§ — · Glossary
Crypto-fraud terms,
defined plainly.
25 terms victims, investigators, and curious readers run into across crypto-recovery work. One-sentence definition first, context underneath. Every term has a permanent anchor link, so /glossary/#pig-butchering (and the others) point at the same definition forever.
A
-
Address poisoning
# address-poisoning - Une arnaque ciblant les wallets qui glisse dans l'historique des transactions de la victime une fausse adresse imitant les premiers et derniers caractères d'une adresse qu'elle a récemment utilisée, dans l'espoir qu'elle copie-colle la mauvaise lors d'un futur envoi.
- L'attaquant envoie une infime transaction (souvent de valeur nulle) depuis un wallet fraîchement généré dont l'adresse commence et se termine par les mêmes caractères qu'une contrepartie légitime à laquelle la victime envoie régulièrement des fonds. La fausse adresse apparaît désormais dans l'historique du wallet de la victime. La prochaine fois que celle-ci copie une adresse depuis son historique plutôt que depuis la véritable contrepartie, elle risque de copier le sosie et d'envoyer ses fonds à l'attaquant. Vérifiez toujours l'adresse complète, et pas seulement les quelques premiers et derniers caractères.
-
Approval phishing
# approval-phishing - Une attaque visant le wallet où la victime signe une transaction `setApprovalForAll` ou `approve` sans plafond sur une dApp falsifiée, accordant au contrat de l'attaquant l'autorisation de retirer des tokens spécifiques du wallet à n'importe quel moment ultérieur.
- La signature paraît anodine et la victime suppose qu'elle approuve une simple transaction d'échange ou de mint. En réalité, elle confère à un contrat contrôlé par l'attaquant une autorité durable pour transférer des tokens depuis le wallet. Le siphonnage peut survenir quelques secondes plus tard ou plusieurs semaines plus tard, souvent après que la victime a oublié l'approbation. Défense : inspectez chaque signature à la recherche d'appels `approve` / `setApprovalForAll`, privilégiez dans la mesure du possible les signatures à usage unique, et auditez puis révoquez périodiquement les approbations actives via Revoke.cash ou le gestionnaire d'approbations propre au wallet.
-
Arnaque à la récupération de fonds
# recovery-scam - Une escroquerie qui cible d'anciennes victimes de fraude aux cryptomonnaies en les contactant à froid avec des offres de « récupération » non sollicitées et en exigeant un paiement sans aucun périmètre de prestation écrit, sans jamais procéder à la moindre récupération réelle et en soutirant souvent des sommes supplémentaires sur plusieurs étapes.
- Les auteurs d'arnaques à la récupération collectent des coordonnées dans les bases de données publiques de signalements d'arnaques, dans les publications sur les réseaux sociaux et sur les forums consacrés à la récupération de fonds. Ils contactent les victimes à froid, mettent en avant des accréditations qu'ils ne peuvent justifier (« partenaire du FBI », « agréé par la FCA »), affirment avoir déjà localisé les fonds et exigent des « frais de gel des avoirs » ou des « frais de dossier » sans aucun livrable écrit et précis. Les cabinets de récupération légitimes ne démarchent pas à froid, évaluent le dossier avant d'établir un devis et fournissent un périmètre de prestation écrit assorti d'un forfait fixe détaillant exactement ce que les frais couvrent. L'IC3 du FBI met explicitement en garde contre le schéma associant démarchage à froid et frais sans périmètre défini.
-
Arnaque à la sortie de pool de liquidité
# liquidity-pool-exit-scam - Une arnaque dans laquelle les développeurs d'un token lancent un pool de liquidité sur un DEX, attirent des dépôts, puis retirent d'un seul coup toute la liquidité appariée, laissant les détenteurs avec des tokens sans valeur qu'il est impossible de revendre.
- Le montage ressemble à un lancement classique de token DeFi : un nouveau token apparié à de l'ETH ou à un stablecoin dans un pool de type Uniswap. Les développeurs conservent le contrôle des LP tokens (ou ne les verrouillent jamais) et les retirent au pic de liquidité. Signaux d'alerte fréquents : équipe anonyme, absence d'audit, période de verrouillage de la liquidité inférieure à 30 jours voire totalement absente, wallets des fondateurs détenant des allocations de tokens démesurées. La récupération des fonds est rarement réaliste, car les opérateurs étaient anonymes dès le départ et les fonds transitent généralement directement vers des mixers.
