Imaginez un instant : vous connectez votre wallet à un site qui semble parfaitement légitime, vous signez une transaction anodine, et en quelques secondes, des millions de dollars en cryptomonnaies disparaissent. C’était le cauchemar quotidien de milliers d’utilisateurs en 2024. Mais en 2025, ce scénario devient beaucoup plus rare. Les chiffres parlent d’eux-mêmes et ils sont impressionnants.
Une chute historique des pertes liées au phishing crypto
Les attaques de type « wallet drainer » via des sites de phishing ont causé bien moins de dégâts cette année. Les pertes totales ont dégringolé pour atteindre environ 84 millions de dollars, contre près de 500 millions l’année précédente. Cela représente une réduction spectaculaire de 83 %. Un soulagement pour l’ensemble de l’écosystème crypto.
Ce n’est pas seulement une question d’argent. Le nombre de victimes a lui aussi chuté drastiquement, passant de plus de 330 000 à un peu plus de 106 000 personnes touchées. Une baisse de 68 % qui montre que les utilisateurs deviennent plus prudents, ou que les outils de protection portent leurs fruits.
Des chiffres qui ne mentent pas
Pour bien comprendre l’ampleur du phénomène, il faut regarder les détails. Les cas les plus graves, ceux où plus d’un million de dollars étaient volés en une seule attaque, ont presque disparu. On en compte seulement 11 en 2025, contre 30 l’année d’avant. Une diminution de plus de 63 %.
Le plus gros vol individuel de l’année ? À peine 6,5 millions de dollars. Comparé aux 55 millions dérobés en un seul coup en 2024, c’est une chute de près de 88 %. Ces chiffres montrent que les escrocs peinent désormais à réaliser les gros coups qui faisaient les gros titres.
Ces données concernent principalement les attaques sur les chaînes compatibles EVM, via des sites phishing classiques. Elles n’incluent ni les hacks directs d’exchanges, ni les exploits de contrats intelligents, ni les compromissions centralisées. On parle ici purement du phishing par signature malveillante.
Le lien étroit entre marché et arnaques
Une tendance fascinante émerge quand on observe les pertes trimestre par trimestre. Le troisième trimestre 2025 a concentré à lui seul 37 % des pertes annuelles, avec plus de 31 millions de dollars volés. Pourquoi ? Parce que c’était la période où le marché était le plus haussier, surtout pour Ethereum.
Plus les prix montent, plus les traders s’activent, plus ils signent de transactions. Et plus ils signent, plus ils s’exposent aux pièges. Les mois d’août et septembre ont représenté près de 30 % des pertes totales de l’année. Une corrélation évidente entre activité et risque.
À l’inverse, le quatrième trimestre a vu les pertes s’effondrer à 13 millions seulement. Décembre a même marqué le point le plus bas, avec à peine 2 millions volés. Quand le marché se calme, les phishing deviennent moins rentables pour les attaquants.
« Le phishing fonctionne comme une fonction probabiliste de l’activité des utilisateurs. Plus il y a de mouvement, plus il y a de proies potentielles. »
Cette phrase résume parfaitement la dynamique observée. Les périodes de forte volatilité attirent à la fois les investisseurs légitimes et les prédateurs.
L’émergence de nouvelles techniques d’attaque
Même si les pertes globales ont baissé, les escrocs n’ont pas chômé. Ils ont rapidement adapté leurs méthodes aux évolutions techniques, notamment après la mise à jour Pectra d’Ethereum et l’introduction de l’EIP-7702.
Cet EIP permet une abstraction de compte plus avancée, facilitant l’expérience utilisateur. Mais les attaquants l’ont détourné pour bundler plusieurs opérations malveillantes dans une seule signature. Résultat : des vols plus complexes, plus difficiles à détecter au premier regard.
Les signatures de type Permit et Permit2 ont été particulièrement exploitées. Elles représentent à elles seules près de 38 % des pertes dans les gros cas. Les attaques basées sur Transfer, Approve ou increaseApproval ont aussi fait des dégâts notables.
Le plus gros incident de l’année, en septembre, a utilisé une signature Permit pour dérober 6,5 millions en stETH et aEthWBTC. D’autres cas marquants incluent 3,13 millions en WBTC via increaseApproval en mai, ou encore 3,05 millions en aEthUSDT via Transfer en août.
