Wallet vidé à partir d'une signature,
la récupération dépend de la destination suivante des fonds.
Les attaques par drainage de wallet diffèrent de la fraude sur plateforme d'investissement car il n'existe aucune plateforme auprès de laquelle se faire rembourser : l'attaquant a obtenu l'autorisation de déplacer les fonds directement hors du wallet de la victime, souvent au moyen d'une seule signature malveillante sur une fausse page de minting, une fausse demande d'airdrop ou l'usurpation d'une dApp légitime. La récupération est possible lorsque les fonds drainés aboutissent sur un exchange réglementé ou dans un cluster de wallets connu ; elle l'est beaucoup moins lorsqu'ils sont dirigés directement vers une infrastructure de mixer.
The victim visits a site that appears to be a legitimate project: an airdrop claim page, an NFT minting site, a DeFi interface. The site asks the victim to connect their wallet and sign a transaction. The signature looks routine. In fact it grants the attacker's contract approval to transfer specific token balances out of the wallet at any time the attacker chooses.
Immediately or hours later, the attacker calls the contract and drains the approved tokens to a wallet they control. The victim's first warning is often the wallet balance dropping to zero in a single transaction, with no further interaction required.
The drained funds are usually moved through one or more bridging or swap protocols within minutes, both to obscure the trail and to convert to an asset (often ETH or stablecoins) easier to launder. From there the funds may go to a privacy mixer, a non-cooperative exchange, or — sometimes — to a regulated exchange where recovery becomes realistic.
Le profil va de l'utilisateur DeFi expérimenté au novice qui réalise son premier minting de NFT. Les drainages de wallet touchent souvent des personnes qui se considèrent comme averties en matière de crypto : l'attaque repose sur le présupposé « jamais je ne tomberais dans le panneau », ce qui abaisse la vigilance face au site usurpé précis qui finit par passer. Les montants perdus varient énormément, de quelques centaines de dollars en jetons de test à des positions DeFi à sept chiffres.
Signals victims and bystanders should know.
- 01
Wallet-connect request from a domain you didn't reach via the project's official channel
Spoofed minting and airdrop sites are typically promoted through compromised Discord channels, fake Twitter accounts, or paid Google ads. Always reach the dApp through the project's verified official link.
- 02
Urgency framing — "claim within 24 hours" or "limited supply"
Engineered to prevent you from verifying the URL. Legitimate projects have multi-day claim windows and don't pressure participants.
- 03
Signature request asks for a token approval, not a specific transaction
A token "approve" or "setApprovalForAll" signature gives the contract ongoing permission to move your tokens. This is normal for legitimate DEX use, but malicious contracts also use it. Always inspect what the signature is approving and to which contract.
- 04
Asks for your seed phrase or private key
No legitimate service ever needs your 12 or 24-word recovery phrase. Any prompt for these is an immediate drain attempt regardless of how legitimate the surrounding page looks.
The first 24 hours matter most.
- 01
Move remaining funds to a new wallet immediately
If your wallet was drained, the approval may still allow continued draining of other tokens you still hold. Generate a new wallet (with a fresh seed phrase) and move everything not yet drained.
- 02
Revoke pending approvals on the old wallet
Use Revoke.cash or similar to revoke any outstanding token approvals on the compromised wallet. Even if you're moving funds out, leaving the approval active risks future draining of any tokens that arrive back at that address.
- 03
Document the transaction hashes
The malicious approval transaction and the subsequent drain transaction are on-chain forever. Note the hashes; they are the evidence basis for any recovery action.
- 04
Notify the relevant exchanges and chains
If the drained funds landed at a known regulated exchange, contact their compliance team immediately. Some exchanges can freeze the receiving wallet within hours if action is initiated quickly.
- 05
Open a CryptoLeek case review
We trace the drain and tell you within 24 hours whether the destination is recoverable. Wallet drains have a particular pattern that benefits from fast professional escalation.
189 platforms in our public registry match this pattern.
EtherWallet
ether-wallet.net est un site frauduleux confirmé, inscrit sur la liste noire de CryptoScamDB, qui opère comme une imitation d'une marque connue de wallet Ethereum destinée à collecter des identifiants ou à siphonner des fonds.
