stacked markets
N

Stacked Markets

Comment éviter les arnaques au phishing ciblant les traders DEX

Publié le 31 mai 2026 · Par Stacked Markets Research Team

Sommaire

  1. Pourquoi les traders DEX sont des cibles de choix
  2. Les sept vecteurs de phishing actifs en 2026
  3. Le guide de prévention en neuf règles
  4. Ce que protège l'architecture « zéro solde » - et ce qu'elle ne protège pas
  5. FAQ

En 2026, les traders DEX ont perdu plus de fonds via le phishing et la compromission de clés privées que par des bugs de smart contracts. Ce n'est pas une prédiction, c'est la réalité actuelle. Selon Chainalysis, le phishing et le vol de clés représentent désormais la plus grande part des pertes DeFi, dépassant pour la première fois les exploits au niveau des protocoles. Le rapport 2026 de Chainalysis sur la criminalité crypto estime à 17 milliards USD le montant volé via des escroqueries en 2025 - les arnaques à l'usurpation d'identité ont augmenté de 1 400 % sur un an, et les attaques assistées par IA génèrent 4,5 fois plus de profits par campagne que les méthodes traditionnelles.

Le piratage de Bybit en février 2026 (1,5 milliard USD, le plus grand vol crypto jamais enregistré) a commencé par de l'ingénierie sociale, et non par un exploit de code. L'incident de Drift Protocol en avril 2026 (285 millions USD) a suivi le même schéma : le groupe Lazarus a passé six mois à nouer des relations avec des membres de l'équipe via Discord et LinkedIn avant d'agir. Ce ne sont pas des exceptions. C'est le modèle d'attaque dominant.

Si vous gérez votre propre garde (self-custody) et tradez des perps on-chain, votre profil de risque diffère de celui d'un trader CEX. Il n'y a pas de réinitialisation de mot de passe, pas de service client, pas de mécanisme de gel. La surface d'attaque est votre portefeuille, l'interface que vous utilisez et chaque signature que vous approuvez. Cet article détaille les sept vecteurs utilisés contre les traders DEX et les mesures concrètes pour réduire votre exposition.

Pourquoi les traders DEX sont des cibles de choix

Votre adresse de portefeuille est publique. Chaque position détenue, chaque protocole utilisé, chaque solde disponible : tout est on-chain et consultable par quiconque.

Des opérations de « drainers » industrialisées scannent désormais automatiquement les portefeuilles pour identifier les cibles à haute valeur avant tout contact. Un audit de 2026 sur des portefeuilles compromis a identifié plus de 200 000 adresses systématiquement profilées par ces services avant toute attaque. Ce n'est pas du phishing aléatoire. C'est de l'ingénierie sociale ciblée et basée sur le renseignement.

La self-custody signifie qu'il n'y a aucun intermédiaire à appeler. Le règlement on-chain est définitif. Approuvez une transaction malveillante et les fonds disparaissent immédiatement et définitivement. Cette finalité est précisément ce qui rend les traders DEX si attrayants pour les attaquants.

Les sept vecteurs de phishing actifs en 2026

1. Fausses interfaces et domaines typosquattés

Des clones parfaits d'interfaces comme Hyperliquid, Uniswap et d'autres DEX populaires sont hébergés sur des domaines typosquattés. Les publicités Google ont été utilisées à plusieurs reprises pour placer ces faux sites au-dessus des résultats organiques, une tendance documentée tout au long de 2025 et 2026.

Vous connectez votre portefeuille. Vous voyez une interface familière. Vous approuvez ce qui semble être une transaction d'« activation de trading ». Ce que vous avez réellement signé est une approbation de jetons illimitée qui vide votre portefeuille.

La seule défense fiable est la barre d'URL. Mettez en favori l'adresse exacte de chaque DEX que vous utilisez. Ne naviguez jamais vers un protocole via un moteur de recherche. Ne cliquez jamais sur un lien Telegram ou Discord pour accéder à une interface de trading.

2. Demandes de signature malveillantes et signature aveugle

C'est le vecteur le plus dangereux pour les traders DEX. Une signature de portefeuille est irréversible dès qu'elle est confirmée.

Les attaquants présentent une invite de signature qui ressemble à une approbation d'ordre standard. En réalité, il s'agit d'un appel permit() ou setApprovalForAll() qui autorise le drainer à déplacer tous les jetons de votre portefeuille. L'affichage par défaut de MetaMask pour ces appels n'est pas toujours lisible, ce sur quoi comptent les attaquants.

eth_sign est la méthode la plus risquée car elle permet de signer des données arbitraires sans affichage lisible par l'humain. Les terminaux réputés utilisent personal_sign avec des invites structurées et lisibles. Chez Stacked Markets, chaque signature d'ordre affiche les paramètres de limite IOC et le prix d'exécution pire cas avant l'apparition de la fenêtre de confirmation. Il n'y a pas de signature aveugle dans le flux d'ordre normal. C'est un choix de conception délibéré.

