message Permit2, il peut retirer tous les jetons que l'utilisateur a précédemment approuvés pour Permit2.

En savoir plus : Smart Qu'est-ce que l'audit de contrat ? Pourquoi les projets Blockchain ont-ils besoin d'audits de sécurité

Analyse du danger d'arnaque à l'approbation

Perdre de l'argent sans clé secrète

Dans les hacks traditionnels, les utilisateurs perdent leur phrase de départ ou leur clé privée. Avec Approval Scam, les portefeuilles des utilisateurs restent théoriquement sécurisés, mais les actifs sont toujours « légalement » supprimés grâce à des ordonnances d'approbation signées. Les voleurs n'ont pas besoin d'interférer avec le code source du portefeuille ; ils n'ont besoin que du mauvais consentement de la victime.

Dispersez-vous silencieusement et attendez l'occasion

Une ordonnance d'approbation a généralement une valeur illimitée (approbation illimitée). L’escroc ne retire pas nécessairement l’argent immédiatement. Ils peuvent attendre que la victime ajoute plus d'argent au portefeuille ou attendre que la valeur du jeton augmente avant d'exécuter l'ordre d'affectation. Ce « silence » rend difficile la détection par les victimes jusqu'à ce que l'actif ait complètement disparu.

Irréversible et difficile à retracer

Chaque transaction blockchain, une fois confirmée, ne peut être annulée. Au moment où la victime se rend compte qu'elle a autorisé un contrat malveillant, les actifs ont souvent été transférés via des mélangeurs ou des ponts entre chaînes pour effacer les traces.

Pourquoi tant d'utilisateurs tombent dans le piège : psychologie et techniques de manipulation

Déguisements sophistiqués via le phishing et les airdrops

Les fraudeurs attirent souvent leurs victimes vers de faux sites Web avec L'interface est identique à celle des plateformes réputées. Le bouton « Réclamer Airdrop » est essentiellement une demande Approuver ou Permis pour le portefeuille de l'attaquant.

Effet FOMO et fausse urgence

La peur de manquer quelque chose (FOMO) amène les utilisateurs à ignorer les contrôles de sécurité. Les fraudeurs créent des notifications urgentes telles que « Il ne reste que 5 minutes pour recevoir des récompenses » pour forcer les victimes à cliquer sur « Confirmer » sur le portefeuille sans lire attentivement le contenu.

Limitations de l'interface du portefeuille électronique

De nombreux portefeuilles électroniques affichent souvent la demande d'approbation sous la forme d'une chaîne de caractères déroutante, ce qui amène les utilisateurs (en particulier les nouveaux) à considérer la signature de la confirmation comme une procédure technique normale, comme l'acceptation des conditions d'utilisation. Applications Web traditionnelles.

État actuel de la fraude aux actifs numériques au Vietnam

Le Vietnam est actuellement l'un des plus grands marchés d'actifs cryptographiques de la région Asie-Pacifique, classé troisième après l'Inde et la Corée du Sud, avec une valeur de transaction estimée entre 220 et 230 milliards de dollars pour la période 2024-2025. Cependant, cela comporte un énorme risque de fraude. Rien qu’en 2024, les pertes totales dues à la fraude en ligne au Vietnam sont estimées à 18 900 milliards de VND.  

Cas typiques et méthodes de fonctionnement

Une affaire choquante a été classée fin novembre 2025 à Da Nang liée au projet « fantôme » TOSI. Ce réseau s'est approprié environ 90 milliards de VND auprès de plus de 8 000 victimes dans tout le pays. Vous trouverez ci-dessous les caractéristiques d'identification : 

  • Modèle de transformation à plusieurs niveaux : Des bonus inhabituellement élevés de 3 % à 22 %/mois pour attirer de nouveaux participants.  

  • Usurpation d'identité internationale : étiqueter la technologie japonaise ou se préparer à être coté sur des bourses majeures comme Binance pour créer une fausse confiance.  