EthereumWallet
ethereum-wallet.info est un domaine inscrit sur liste noire et signalé par CryptoScamDB, qui imite l'infrastructure légitime de portefeuilles Ethereum, vraisemblablement pour collecter clés privées et phrases de récupération ou vider les wallets connectés.
account-kigo.net
account-kigo.net est un domaine sur liste noire répertorié par CryptoScamDB comme une opération frauduleuse avérée, compatible avec des dispositifs d'usurpation de compte ou de collecte d'identifiants visant les détenteurs de cryptomonnaies.
aragonproject.io
aragonproject.io est inscrit sur liste noire par CryptoScamDB comme opération frauduleuse avérée ; son nom de domaine imite de près celui d'un protocole de gouvernance blockchain reconnu, ce qui révèle une logique d'usurpation de marque.
bitcoin-wallet.net
bitcoin-wallet.net est un domaine frauduleux avéré, inscrit sur la liste noire de CryptoScamDB ; il se présente comme un service légitime de wallet Bitcoin tout en opérant comme un dispositif de collecte d'identifiants ou de vol de dépôts.
blocklichan.info
blocklichan.info est une plateforme de cryptomonnaie frauduleuse confirmée, inscrite sur la liste noire CryptoScamDB, dont le fonctionnement correspond aux opérations qui sollicitent des dépôts puis entravent ou refusent tout retrait.
bloclkicihan.info
bloclkicihan.info est un domaine frauduleux confirmé, inscrit sur la liste noire de CryptoScamDB, présentant un schéma de nommage par transposition de caractères propre aux infrastructures de fraude cryptographique jetables.
coin-wallet.info
coin-wallet.info est une plateforme de portefeuille de cryptomonnaies confirmée frauduleuse, inscrite sur la liste noire de CryptoScamDB, cohérente avec des opérations de collecte d'identifiants ou de faux portefeuille de garde visant les détenteurs particuliers de cryptos.
coindash.ru
coindash.ru est un domaine frauduleux confirmé, inscrit sur la liste noire de CryptoScamDB, qui recourt à la substitution de TLD pour usurper l'identité d'une plateforme de cryptomonnaie reconnue et collecter identifiants ou fonds des utilisateurs.
contribute-status.im
contribute-status.im est un domaine blacklisté usurpant l'identité de l'écosystème Status Network, conforme aux faux portails de contribution ou de staking conçus pour récolter des identifiants de wallet ou détourner des fonds.
district-0x.io
district-0x.io est un site frauduleux confirmé, inscrit sur la liste noire de CryptoScamDB, qui utilise un nom de domaine sosie pour usurper l'identité d'une marque reconnue de plateforme décentralisée et tromper les utilisateurs de cryptomonnaies.
district0x.net
district0x.net est un domaine confirmé sur liste noire qui imite l'identité de marque d'un projet connu de place de marché décentralisée basé sur Ethereum ; CryptoScamDB le répertorie comme une opération frauduleuse visant les utilisateurs de cryptomonnaies en quête du service lé
eos-bonus.com
eos-bonus.com est une plateforme frauduleuse avérée, répertoriée sur la liste noire de CryptoScamDB, exploitant un dispositif fondé sur des bonus ou des récompenses qui cible les utilisateurs de cryptomonnaies sous la marque EOS.
eos-io.info
eos-io.info est un domaine frauduleux confirmé et signalé par CryptoScamDB, conçu pour usurper l'identité de marque de la blockchain EOS et tromper les utilisateurs en quête de services EOS légitimes.
ether-api.com
ether-api.com figure sur la liste noire de CryptoScamDB en tant qu'opération frauduleuse avérée se présentant comme un service d'API lié à Ethereum, sans aucune preuve d'infrastructure légitime ni de statut réglementaire.
ether-wall.com
ether-wall.com est un site frauduleux avéré, inscrit sur la liste noire de CryptoScamDB, qui se présente comme un service de portefeuille Ethereum tout en opérant comme une entreprise de collecte de données d'identification ou de vol d'actifs visant les détenteurs de cryptomonnai
etherclassicwallet.com
etherclassicwallet.com est un site frauduleux confirmé, inscrit sur la liste noire de CryptoScamDB, qui se fait passer pour une interface de portefeuille Ethereum Classic afin de dérober les clés privées ou les phrases de récupération des utilisateurs.
ethereum-wallet.net
ethereum-wallet.net est un domaine inscrit sur liste noire, confirmé par CryptoScamDB, qui usurpe l'infrastructure légitime des wallets Ethereum pour collecter des identifiants ou intercepter les fonds des utilisateurs de cryptomonnaies.