Also: malicious approval · token approval phishing
Also: second-stage scam
Also: rug pull
B
-
Bridge attribution
# bridge-attribution - La technique forensique consistant à suivre des fonds dérobés à travers un pont inter-chaînes (cross-chain bridge), en mettant en correspondance le dépôt enregistré sur la chaîne source avec le retrait correspondant sur la chaîne de destination, malgré la différence d'identité des wallets.
- Les opérateurs déplacent régulièrement les fonds dérobés via des ponts (THORChain, LayerZero, Wormhole, Stargate) afin de brouiller la piste et de convertir les fonds entre les chaînes que privilégie l'infrastructure de blanchiment. La bridge attribution établit le lien entre la transaction de dépôt sur la chaîne source et son reflet sur la chaîne de destination, en faisant correspondre l'horodatage des blocs, le montant et les journaux d'événements du contrat de pont. C'est ainsi qu'une trace se poursuit du Bitcoin vers Ethereum puis vers Solana sans que le fil ne soit perdu.
C
-
CEX vs DEX
# cex-vs-dex - Une plateforme d'échange centralisée (CEX) assure la conservation des fonds des utilisateurs et opère sous une autorité réglementaire ; une plateforme d'échange décentralisée (DEX) est un smart contract qui échange des tokens directement entre wallets, sans dépositaire ni équipe de conformité à qui faire remonter une plainte pour fraude.
- La distinction est déterminante pour la récupération : les fonds volés qui parviennent à une CEX peuvent parfois être gelés via une escalade auprès du service de conformité, car la plateforme contrôle les fonds et répond devant un régulateur. Les fonds qui circulent uniquement par des swaps sur DEX ne peuvent pas être gelés : il n'existe aucun opérateur à qui s'adresser, seulement un smart contract immuable. Le travail de récupération privilégie donc l'identification des points de dépôt sur les CEX dans la chaîne de blanchiment ; une fois que les fonds réintègrent l'écosystème des CEX, l'escalade redevient possible.
-
CoinJoin
# coinjoin - Technique de confidentialité dans laquelle plusieurs utilisateurs de Bitcoin combinent leurs transactions en une seule transaction à entrées multiples et sorties multiples, de sorte qu'un observateur externe ne puisse pas déterminer quelle entrée correspond à quelle sortie.
- Le CoinJoin n'est pas en soi un outil de fraude : des utilisateurs soucieux de leur vie privée l'emploient de façon légitime, mais les opérateurs y recourent couramment pour rompre la piste, sur la blockchain, entre les fonds dérobés et le wallet où ils finissent par aboutir. Les ensembles de sorties d'un CoinJoin peuvent parfois être démélangés à l'aide d'heuristiques statistiques (analyse des motifs de CoinJoin), mais le taux de réussite dépend de la taille du mélange et de la patience de l'analyste. Wasabi Wallet et Whirlpool sont les deux implémentations les plus répandues.
-
Cold wallet vs hot wallet
# cold-wallet-hot-wallet - Un cold wallet conserve la clé privée hors ligne (appareil matériel ou papier) ; un hot wallet la stocke dans un logiciel connecté à Internet. Le cold wallet est nettement plus sûr face à la plupart des attaques de vidage de wallet et de phishing.
- La distinction hot/cold porte sur la surface d'attaque. Les hot wallets signent les transactions automatiquement lorsque vous cliquez dans une dApp, ce qui est pratique mais vous expose à des demandes de signature malveillantes et à des logiciels malveillants de remplacement du presse-papiers. Les cold wallets exigent une confirmation physique sur l'appareil pour chaque signature, ce qui déjoue la plupart des tentatives de phishing par approbation et d'empoisonnement d'adresse. Pour des avoirs significatifs, la recommandation standard est le stockage en cold storage, avec un hot wallet réservé uniquement à de petits soldes de fonctionnement.