  • Intervention technique sophistiquée : Programmation de la fonction permettant d'attacher un code de portefeuille électronique personnel au système, ce qui fait que l'argent des investisseurs va directement dans la poche du fraudeur au lieu du portefeuille commun du projet.  

  • Effacer les traces professionnelles : Lorsque le nombre de nouveaux utilisateurs diminue, ils ferment le site pour des raisons de "maintenance" ou "attaque de hacker" puis créent un nouveau projet pour continuer le cycle.  

Nouveau cadre juridique en 2026

À compter du 1er janvier 2026, la loi sur l'industrie des technologies numériques entre officiellement en vigueur, intégrant pour la première fois les actifs numériques dans le champ d'application de la loi vietnamienne. En particulier, à partir du 20 janvier 2026, le Vietnam commencera à tester la réception des demandes de licence pour les organisations de marché négociant des actifs cryptographiques conformément à la résolution n° 05/2025/NQ-CP. Les entreprises qui souhaitent participer doivent respecter :

  • Un capital social minimum de 10 000 milliards de VND apporté en dong vietnamien.

  • Un minimum de 65 % du capital social apporté par des organisations, y compris la participation de banques commerciales ou de sociétés de valeurs mobilières.

  • Les systèmes technologiques et les processus de gestion des risques doivent être strictement inspectés

Marché mondial des draineurs Rapport 2024-2025

Les cybercriminels se professionnalisent de plus en plus grâce au modèle « Wallet Drainer-as-a-Service ». En 2025, même si les pertes liées aux retraits de portefeuille ont tendance à diminuer en valeur absolue, les escroqueries par usurpation d’identité enregistrent une croissance record de 1 400 %. Le montant total d'argent détourné via les escroqueries mondiales liées aux cryptomonnaies en 2025 est estimé entre 14 et 17 milliards de dollars.

Des organisations telles que Inferno Drainer maintiennent toujours leur domination avec environ 40 à 45 % de part de marché des attaques, en utilisant des scripts sophistiqués pour usurper l'identité de protocoles populaires tels que Seaport et WalletConnect.

Analyse en chaîne : atout de réglementation traçage

Selon Tan Phat Digital, l'analyse des données en chaîne est une arme importante pour lutter contre les criminels. Le processus d'enquête comprend généralement 5 étapes :

  1. Établir un point d'ancrage : Identifiez l'adresse du portefeuille de la victime et le hachage de la transaction d'approbation malveillante.

  2. Traçage des flux : Suivez les fonds via des portefeuilles intermédiaires (Peel Chain) ou des ponts entre chaînes.

  3. Identification et étiquetage : Utilisez des outils tels que MistTrack pour identifier les portefeuilles appartenant à échanges centralisés (CEX).

  4. Évaluation des risques : Analyser le comportement des attaquants pour trouver de véritables points de contact d'identité.

  5. Documentation et coordination : Préparer des rapports aux autorités et aux bourses pour demander le gel des avoirs.

Stratégies de prévention et de sécurité multicouches

Dans l'espace Web3, la « prévention » est toujours plus plus efficace que « guérir ». Tan Phat Digital recommande aux utilisateurs de prendre les mesures suivantes :

Vérifier et révoquer les droits d'approbation (Révoquer)

Les utilisateurs doivent utiliser périodiquement des outils tels que Révoquer.cash pour vérifier la liste des contrats avec le droit de dépenser leur argent et exécuter immédiatement la commande Révoquer. L'utilisation de Rabby Wallet est également recommandée en raison de sa capacité à fournir une alerte précoce en cas de demandes d'approbation dangereuses.

Règles "Zero Trust"

  • URL exacte : Ne cliquez absolument pas sur les liens des annonces de recherche. Vérifiez toujours attentivement le nom de domaine.

  • Lisez attentivement l'ordre de signature : Lorsque le portefeuille affiche les mots-clés "Autoriser", "Approuver" ou "Définir l'approbation pour tous", arrêtez-vous pour contrôler le risque.

  • Limite : Lorsque vous approuvez des dApps réputées, autorisez uniquement le nombre correct de jetons à échanger au lieu de sélectionner "Non". terme".

