Il signe un contrat piégé, et se fait siphonner 900 000 $ un an plus tard

Pour Résumer

Un investisseur a perdu plus de 900 000 $ en USDC à cause d’une autorisation signée plus d’un an plus tôt.
L’escroc a attendu 458 jours avant de siphonner les fonds en une seule transaction.
L’affaire relance le débat sur les smart contracts piégés et les failles de sécurité trop peu surveillées.

Un vol silencieux

Il n’a cliqué qu’une seule fois, pas pour valider une transaction, mais pour “autoriser” un smart contract. Un simple bouton sur une plateforme à l’apparence plutôt honnête. Un an plus tard, 900 000 dollars s’envolent d’un portefeuille pourtant sécurisé. Aucune alerte. Aucun bruit. Juste un wallet vidé en une seule ligne de code.

L’affaire, révélée ce week-end par une analyse on-chain, met en lumière l’un des angles morts les plus sournois de l’écosystème crypto : les autorisations dormantes.

Dans ce cas précis, l’investisseur avait donné à un contrat inconnu le droit de gérer ses USDC, sans que cela ne déclenche d’envoi immédiat. L’adresse a ensuite attendu 458 jours avant d’exercer ce droit et de siphonner les fonds.

L’attaque, à la fois simple et retorse, illustre un mode opératoire de plus en plus fréquent. Les contrats ne volent pas tout de suite. Ils attendent. Ils s’enfouissent dans le wallet du détenteur, patientent des mois entiers, jusqu’à ce que la victime ait oublié, ou qu’elle pense que tout va bien. Puis, ils agissent.

La stratégie n’est pas nouvelle. Mais le timing, ici, interroge. Pourquoi attendre 15 mois ? Pourquoi frapper en plein cœur d’un marché haussier ? La réponse est probablement psychologique autant que tactique : les investisseurs, grisés par la hausse, relâchent leur vigilance. Et les contrats véreux frappent quand le wallet est le plus rempli.

Une menace sous-estimée

Le cas des “approvals” fantômes est bien connu des développeurs. Mais chez les utilisateurs, le risque est souvent ignoré. La plupart des wallets ne notifient pas clairement les autorisations accordées. Et encore moins leur durée.

Sur les interfaces Web3 classiques, comme MetaMask ou TrustWallet, le bouton “Approuver” est devenu un réflexe, souvent cliqué sans lecture ni vérification.

Or, chaque approbation accorde un pouvoir presque absolu au smart contract ciblé. Il peut agir à tout moment, parfois sans aucune limite de montant. Si le contrat est malveillant ou s’il devient contrôlé par un pirate, l’accès est déjà ouvert.

Dans cette affaire, ce n’est pas un bug ni un hack frontal. C’est une attaque frontale doublée d’un mécanisme légal. Et c’est ce qui la rend encore plus dangereuse : elle repose sur une négligence humaine, pas une faille technique.

Plusieurs projets ont déjà commencé à intégrer des outils d’analyse des autorisations dans leurs plateformes. D’autres, comme certains explorateurs de blocs ou agrégateurs DeFi, proposent de révoquer automatiquement les approvals inutilisés.

Mais ces pratiques restent minoritaires. Et surtout, elles nécessitent une action volontaire de l’utilisateur. Autant dire que, dans la pratique, très peu y pensent.

Une leçon amère pour certains investisseurs

Le moment du vol n’est pas anodin lui non plus. Le marché crypto, dopé par la reprise de Bitcoin, est en phase euphorique. Beaucoup de portefeuilles sont à nouveau bien garnis.

Les investisseurs se sentent en confiance, certains accumulent sans vérifier leurs historiques d’interactions. Résultat : des centaines de milliers de wallets sont potentiellement vulnérables à ce type d’attaque silencieuse.

Cette affaire n’est pas isolée. D’autres événements similaires ont été repérés en 2025, souvent sur des tokens USDT, DAI ou même des NFTs. À chaque fois, le schéma est le même : approbation accordée, délais longs, puis attaque chirurgicale.

La conclusion est brutale : ce n’est pas parce qu’on ne voit pas le danger qu’il a disparu. Dans la jungle Web3, les prédateurs sont patients. Et parfois, ils attendent longtemps.