-
Compliance hold (vs withdrawal-block extortion)
# compliance-hold - Un véritable gel de conformité (compliance hold) est un blocage de fonds imposé par le régulateur au sein d'un exchange pendant une vérification AML/KYC, prélevé sur le solde existant sans qu'aucun paiement ne soit exigé de l'utilisateur ; une extorsion par blocage de retrait est un faux gel qui exige que l'utilisateur paie des frais supplémentaires avant tout déblocage.
- Véritables gels de conformité : documentés dans les conditions générales de l'exchange, communiqués par messagerie interne à la plateforme de la part de l'équipe de conformité nommément identifiée, ils n'exigent jamais que l'utilisateur verse de l'argent frais. Extorsion par blocage de retrait : inventée sur le moment (« frais de régularisation fiscale », « dépôt de lutte contre le blanchiment d'argent », « paiement de passage à un niveau supérieur »), elle exige de nouveaux fonds et génère une nouvelle demande de frais après chaque paiement. Tout processus de « conformité » qui vous oblige à déposer davantage relève de la variante extorsion, quel que soit le caractère officiel du vocabulaire employé.
D
-
Demixing
# demixing - L'analyse forensique on-chain qui tente de reconstituer la correspondance entre les entrées et les sorties d'un CoinJoin, afin de rétablir le lien entre l'expéditeur et le destinataire que le mélange visait à masquer.
- Le demixing repose sur une combinaison d'analyse temporelle, d'analyse des montants, d'heuristiques de regroupement d'adresses et de signatures de motifs propres à Wasabi/Whirlpool. Il est probabiliste, et non déterministe : un demixing réussi renvoie un ensemble de liens probables pondérés par un degré de confiance, plutôt qu'une réponse unique. Les fonds qui transitent spécifiquement par Tornado Cash sont bien plus difficiles à démixer que ceux passés par des protocoles CoinJoin, ce qui explique pourquoi les fonds acheminés via Tornado constituent souvent la limite réaliste de la récupération.
-
Drainer-as-a-service (DaaS)
# drainer-as-a-service - Un modèle par abonnement dans lequel une équipe de développement conçoit et maintient un smart contract de siphonnage de wallet ainsi qu'un panneau d'administration, puis le loue à des affiliés qui exploitent les sites de phishing en façade et partagent les gains avec les développeurs.
- Le DaaS a transformé le siphonnage de wallets, autrefois un crime sur mesure exigeant des compétences en smart contracts, en un kit clé en main que n'importe quel pirate adepte du phishing peut louer. Les kits les plus cités (Pink, Inferno, Angel, MS) représentent ensemble une part substantielle de l'ensemble des siphonnages de wallets signalés. Côté recouvrement : les smart contracts de siphonnage présents sur la blockchain sont réutilisés à travers des centaines de campagnes, de sorte que le regroupement (clustering) de wallets liés à des siphonnages de type DaaS produit souvent davantage de preuves exploitables que l'incident isolé ne le laisserait penser.
-
Dusting attack
# dusting-attack - Une attaque contre la confidentialité dans laquelle l'attaquant envoie de minuscules montants de cryptomonnaie à de nombreuses adresses qu'il souhaite désanonymiser, puis observe si ces poussières (dust) sont dépensées avec les autres pièces du destinataire, ce qui confirme que les adresses appartiennent au même wallet.
- Une fois que deux adresses sont confirmées comme partageant un même wallet, l'attaquant peut corréler l'activité du wallet avec des signaux d'identité hors chaîne (dépôts vers des exchanges connus, mention dans une publication publique, etc.) afin de désanonymiser son propriétaire. Le dusting est rarement une fin en soi : il alimente généralement une campagne ultérieure de phishing ou d'extorsion visant le propriétaire du wallet identifié. Défense : ne dépensez pas à la légère des UTXO ayant reçu de la poussière ; de nombreux wallets permettent désormais de marquer et d'isoler les dust suspectes reçues.
Also: DaaS · wallet drainer kit
E
-
Evidence pack
# evidence-pack - Le dossier structuré qu'un cabinet d'investigation constitue pour une affaire de récupération : traçage des empreintes de transactions (transaction-hash), analyse des grappes de wallets, attribution des contreparties, captures d'écran et communications à l'appui, et une recommandation de parcours de récupération, le tout présenté selon les normes qu'un régulateur ou un tribunal acceptera.