La fonction de simulation de transaction de Rabby Wallet vous montre le changement d'état exact qu'une signature déclenchera avant confirmation. Si vous voyez des approbations de jetons inattendues dans la simulation, refusez immédiatement.

3. Compromission de Discord et Telegram

L'attaque de Drift Protocol est l'exemple le plus clair de 2026 : le groupe Lazarus a cultivé des relations avec des membres de l'équipe pendant six mois via Discord et LinkedIn avant l'exploit. Pour les traders individuels, l'attaque est plus rapide et directe.

Le schéma : vous postez sur le Discord d'un protocole à propos d'une transaction échouée. En quelques minutes, un compte « modérateur » ou « support » vous envoie un DM avec un lien de correction. Le nom d'utilisateur semble officiel (caractères Unicode invisibles ou glyphes similaires). Le lien mène à une fausse interface.

D'autres variantes incluent de fausses annonces d'airdrop et de faux DM d'alerte de sécurité prétendant que votre portefeuille a été signalé. La règle est simple : aucun modérateur ou support légitime ne vous contacte en premier par DM. Si quelqu'un le fait, c'est une arnaque. Bloquez et signalez.

4. Phishing généré par IA et communications deepfake

Le rapport Chainalysis 2026 documente les arnaques assistées par IA comme étant 4,5 fois plus rentables que le phishing traditionnel. La raison est la précision. Un e-mail de phishing généré par IA peut inclure votre adresse réelle, des détails de position précis, des hashs de transactions réels et un style de communication imitant parfaitement le protocole que vous utilisez, car toutes ces données sont publiques.

Les appels vocaux deepfake sont désormais documentés. Les attaquants clonent la voix d'un membre connu d'un protocole et appellent avec une demande urgente. L'indice est toujours l'urgence combinée à une demande d'agir via un lien externe ou d'approuver une transaction. Ralentissez. Vérifiez via un canal séparé avant toute action.

5. Fausses applications de portefeuille et extensions malveillantes

En février 2026, le phishing par usurpation de Trezor a atteint un nouveau niveau : des lettres physiques ont été envoyées à des adresses issues de la fuite de données Ledger de 2020 (272 000 enregistrements), demandant aux destinataires de mettre à jour leur firmware via une fausse URL. Une fuite vieille de plusieurs années est toujours utilisée pour cibler les propriétaires de portefeuilles matériels.

Des forks malveillants de MetaMask, Rabby et Phantom apparaissent régulièrement sur le Chrome Web Store. Ils ont des avis, semblent légitimes et volent les clés dès la première utilisation. Téléchargez uniquement le logiciel de portefeuille depuis le domaine officiel. Vérifiez le nom exact de l'éditeur avant d'installer une extension. Si le domaine de l'éditeur ne correspond pas exactement au site officiel, ne l'installez pas.

6. Empoisonnement d'adresse

L'attaquant génère une adresse de portefeuille qui partage les quatre à six premiers et derniers caractères avec une adresse que vous utilisez régulièrement (votre pont Arbitrum, une adresse de dépôt CEX, une contrepartie fréquente).

Ils envoient une petite transaction de poussière vers votre portefeuille depuis l'adresse empoisonnée, l'inscrivant dans votre historique. Vous copiez ce que vous pensez être l'adresse familière depuis l'historique. Vous envoyez les fonds à l'attaquant.

Ceci est particulièrement pertinent pour les traders Hyperliquid retirant de l'USDC vers Arbitrum, où la même adresse de dépôt est réutilisée. Ne copiez jamais une adresse depuis l'historique. Utilisez des contacts enregistrés ou des noms ENS. Vérifiez l'adresse complète caractère par caractère sur l'écran de votre portefeuille matériel avant de confirmer tout retrait.

7. Attaques de la chaîne d'approvisionnement sur les dépendances front-end

L'attaquant compromet un package npm ou une bibliothèque JavaScript largement utilisée par plusieurs interfaces DeFi (des bibliothèques comme WalletConnect ou Web3Modal sont des cibles documentées). Un code malveillant est injecté pour intercepter les signatures au niveau du navigateur. Vous êtes sur une URL parfaitement légitime. L'interface semble normale. La compromission est invisible.

En tant que trader, vos meilleures protections sont : utiliser un portefeuille matériel pour toute activité non triviale (le JS malveillant ne peut pas extraire les clés privées d'un appareil matériel), activer la simulation de transaction de Rabby et surveiller les alertes BlockSec Phalcon.

