Un utilisateur de Bybit a perdu 1 200 $ après qu’un malware de presse-papiers a silencieusement échangé son adresse de portefeuille en cours de transfert. Voici ce qui s’est passé et comment cela fonctionne.
L’argent a quitté son portefeuille MetaMask proprement. Aucune erreur. Aucun avertissement. Juste disparu.
Un utilisateur de Bybit a envoyé 1 200 $ à ce qu’il croyait être sa propre adresse de dépôt. Dix minutes se sont écoulées. Puis une heure. Aucune confirmation de Bybit n’est jamais arrivée. Selon le compte de sécurité crypto BalaiBB sur X, l’utilisateur avait copié son adresse de portefeuille Bybit, ouvert MetaMask, collé et appuyé sur envoyer, comme tout le monde le fait.
Ce qu’il a découvert en vérifiant la transaction
Lorsque le dépôt n’était toujours pas apparu, BalaiBB a posté sur X que l’utilisateur est retourné voir l’adresse à laquelle il avait réellement envoyé. Ce n’était pas la sienne. L’appareil exécutait un malware de détournement de presse-papiers. Au moment où l’adresse a été copiée, le malware l’a remplacée par un portefeuille contrôlé par un attaquant. Il a collé le remplacement. Il a envoyé à un inconnu.
Le malware n’a jamais fait de bruit.
Ce type d’attaque s’exécute en arrière‑plan d’un appareil Android compromis, attendant. Lorsqu’il détecte une longue chaîne alphanumérique qui ressemble à une adresse de portefeuille crypto, il la remplace instantanément. L’utilisateur ne voit rien changer. Le collage semble identique à première vue. Seuls les quatre derniers caractères racontent l’histoire, si quelqu’un prend la peine de vérifier. Selon BalaiBB sur X, la solution simple est de toujours comparer les quatre premiers et les quatre derniers caractères de toute adresse après collage, avant de confirmer une transaction.
Selon des chercheurs en cybersécurité chez CNC Intel, les détourneurs de presse-papiers peuvent pénétrer un appareil via de fausses extensions de navigateur, des chevaux de Troie intégrés dans des téléchargements douteux, ou des liens de phishing. Une souche connue, Qulab, ciblait spécifiquement les appareils Android en se déguisant à l’intérieur de fausses applications Tor Browser distribuées via des magasins d’applications non officiels. Le malware se configure pour s’exécuter au démarrage.
Cinq façons dont votre portefeuille se vide sans que vous cliquiez sur quoi que ce soit d’évident
BalaiBB ne s’est pas arrêté à l’avertissement du presse-papiers. Dans un fil de discussion de suivi sur X, le compte a énoncé quatre autres types d’attaques qui vident les portefeuilles tout aussi silencieusement.
Les fausses approbations de jetons sont arrivées en deuxième sur la liste. Un jeton aléatoire apparaît dans un portefeuille. L’utilisateur essaie de le vendre sur un DEX. Au moment où il approuve la transaction, le contrat vide tout. La règle de BalaiBB : si vous ne l’avez pas acheté, n’y touchez pas.
Les sites de phishing, qui sont des copies de plateformes DeFi légitimes avec des URL presque identiques, se classent troisièmes. L’URL uniswop.com au lieu de uniswap.org est le genre de différence que la plupart des utilisateurs ignorent en défilant. Une connexion de portefeuille plus une transaction approuvée, et les fonds sont partis. Comme BalaiBB l’a noté sur X, mettre en signet les sites officiels est la seule défense fiable.
Le faux support client a complété le tableau. Quelqu’un tweete un problème avec MetaMask. En quelques minutes, un « agent de support » lui envoie un message privé demandant une phrase de récupération pour « résoudre le problème ». BalaiBB sur X a été catégorique à ce sujet : aucune entreprise légitime ne demandera jamais une phrase de récupération. Pas une fois.
Le cinquième type d’attaque, l’ingénierie sociale sur Discord, opère via des comptes de modérateurs compromis dans des serveurs légitimes. Un faux lien de « mint surprise » ou d’airdrop est envoyé depuis un nom de confiance. Les gens cliquent parce que cela vient de quelqu’un qu’ils reconnaissent. Ils connectent leur portefeuille. Les fonds disparaissent.
De fausses applications Google Play offrant un comportement similaire d’échange de presse-papiers ont déjà été documentées ciblant des appareils Android au Brésil, où des attaquants ont construit des pages de magasin d’applications imitées pour distribuer des malwares qui échangent spécifiquement les adresses de portefeuille lors de transferts USDT.
La partie que personne ne mentionne : il n’y a pas de remboursement
Les transactions blockchain sont définitives. Il n’y a pas de ticket de support, pas de fenêtre de contestation, pas de banque à appeler. CNC Intel a confirmé que récupérer des crypto‑monnaies volées via le détournement de presse-papiers est presque impossible une fois la transaction confirmée. L’entreprise a noté avoir travaillé aux côtés des forces de l’ordre pour tracer les fonds dans de tels cas, bien que la récupération reste rare.
L’adresse volée peut être tracée sur la chaîne. L’argent, pratiquement parlant, ne peut pas être récupéré.
Avril 2026 a enregistré 620 millions de dollars de pertes crypto sur 20 incidents, le pire total mensuel depuis la brèche de Bybit en février 2025. La plupart de ces pertes provenaient de défaillances au niveau de l’infrastructure. Le vol de 1 200 $ via presse‑papiers se situe à l’extrémité opposée de l’échelle. Méthode différente. Même résultat.
CNC Intel recommande de remplacer le contenu du presse‑papiers par un texte aléatoire après avoir copié une adresse de portefeuille, d’effectuer des analyses antivirus complètes avec des outils comme Malwarebytes ou Kaspersky, et de vérifier l’onglet de démarrage de Windows via msconfig pour toute entrée inconnue. Sur Android, les magasins d’applications non officiels sont là où la plupart des infections commencent.
Les 1 200 $ de l’utilisateur ne reviendront pas. Ce qu’il a obtenu à la place, c’est une leçon qui a coûté moins cher que ce que la plupart des gens paient pour l’apprendre.
Laisser un commentaire