ethereumchamber.com
ethereumchamber.com figure sur la liste noire de CryptoScamDB en tant qu'opération frauduleuse avérée exploitant l'image d'Ethereum pour solliciter des dépôts de cryptomonnaies auprès d'utilisateurs peu méfiants.
ethereumchamber.net
ethereumchamber.net figure sur la liste noire de CryptoScamDB en tant qu'opération frauduleuse confirmée, se présentant comme une plateforme affiliée à Ethereum afin d'attirer les déposants en cryptomonnaies.
ethereumchest.com
ethereumchest.com figure sur la liste noire de CryptoScamDB comme opération frauduleuse confirmée ; le site semble conçu pour exploiter la marque Ethereum afin d'attirer les détenteurs de cryptomonnaies et de leur soutirer des fonds.
ethereumchest.net
ethereumchest.net est une opération frauduleuse avérée, répertoriée sur la liste noire de CryptoScamDB, se présentant comme un service d'actifs liés à Ethereum tout en servant de vecteur de détournement des fonds des utilisateurs.
etherswap.org
etherswap.org est une plateforme frauduleuse avérée, inscrite sur la liste noire communautaire de CryptoScamDB, qui se présente comme un service d'échange de jetons basé sur Ethereum tout en opérant comme un mécanisme de vol visant les détenteurs de cryptomonnaies.
etherwallet.co.za
etherwallet.co.za est un domaine confirmé frauduleux figurant sur la liste noire CryptoScamDB, conçu pour usurper l'interface d'un wallet Ethereum bien connu et collecter les identifiants ou les clés privées des utilisateurs.
Questions victims of this pattern ask us most.
Can I get drained crypto back? +
I revoked the approval but my tokens are already gone. What now? +
How fast do I need to act after a wallet drain? +
Lost crypto to this pattern?
We can help you recover it.
We trace the funds on-chain, identify the recovery choke points, and coordinate action with exchanges, payment processors, and counsel across 40+ jurisdictions. Free assessment within 24 hours, with an honest yes/no on whether the funds are realistically recoverable.
The vocabulary this pattern uses.
Definitions of the terms that come up across this guide. Each links to the full glossary.
Une attaque au cours de laquelle un opérateur obtient le droit de déplacer des jetons hors du wallet d'une victime, généralement via une approbation de jeton malveillante ou une clé privée volée, et transfère le solde du wallet vers une adresse qu'il contrôle.
Une attaque visant le wallet où la victime signe une transaction `setApprovalForAll` ou `approve` sans plafond sur une dApp falsifiée, accordant au contrat de l'attaquant l'autorisation de retirer des tokens spécifiques du wallet à n'importe quel moment ultérieur.
Un modèle par abonnement dans lequel une équipe de développement conçoit et maintient un smart contract de siphonnage de wallet ainsi qu'un panneau d'administration, puis le loue à des affiliés qui exploitent les sites de phishing en façade et partagent les gains avec les développeurs.
Une variante de phishing exploitant la norme de signature `Permit2` d'Uniswap, dans laquelle une victime signe un message hors chaîne que l'attaquant soumet ensuite sur la chaîne pour vider les tokens approuvés, sans gas ni trace on-chain jusqu'à ce que le siphonnage se produise réellement.
Programme automatisé qui surveille un wallet compromis (un wallet dont l'opérateur connaît désormais la clé privée) et envoie instantanément tout fonds entrant vers une adresse contrôlée par l'attaquant, rendant le wallet définitivement inutilisable pour la victime.
Une arnaque ciblant les wallets qui glisse dans l'historique des transactions de la victime une fausse adresse imitant les premiers et derniers caractères d'une adresse qu'elle a récemment utilisée, dans l'espoir qu'elle copie-colle la mauvaise lors d'un futur envoi.
Un cold wallet conserve la clé privée hors ligne (appareil matériel ou papier) ; un hot wallet la stocke dans un logiciel connecté à Internet. Le cold wallet est nettement plus sûr face à la plupart des attaques de vidage de wallet et de phishing.
Un wallet qui exige les signatures de plusieurs clés privées (par exemple 2 sur 3 ou 3 sur 5) pour autoriser toute transaction sortante, ce qui signifie qu'une seule clé compromise ne peut pas vider le wallet.
Service ou contrat intelligent qui regroupe les cryptomonnaies de nombreux déposants et reverse des montants équivalents vers de nouvelles adresses, rompant le lien sur la blockchain entre les wallets source et destination.