- Un dossier de preuves défendable repose sur des empreintes de transactions et des hauteurs de bloc précises : chaque affirmation qu'il contient doit être reproductible à partir des données publiques de la chaîne. Il comprend les données sources (le graphe brut des transactions), l'interprétation de l'analyste, et l'indice de confiance attaché à chaque attribution. La différence type entre un véritable cabinet de récupération et une arnaque à la récupération tient à un point : produit-il un dossier de preuves, oui ou non ? Les cabinets sérieux le font ; les escrocs se contentent de vagues assurances.
M
-
Mixer (cryptocurrency)
# mixer - Service ou contrat intelligent qui regroupe les cryptomonnaies de nombreux déposants et reverse des montants équivalents vers de nouvelles adresses, rompant le lien sur la blockchain entre les wallets source et destination.
- Tornado Cash (Ethereum) en est l'exemple le plus cité ; Sinbad, ChipMixer et Wasabi/Whirlpool sont des équivalents courants sur Bitcoin. Les mixers sont largement utilisés par les auteurs de fraudes crypto pour blanchir des fonds volés, raison pour laquelle plusieurs ont été sanctionnés par l'OFAC et d'autres régulateurs. Le recouvrement est bien plus difficile une fois que les fonds entrent dans un véritable mixer qu'après leur passage par une plateforme d'échange classique : dans le cas précis de Tornado Cash, le recouvrement est généralement impossible sans la coopération de l'opérateur.
-
Multi-sig wallet
# multi-sig-wallet - Un wallet qui exige les signatures de plusieurs clés privées (par exemple 2 sur 3 ou 3 sur 5) pour autoriser toute transaction sortante, ce qui signifie qu'une seule clé compromise ne peut pas vider le wallet.
- Le multi-sig est la norme pour la conservation institutionnelle de cryptomonnaies et pour les particuliers détenant des soldes importants. Implémentations courantes : Gnosis Safe (chaînes EVM), Casa et Unchained (Bitcoin). Compromis : le multi-sig réduit considérablement le risque de point de défaillance unique, mais il ajoute des frictions à chaque transaction et dépend du stockage sécurisé de plusieurs clés, ce qui devient en soi le problème de sécurité.
Also: tumbler
P
-
Peel chain
# peel-chain - Un schéma de blanchiment dans lequel une grande quantité de cryptomonnaie transite par une succession de wallets, une petite fraction étant prélevée vers un exchange ou un point de retrait à chaque étape, tandis que l'essentiel poursuit son chemin.
- Les peel chains sont conçues pour fragmenter une seule grosse transaction suspecte en de multiples petites transactions qui passent sous les seuils AML applicables à chaque dépôt sur les exchanges destinataires. Elles s'étendent généralement sur des centaines d'adresses intermédiaires et peuvent prendre des semaines à se dérouler. Le démêlage d'une peel chain est une technique forensique on-chain spécifique : chaque "prélèvement" suit un schéma reconnaissable (entrée importante, petite sortie vers un exchange, sortie de monnaie importante qui devient l'entrée suivante) qui permet à l'analyste de remonter ce qui ressemble à première vue à des transactions sans rapport.
-
Permit2 phishing
# permit2-phishing - Une variante de phishing exploitant la norme de signature `Permit2` d'Uniswap, dans laquelle une victime signe un message hors chaîne que l'attaquant soumet ensuite sur la chaîne pour vider les tokens approuvés, sans gas ni trace on-chain jusqu'à ce que le siphonnage se produise réellement.
- Permit2 a été conçu pour permettre aux utilisateurs d'autoriser la dépense de tokens via une seule signature, au lieu de payer des frais de gas pour une transaction `approve` distincte. L'inconvénient : la signature hors chaîne reste invisible jusqu'à ce que l'attaquant choisisse de l'exécuter, ce qui rend plus difficile de la repérer ou de la révoquer avant le siphonnage. Les interfaces des wallets rattrapent leur retard en analysant les signatures Permit2 et en affichant ce qu'elles autorisent, mais en 2026 de nombreux wallets présentent encore la signature comme des « données typées EIP-712 » opaques : lisez attentivement chaque fenêtre de signature.