Formes d'investissement et risques associés

Les nouveaux investisseurs doivent clairement comprendre les formes populaires pour éviter de se laisser entraîner dans les pièges des taux d'intérêt élevés :

  • Trading à court terme (Trading) : Basé sur des fluctuations rapides des prix. Risque très élevé en raison de la mentalité FOMO.

  • Investissement à long terme (HODLing) : Achetez et conservez des actifs dans un portefeuille sécurisé (cold wallet). Risque moyen du marché.

  • Jalonnement/Prêt : Recevez les intérêts du dépôt d'actifs. Risques liés aux erreurs de contrats intelligents.

  • Coin Mining (Mining) : Investissez dans du matériel pour recevoir des récompenses. Risque de coûts d'exploitation et d'usure des équipements.

Étude de cas Arnaque d'approbation typique et fraude Web3 (2021-2026)

Vous trouverez ci-dessous un résumé de Tan Phat Digital des cas les plus typiques pour aider les investisseurs à identifier des scénarios de fraude réels :

  1. Cas TOSI (Da Nang, 2025) : Les sujets ont créé un projet « fantôme », embauchant des programmeurs pour créer des pièces TOSI sur Binance Smart Chain. L'astuce la plus sophistiquée consiste à programmer la fonction permettant d'attacher le code du portefeuille personnel au système de transaction de l'utilisateur, ce qui amène l'argent de l'investissement à aller directement dans les poches des criminels. Les dégâts ont été enregistrés à environ 90 milliards de VND pour plus de 8 000 victimes.  

  2. Attaque de la chaîne d'approvisionnement du Ledger Connect Kit (décembre 2023) : L'attaquant a pris le contrôle du compte NPM d'un employé de Ledger, insérant du code malveillant dans les versions 1.1.5 à 1.1.7 de la bibliothèque Connect Kit. Lorsqu'un utilisateur connecte le portefeuille à n'importe quelle dApp qui utilise cette bibliothèque, les fonds seront retirés vers le portefeuille du pirate informatique (lié à Angel Drainer). Environ 600 000 USD de dégâts en quelques heures.

  3. Vulnérabilité de l'extension Chrome de Trust Wallet (décembre 2025) : Un piratage ciblant la mise à jour version 2.68 du navigateur Chrome a entraîné le vol d'environ 7 millions USD. On pense que le problème provient de la fuite d'une clé API du Chrome Web Store, permettant aux escrocs de pousser une version malveillante vers l'App Store.

  4. Monkey Drainer - Phishing NFT à grande échelle (2022-2023) : ce groupe a utilisé près de 2 000 domaines se faisant passer pour des projets NFT célèbres pour inciter les utilisateurs à signer des commandes signTypedData malveillantes. La perte totale est estimée à 13 millions de dollars avec plus de 7 000 NFT volés, y compris des actifs de grande valeur tels que CryptoPunks et Otherside.

  5. Affaire Matrix Chain (MTC) (Vietnam, 2025) : Une ligne de fraude transnationale a incité les participants à investir dans la monnaie virtuelle MTC avec la promesse de super profits. Un projet de 200 jours de la police provinciale de Dong Nai a détruit ce réseau, enregistrant un montant d'argent collecté illégalement de près de 10 000 milliards de VND.

  6. Inferno Drainer et Discord Trap (janvier 2025) : Les attaquants usurpent l'identité de robots de support (bot Collab.Land) dans de grands serveurs Discord. Lorsque les utilisateurs cliquent sur « Allons-y » pour vérifier leur identité, ils sont redirigés vers un site Web de phishing qui nécessite la signature d'une commande d'approbation infinie, entraînant la perte de tous les actifs du portefeuille.  

  7. Super scam Paynet Coin (PAYN) / FMCPAY (2025) : Un groupe de sujets a créé la plateforme FMCPAY, créé la pièce PAYN et annoncé qu'elle peut être utilisée pour réserver des billets d'avion et des hôtels aux États-Unis. Il s’agit essentiellement d’un modèle pyramidal à plusieurs niveaux qui s’approprie des milliards de dollars. Même après l'effondrement du sol, ils ont trompé la victime en lui faisant payer plus d'argent pour « embaucher un avocat américain » afin de récupérer l'argent.