Stacked Markets ne stocke jamais les clés côté serveur. Si l'interface était compromise au niveau des dépendances, il n'y a aucune clé sur les serveurs de Stacked à voler. Une attaque de chaîne d'approvisionnement sur l'interface ne peut pas accéder aux fonds au-delà de ce que vous avez déjà approuvé dans la session actuelle. La confirmation sur portefeuille matériel ajoute une seconde couche que le code malveillant ne peut contourner.

Le guide de prévention en neuf règles

  1. Mettez en favori chaque URL DEX utilisée. Ne naviguez jamais via un moteur de recherche. Ne cliquez jamais sur des liens Discord ou Telegram pour accéder à une interface.
  2. Simulez chaque transaction avant de signer. Rabby Wallet montre le changement d'état exact qu'une signature déclenchera. Des approbations de jetons inattendues signifient : refusez immédiatement.
  3. Révoquez les approbations après chaque session. Utilisez revoke.cash ou le vérificateur d'approbation d'Etherscan. Les anciennes approbations illimitées sont la surface d'attaque la plus simple pour tout attaquant compromettant un protocole.
  4. Utilisez un portefeuille matériel pour toute activité on-chain non triviale. Une interface malveillante ne peut pas extraire votre clé privée d'un appareil matériel. L'écran de l'appareil affiche ce que vous signez réellement, pas ce que le navigateur veut vous faire croire.
  5. Séparez vos portefeuilles par fonction. Portefeuille « chaud » pour le trading actif de petites positions. Portefeuille « froid » pour tout montant substantiel. Ne connectez jamais votre portefeuille de stockage à froid à une interface DeFi.
  6. Aucun modérateur de protocole ne vous contacte en premier par DM. Le support légitime se trouve toujours sur les canaux publics. Tout DM non sollicité offrant de l'aide, un airdrop ou une alerte de sécurité est une arnaque. Bloquez et signalez sans répondre.
  7. Vérifiez les éditeurs d'extensions avant installation. Le domaine du développeur doit correspondre au site officiel. L'éditeur de MetaMask est metamask.io. En cas de divergence, n'installez pas.
  8. Ne précipitez jamais une signature. L'urgence est l'outil principal de l'attaquant. Un ordre de protocole légitime attendra 30 secondes que vous lisiez attentivement l'invite de signature. Si une pression vous pousse à signer vite, cette pression est l'attaque.
  9. Vérifiez l'adresse complète, pas seulement les premiers et derniers caractères. Vérifiez sur l'écran de votre portefeuille matériel. L'empoisonnement d'adresse exploite l'habitude de la correspondance partielle, une habitude facile à briser une fois que vous connaissez l'attaque.

Ce que protège l'architecture « zéro solde » - et ce qu'elle ne protège pas

L'architecture non-custodial supprime la plateforme comme vecteur d'attaque. Elle ne vous supprime pas, vous, comme vecteur.

Stacked Markets ne détient aucun solde utilisateur et aucune clé de signature. Si les serveurs de Stacked étaient compromis, il n'y a rien à voler. Votre marge réside sur le protocole on-chain d'Hyperliquid, le même protocole qui détient environ 7,3 milliards USD d'intérêt ouvert sur plus de 150 marchés en 2026, avec un historique de sécurité indépendant.

Ce que cela ne protège pas : si vous connectez votre portefeuille à un domaine Stacked Markets usurpé et approuvez une transaction malveillante, vous signez depuis votre propre portefeuille. L'architecture protège contre le vol au niveau de la plateforme. Elle ne peut pas vous protéger si vous approuvez la mauvaise chose sur le mauvais site.

Ce n'est pas une critique de la conception non-custodial. C'est une description honnête de la localisation du risque restant. Le guide de prévention ci-dessus comble cette lacune. L'architecture non-custodial et la sécurité opérationnelle personnelle sont toutes deux nécessaires. Aucune ne remplace l'autre.

Essayez Stacked Markets sur le testnet - pratiquez le flux de signature complet avant de passer au réel avec de vrais fonds.

stackedmarkets.com

FAQ

Quelle est l'attaque de phishing la plus courante sur les traders DEX en 2026 ?

Les faux domaines d'interface et les demandes de signature malveillantes sont les deux vecteurs les plus fréquents. Les attaquants clonent les interfaces DEX sur des domaines typosquattés et utilisent Google Ads pour les placer au-dessus des résultats légitimes. Les traders connectent leur portefeuille et approuvent ce qui semble être une transaction standard, qui est en fait une approbation de jetons illimitée. Le rapport Chainalysis 2026 identifie le phishing et la compromission de clés privées comme la plus grande catégorie de pertes DeFi, devant les exploits de smart contracts.