-
Pig butchering (sha zhu pan)
# pig-butchering - Une arnaque mêlant relation amoureuse et investissement, étalée sur plusieurs mois, dans laquelle l'opérateur instaure une confiance affective avec sa cible pendant des semaines, puis lui présente une fausse plateforme de trading affichant des gains fabriqués jusqu'à ce que la cible y dépose une somme suffisante pour valoir la peine d'être extorquée.
- Le terme est une traduction du chinois 殺豬盤 (« tuer le cochon »), qui renvoie au schéma consistant à « engraisser » la victime en nouant une relation avant l'extorsion. Le contact débute en dehors de tout cadre d'investissement (applications de rencontre, LinkedIn, prétextes du faux mauvais numéro) et l'investissement est « découvert » plutôt que proposé. Le pig butchering est la catégorie générant les pertes les plus élevées dans la fraude crypto à l'échelle mondiale. Le guide dédié de CryptoLeek : /scams/romance/.
Also: sha zhu pan · romance-into-investment scam
R
-
Rug pull
# rug-pull - Une arnaque de retrait de liquidité dans la DeFi, où les fondateurs d'un token retirent d'un seul coup toute la liquidité appariée d'un pool de DEX, laissant les détenteurs avec des tokens sans valeur qu'il est impossible de revendre.
- Voir `liquidity-pool-exit-scam` pour le mécanisme. Le terme est familier et souvent employé de manière vague pour désigner tout projet DeFi dont les fondateurs disparaissent avec les fonds des utilisateurs, y compris des variantes plus élaborées comme les attaques de gouvernance, les contrats évolutifs malveillants et les retraits de coffres à verrouillage temporel qui vident le coffre. Qu'il s'agisse d'un retrait classique de liquidité ou d'une attaque de gouvernance, le profil d'investigation on-chain reste le même : remonter jusqu'aux wallets des fondateurs, identifier les points de sortie vers les CEX, et escalader lorsque c'est possible.
S
-
Self-custody vs custodial
# self-custody-vs-custody - Dans le cas de l'auto-conservation (self-custody), vous contrôlez la clé privée et la plateforme ne peut pas déplacer vos fonds ; dans les dispositifs de conservation par un tiers (custodial), comme la plupart des exchanges, des applications de courtage et des gestionnaires de fonds, c'est la plateforme qui détient la clé et vous ne détenez qu'une créance sur cette plateforme, ce qui signifie que votre « solde » est exposé à la solvabilité et à la conduite de la plateforme.
- Cette distinction est à l'origine de la maxime « not your keys, not your coins » (pas vos clés, pas vos cryptos). Les dispositifs de conservation par un tiers sont pratiques et offrent un service client ; l'auto-conservation exige que vous gériez vous-même votre sauvegarde, votre sécurité et votre conformité. Une part importante des pertes en cryptomonnaies est liée à des plateformes de conservation devenues insolvables, piratées ou refusant les retraits. Pour les avoirs de long terme, le conseil habituel est l'auto-conservation dans un cold wallet, l'usage d'un service de conservation par un tiers étant limité au trading actif.
-
SIM swap (contexte crypto)
# sim-swap - Une attaque dans laquelle l'attaquant manipule par ingénierie sociale l'opérateur mobile de la victime pour qu'il transfère le numéro de téléphone de cette dernière vers une carte SIM contrôlée par l'attaquant, puis utilise les codes d'authentification à deux facteurs envoyés par SMS pour prendre le contrôle des comptes d'échange et de la messagerie de la victime.
- Le SIM swap est la voie d'accès à un compte de plateforme d'échange de cryptomonnaies la plus souvent citée en dehors du phishing. L'attaquant peut avoir obtenu les informations de la victime grâce à une fuite de données antérieure, à de l'ingénierie sociale ou à un complice rémunéré au sein de l'opérateur. Défense : n'utilisez pas le SMS comme second facteur sur un compte qui détient des cryptomonnaies ou qui en contrôle, utilisez le TOTP (Google Authenticator, Authy) ou des clés matérielles (YubiKey). Les opérateurs mobiles vous permettent de plus en plus de définir un code PIN de portabilité, utilisez-le.