  8. Vol de 50 millions de dollars via l'empoisonnement d'adresse (2025) : Il s'agit de la perte la plus importante en 2025. Les méchants créent des adresses de portefeuille avec les mêmes premier et dernier caractères que le portefeuille habituel de la victime, puis envoient des transactions d'une valeur de 0 USD pour "empoisonner" l'historique du portefeuille. La victime a subjectivement copié cette adresse pour la transaction réelle d'une valeur de 50 millions USD.  

  9. Aurory NFT « Drainware » (2021) : L'un des premiers exemples de logiciels malveillants de grattage de portefeuille. L'attaquant crée un nom de domaine DNS qui ressemble beaucoup au véritable projet Aurory. Lorsque les utilisateurs ont appuyé sur le bouton « Mint NFT », ils ont essentiellement signé un ordre autorisant le contrat malveillant à retirer tous les actifs. L'incident a provoqué l'évaporation de 1,5 million de dollars et de 70 NFT en une fraction de seconde seulement.

  10. Arnaque « GitHub Aptitude Test » (2025) : Les pirates se font passer pour des recruteurs, demandant aux programmeurs de télécharger des projets depuis GitHub pour faire le test. Ces projets contiennent du code malveillant qui identifie automatiquement le système d'exploitation pour télécharger des charges utiles, prendre le contrôle de l'ordinateur et voler les informations d'approbation du portefeuille dès que l'utilisateur se connecte.

Foire aux questions (FAQ)

Voici 10 questions courantes que les utilisateurs envoient souvent à Tan Phat Digital concernant l'arnaque à l'approbation :

  1. Autres commandes « Approuver » Quelle est la différence entre une commande « Permis » ? Approuver est une transaction en chaîne, vous obligeant à payer des frais d'essence pour accorder l'autorisation de dépenser de l'argent sur un contrat. Pendant ce temps, Permit (EIP-2612) est une signature numérique hors chaîne qui ne coûte rien mais permet aux fraudeurs d'activer silencieusement les ordres de dépenses plus tard.  

  2. Si je ne donne pas la phrase de départ (mot de passe du portefeuille), les méchants peuvent-ils retirer mon argent ? Oui. Grâce à l’arnaque d’approbation, les méchants n’ont pas besoin de votre phrase de départ. Il leur suffit de signer une commande malveillante Approuver ou Permettre pour accéder aux actifs de votre portefeuille et les retirer.

  3. Comment savoir si j'ai approuvé des projets frauduleux ? Utilisez des outils de filtrage tels que Revoke.cash, Etherscan Approval. Checker ou BSCScan Revoke. Ces outils répertorieront toutes les adresses autorisées à dépenser des jetons dans votre portefeuille.  

  4. Dans quelle mesure « Approbation illimitée » est-elle dangereuse ? Lorsque vous sélectionnez « infini », cette dApp a le droit de retirer la totalité du solde de ce jeton pour toujours jusqu'à ce que vous passiez une commande de révocation. Si la dApp est piratée ou s'il s'agit d'un projet frauduleux, votre portefeuille sera effacé à tout moment.  

  5. Le protocole Permit2 d'Uniswap rend-il les portefeuilles plus sécurisés ? Permit2 augmente la commodité et dispose d'une fonction d'expiration automatique de l'approbation. Cependant, cela crée également un risque de centralisation : une signature Permit2 erronée pourrait permettre à un acteur malveillant de retirer simultanément plusieurs jetons que vous avez précédemment approuvés.  

  6. J'ai accidentellement signé une demande étrange, que dois-je faire immédiatement ? Vous devez immédiatement visiter Revoke.cash pour révoquer cette approbation. Si possible, transférez immédiatement les fonds restants vers un tout nouveau portefeuille pour garantir la sécurité.  