Comment savoir si une demande de signature de portefeuille est sûre ?

Lisez l'intégralité de l'invite de signature avant de confirmer. Les signatures d'ordres DEX légitimes affichent des paramètres spécifiques et lisibles : type d'ordre, prix, taille, exécution pire cas. Si vous voyez un appel permit(), setApprovalForAll() ou toute demande d'approuver des dépenses de jetons que vous n'avez pas initiées, refusez. Utilisez la simulation de transaction de Rabby Wallet pour voir le changement d'état exact. Les approbations de jetons inattendues dans la simulation sont votre réponse.

Une attaque de phishing peut-elle voler des fonds d'un portefeuille matériel ?

Une attaque de phishing ne peut pas extraire la clé privée d'un portefeuille matériel, la clé ne quitte jamais l'appareil. Cependant, si vous approuvez une transaction malveillante sur votre portefeuille matériel parce que vous n'avez pas lu l'invite attentivement, les fonds peuvent être volés. Le portefeuille matériel affiche ce que vous signez réellement sur son propre écran, indépendamment de ce que montre le navigateur. Vérifiez toujours sur l'écran de l'appareil, pas sur le navigateur.

Qu'est-ce que l'empoisonnement d'adresse et comment l'éviter ?

L'empoisonnement d'adresse survient lorsqu'un attaquant génère une adresse de portefeuille ressemblant étroitement à une adresse que vous utilisez régulièrement, puis envoie une petite transaction de poussière vers votre portefeuille. Si vous copiez une adresse depuis votre historique, vous risquez de copier l'adresse de l'attaquant. Évitez cela en ne copiant jamais d'adresses depuis l'historique. Utilisez des contacts enregistrés, des noms ENS ou vérifiez chaque caractère sur l'écran de votre portefeuille matériel avant de confirmer.

Si je suis victime de phishing sur un DEX, puis-je récupérer mes fonds ?

Dans la plupart des cas, non. Les transactions on-chain sont définitives. Il n'y a pas de service client, pas de mécanisme de rétrofacturation et pas de capacité de gel. Si vous avez approuvé une approbation de jetons malveillante, révoquez-la immédiatement en utilisant revoke.cash pour éviter une vidange ultérieure, mais les fonds déjà transférés sont perdus. La vitesse compte : si vous réalisez que vous avez signé quelque chose de malveillant, révoquez l'approbation avant que l'attaquant n'exécute le drainage.

Comment signaler une fausse interface DEX ou un domaine de phishing ?

Signalez le domaine à Google Safe Browsing via leur outil de signalement. Signalez-le aux canaux officiels du protocole légitime afin qu'ils puissent avertir leur communauté. Si le domaine usurpe un portefeuille ou un protocole spécifique, contactez directement l'équipe de sécurité du projet via leur site officiel ou GitHub. Les domaines de phishing sont parfois supprimés en quelques heures lorsqu'ils sont signalés via les bons canaux.

Un terminal non-custodial est-il plus sûr contre le phishing qu'un CEX ?

Cela dépend du type d'attaque. Pour les attaques au niveau de la plateforme (insolvabilité, compromission de serveur, vol interne), l'architecture non-custodial offre un avantage structurel car il n'y a pas de fonds à voler au niveau de la plateforme. Pour le phishing d'interface et les attaques de signature malveillantes, le profil de risque est similaire ou plus élevé, car approuver une transaction malveillante sur un DEX est irréversible, contrairement à une transaction CEX. Le trading non-custodial transfère la responsabilité de sécurité vers vous. C'est le compromis correct pour les traders souhaitant la self-custody, mais cela exige une discipline opérationnelle à la hauteur.

Follow us
@stackedmarkets

Resources

All trading involves risk.

Perpetual futures use leverage. You can lose all collateral. Stackedmarkets does not custody funds or hold your main wallet keys. We do not provide investment advice. Nothing here is an offer to buy or sell. Trade only with capital you can afford to lose. Always verify testnet vs mainnet in the product chrome.

Stacked Markets is a decentralized perpetual futures trading platform. All trading activities are conducted on-chain and are subject to blockchain network conditions and smart contract risks.

Trading perpetual futures involves substantial risk of loss and is not suitable for all investors. Past performance is not indicative of future results. The high degree of leverage can work against you as well as for you. Before deciding to trade, you should carefully consider your investment objectives, level of experience, and risk appetite.

The information provided on this platform does not constitute investment advice, financial advice, trading advice, or any other sort of advice, and you should not treat any of the platform's content as such.

stacked markets

© 2026 Stacked Markets. All rights reserved.