-
Sweeper bot
# sweeper-bot - Programme automatisé qui surveille un wallet compromis (un wallet dont l'opérateur connaît désormais la clé privée) et envoie instantanément tout fonds entrant vers une adresse contrôlée par l'attaquant, rendant le wallet définitivement inutilisable pour la victime.
- Lorsqu'une victime découvre que son wallet est compromis, elle tente parfois de "sauver" ses fonds en y envoyant des ETH afin de couvrir les frais de gas d'une transaction de sauvetage. Le sweeper bot la devance et s'empare des fonds destinés au gas dès leur arrivée, empêchant le sauvetage. Défense : n'envoyez rien vers un wallet compromis ; migrez plutôt tout fonds entrant à la source, ou utilisez des transactions privées Flashbots pour coordonner le sauvetage avec une priorité supérieure à celle que le bot peut atteindre.
See also: wallet drain
See also: wallet drain
W
-
Wallet clustering
# wallet-clustering - Technique d'analyse forensique on-chain qui regroupe plusieurs adresses de cryptomonnaies en "clusters" présumés contrôlés par un même opérateur, à partir d'heuristiques d'entrées partagées, de schémas de dépense communs et d'empreintes comportementales.
- Une seule opération de fraude contrôle généralement de quelques dizaines à plusieurs milliers d'adresses, chacune utilisée brièvement avant d'être abandonnée. Les algorithmes de clustering identifient quelles adresses se comportent comme un seul wallet, par exemple parce qu'elles sont dépensées conjointement dans une même transaction (ce qui prouve qu'elles partagent un même contrôleur). Un clustering efficace est ce qui rend la récupération viable : il permet à l'analyste de suivre l'essentiel des fonds même lorsque l'opérateur crée en permanence de nouvelles adresses "fraîches" pour les recevoir.
-
Wallet drain
# wallet-drain - Une attaque au cours de laquelle un opérateur obtient le droit de déplacer des jetons hors du wallet d'une victime, généralement via une approbation de jeton malveillante ou une clé privée volée, et transfère le solde du wallet vers une adresse qu'il contrôle.
- Les wallet drains diffèrent de la fraude sur plateforme d'investissement car il n'existe aucune plateforme auprès de laquelle faire remonter le problème : la perte se produit directement depuis le wallet en auto-conservation de la victime. Les deux vecteurs les plus courants sont (1) le phishing par approbation (la victime signe une transaction d'approbation de jeton malveillante sur une dApp usurpée) et (2) la compromission de la phrase de récupération (la victime saisit sa phrase de récupération sur un site de phishing se faisant passer pour le support du wallet). La récupération est possible lorsque les fonds détournés arrivent sur un CEX réglementé avant d'être blanchis ; elle l'est beaucoup moins lorsqu'ils sont envoyés directement vers un mixer. Le guide dédié de CryptoLeek : /scams/wallet-drain/.
-
Withdrawal-block extortion
# withdrawal-block - Le schéma d'extraction de second niveau dans lequel une plateforme de trading frauduleuse refuse de débloquer les fonds « gagnés » par la victime tant que celle-ci n'a pas payé des frais de plus en plus élevés : régularisation fiscale, vérification AML, montée en gamme du compte, dont aucun ne débloque quoi que ce soit.
- Presque toutes les arnaques aux fausses plateformes d'investissement débouchent sur un blocage de retrait dès lors que la victime a déposé assez pour qu'il vaille la peine de l'exploiter. Les frais paraissent plausibles (ils empruntent le vocabulaire des véritables procédures de conformité) et l'interface de la plateforme continue d'afficher le solde de la victime comme s'il était réel. Chaque frais payé génère une nouvelle demande de frais. Le capital a été extrait bien avant tout cela : le blocage de retrait n'existe que pour soutirer de l'argent supplémentaire. Le guide dédié de CryptoLeek : /scams/withdrawal-block/.
Also: drainer attack
Also: frozen-withdrawal scam · release-fee scam