  7. Pourquoi Rabby Wallet est-il recommandé pour éviter les arnaques à l'approbation ? Contrairement à Metamask, Rabby Wallet dispose d'une fonction d'analyse de sécurité intégrée et affiche un avertissement clair lorsque vous êtes sur le point de signer une ordonnance d'approbation malveillante ou une ordonnance d'approbation illimitée.  

  8. D'ici 2026, la fraude à la monnaie virtuelle au Vietnam sera-t-elle criminalisée ?Oui. Avec la Loi sur l'Industrie du Numérique (2026) et la dernière jurisprudence en 2025, les actes frauduleux d'appropriation d'actifs cryptographiques sont progressivement inclus dans le cadre strict des sanctions pénales.

  9. Qu'est-ce que la règle "Stop - Vérifier - Protéger" ? C'est la règle d'or : Stop (ne pas se précipiter pour signer l'ordre), Vérifier (vérifier l'URL, vérifier le signe du contenu de la commande), et Protection (contacter la banque ou la bourse pour geler les actifs si cela est inhabituel).  

  10. Puis-je récupérer mon argent après avoir été victime d'une arnaque à l'approbation ? C'est très difficile car la blockchain ne peut pas être annulée. Cependant, vous devez vous présenter aux bourses centralisées (CEX) et aux autorités afin qu'elles puissent tracer en chaîne avec des outils comme MistTrack et geler les fonds s'ils sont transférés à la bourse.

L'arnaque d'approbation est la preuve que les techniques de fraude évoluent constamment avec la technologie. Avec le Vietnam inscrivant officiellement les actifs numériques dans le cadre pilote à partir de 2026, les utilisateurs bénéficieront d’une plus grande protection contre la loi. Toutefois, la connaissance personnelle et la prudence restent les défenses les plus importantes. Tan Phat Digital estime qu'une communauté d'investisseurs avertis constituera le fondement du développement durable de l'économie numérique au Vietnam.

Partager

Commentaires

0.0 / 5(0 évaluations)

Veuillez vous connecter pour laisser un commentaire.

Aucun commentaire. Soyez le premier à partager vos pensées.

Articles connexes

Pourquoi l'exécution de Node ne vous aide-t-elle pas à gagner de l'argent aussi facilement qu'annoncé ? | Tan Phat Numérique
blockchain2/27/2026

Pourquoi l'exécution de Node ne vous aide-t-elle pas à gagner de l'argent aussi facilement qu'annoncé ? | Tan Phat Numérique

La Blockchain contribue-t-elle à accroître la confiance des clients | Tan Phat Numérique
blockchain2/27/2026

La Blockchain contribue-t-elle à accroître la confiance des clients | Tan Phat Numérique

Déploiement de la blockchain en entreprise 2026 : point de départ et feuille de route pour la mise en œuvre
blockchain2/27/2026

Déploiement de la blockchain en entreprise 2026 : point de départ et feuille de route pour la mise en œuvre

La Blockchain prévient-elle vraiment la fraude interne ? | Tan Phat Numérique
blockchain2/26/2026

La Blockchain prévient-elle vraiment la fraude interne ? | Tan Phat Numérique

Intégrer la Blockchain dans l'application | Tan Phat Numérique
blockchain2/26/2026

Intégrer la Blockchain dans l'application | Tan Phat Numérique

La Blockchain peut-elle remplacer les systèmes ERP ? | Tan Phat Numérique
blockchain2/26/2026

La Blockchain peut-elle remplacer les systèmes ERP ? | Tan Phat Numérique

Blockchain Vietnam 2026 : Potentiel, défis et feuille de route pour le développement durable
blockchain2/25/2026

Blockchain Vietnam 2026 : Potentiel, défis et feuille de route pour le développement durable

Construisez votre propre blockchain ou une blockchain prête à l'emploi ? Stratégie d'infrastructure 2026 - Tan Phat Digital
blockchain2/25/2026

Construisez votre propre blockchain ou une blockchain prête à l'emploi ? Stratégie d'infrastructure 2026 - Tan Phat Digital