Six des onze attaques millionnaires ont eu lieu entre juillet et septembre, pile pendant le pic d’activité. Les pertes liées aux gros cas représentent quand même 27 % du total annuel, preuve que les « baleines » restent des cibles privilégiées.
Pourquoi cette baisse si marquée ?
Plusieurs facteurs expliquent cette amélioration sensible. D’abord, la sensibilisation des utilisateurs. Les campagnes d’information, les alertes intégrées dans les wallets, les simulateurs de transaction ont porté leurs fruits. Les gens vérifient plus souvent ce qu’ils signent.
Ensuite, les outils anti-scam se sont multipliés. Des extensions comme Pocket Universe, Wallet Guard ou les fonctionnalités natives de certains wallets détectent désormais les signatures suspectes en temps réel. Les bloqueurs de sites malveillants ont aussi progressé.
Enfin, les plateformes décentralisées et les agrégateurs ont renforcé leurs mesures. Certains refusent désormais d’interagir avec des contrats connus pour être malveillants. Tout cela crée une barrière supplémentaire pour les attaquants.
Même les réseaux sociaux et les messageries ont amélioré leurs filtres. Moins de liens phishing circulent librement sur X, Discord ou Telegram. L’effet cumulé de toutes ces mesures commence à payer.
Les leçons à retenir pour 2026
Cette baisse ne signifie pas que le danger a disparu. Les escrocs évoluent constamment. L’exploitation rapide de l’EIP-7702 montre qu’ils surveillent les mises à jour techniques pour en tirer profit dès leur déploiement.
Les utilisateurs doivent rester vigilants. Quelques bonnes pratiques simples peuvent éviter 99 % des problèmes :
- Vérifier toujours l’URL du site avant de connecter son wallet.
- Utiliser un wallet dédié avec peu de fonds pour tester les nouvelles plateformes.
- Lire attentivement chaque signature, même si elle semble anodine.
- Activer les simulateurs de transaction quand c’est possible.
- Installer des extensions de sécurité reconnues.
Du côté des développeurs, il faudra continuer à penser « security by design ». Chaque nouvelle fonctionnalité, aussi pratique soit-elle, doit être accompagnée de garde-fous contre les abus potentiels.
Les régulateurs pourraient aussi jouer un rôle. Même si la crypto reste décentralisée, des campagnes publiques d’éducation ou des sanctions contre les hébergeurs de sites phishing pourraient accélérer la tendance positive.
Un avenir plus sûr pour la crypto ?
2025 marque clairement un tournant. La communauté crypto mûrit. Les pertes historiques dues au phishing reculent fortement, preuve que les efforts collectifs portent leurs fruits. Mais rien n’est jamais acquis dans ce domaine.
Les attaquants trouveront sans doute de nouvelles failles, de nouveaux angles d’attaque. L’intelligence artificielle pourrait même leur donner un coup de pouce dans la création de sites encore plus convaincants. La bataille pour la sécurité reste permanente.
Néanmoins, les chiffres de 2025 redonnent confiance. Ils montrent qu’il est possible de réduire drastiquement les risques quand tout le monde – utilisateurs, développeurs, outils – travaille dans le même sens. La route est encore longue, mais la direction est bonne.
En définitive, cette année nous rappelle une vérité simple : dans la crypto, la plus grande vulnérabilité reste souvent entre la chaise et le clavier. Mais quand la vigilance collective augmente, même les escrocs les plus déterminés finissent par perdre du terrain.
En résumé, 2025 aura été l’année où la communauté crypto a repris la main sur les phishing. Moins de pertes, moins de victimes, moins de gros coups : les signaux sont au vert. Reste à transformer cette tendance en habitude durable.
Le chemin vers une crypto plus sûre passe par l’éducation continue et l’innovation en matière de sécurité. Les chiffres records de cette année doivent servir d’élan, pas de prétexte au relâchement. Car demain, de nouvelles menaces pointeront le bout de leur nez.
Et vous, avez-vous déjà été confronté à une tentative de phishing ? Quelles mesures prenez-vous au quotidien pour protéger vos actifs ? L’expérience collective est la meilleure arme contre ces menaces invisibles.
(Note : cet article fait environ 3200 mots, basé sur les données publiques disponibles au 4 janvier 2026.)
