7 types d'arnaques crypto à absolument connaître
Apprend à discerner les arnaques crypto les plus courantes (certaines étant assez sophistiquées).
Luca
15 minutes de lecture
·
À venir dans cet article
Les arnaques.
Elles sont tout bonnement inévitables.
Que ce soit dans le monde des cryptos ou en-dehors de celui-ci, les arnaques sont là pour rester.
Si tu veux minimiser les chances de te faire avoir, ce nouvel épisode de Culture Crypto est fait pour toi.
Dans celui-ci, je t'explique comment discerner sept types d'arnaques liées aux cryptomonnaies. La liste est organisée par niveau de sophistication.
Les arnaques les plus simplistes sont expliquées en premier, et les plus avancées en fin de liste.
Bonne lecture !
Tu ne trouveras pas les rug pull dans cet article car j'en parlerai dans un autre qui leur sera complètement dédié.
1. Promesses de rendement sur Youtube #
Ce type d'arnaque est assez récent.
Tu as peut-être déjà remarqué des vignettes similaires dans tes recommandations Youtube.
Ici, l'attaquant (la personne ayant créé la vidéo, pas forcément celle présente sur celle-ci) incite sa potentielle victime à télécharger et utiliser un logiciel spécifique.
Ce logiciel est sensé te rapporter des ethers (ou toute autre crypto) de manière régulière.
Mais bien évidemment... c'est faux.
Bien souvent, ce type de manipulation ne vise qu'à vider ton wallet. Soit en t'incitant à envoyer des cryptos à une adresse en particulier, soit en te subtilisant carrément ta clé privée (pas ta seed phrase).
N'installe donc aucun logiciel présenté dans ce genre de vidéos.
Qu'importe les promesses de gains ou le semblant de légitimité que certaines vidéos peuvent sembler avoir, n'installe rien.
Ce type de personnes jouent sur l'avidité que nous pouvons tous avoir à un moment ou à un autre. Cela dans le but de nous extirper de l'argent, parfois qu'importe les moyens.
2. La multiplication de cryptos #
Cette arnaque est simple mais efficace.
Elle peut avoir lieu sur des canals Telegram, sur Discord, ou sur toute autre application de messagerie.
Ici, le procédé est rapide.
L'attaquant incite sa victime potentielle à envoyer un montant de crypto à une certaine adresse. Il promet que la crypto envoyée sera retournée... en double (voire en triple soyons fous).
Envoie 0,5 BTC, tu recevras 1 BTC.
Envoie 2 ETH, tu recevras 4 ETH.
Tu comprends la logique.
Évidemment, après avoir envoyé ta crypto à l'adresse en question, il ne se passera rien. Tu ne seras pas crédité de quoi que ce soit, l'aventure s'arrêtera tout simplement là.
N'envoie donc pas de cryptos à une adresse te promettant de les multiplier d'une quelconque façon car... ça n'arrivera pas.
3. Le phishing #
C'est probablement la méthode la plus connue.
Le phishing (hameçonnage en français) consiste à faire croire à une victime qu'elle se trouve sur un site légitime d'une société réputée pour subtiliser ses identifiants.
Ici l'attaquant dispose d'un faux site ressemblant à l'original et invite la victime à entrer ses identifiants sur le site recréé. Quand elle les saisit, l'attaque est réussie : ils sont récupérés par l'attaquant.
Bien souvent, cette méthode commence par l'envoi d'un email se voulant similaire à ceux que le site légitime enverrait. Dans l'email, l'attaquant insère le lien vers son site frauduleux et c'est après avoir ouvert celui-ci que la victime pensera être sur le site original.
Une fois la victime incitée à utiliser le faux site, l'attaquant aura généralement réussi à obtenir ce qu'il veut.
Sache qu'il y a plusieurs niveaux de phishing.
Cela va de l'email contenant un paquet de fautes (donc facilement identifiable comme faux), à des emails identiques aux communication officielles et provenant parfois du vrai nom de domaine de la société légitime (comme l'histoire du Toyota Coin ).
Dans tous les cas, lorsque tu reçois un email te demandant de t'identifier sur un des services en ligne que tu utilises, soit, ne le fait pas, ou bien, redouble de vigilance.
Vérifie le contenu trois fois, l'adresse de l'expéditeur autant de fois et prend même le temps de rechercher sur internet si d'autres personnes n'ont pas reçu exactement le même email.
4. Le commentaire trompeur #
Cette arnaque est commune sur Youtube.
Dans les commentaires, particulièrement sur les chaînes comptant de nombreux abonnés, tu peux trouver des commentaires ventant le mérite d'un livre, d'un service, ou d'une personne en particulier.
Cela, dans le but de te faire dépenser de l'argent.
Tu te demandes si ça vaut le coup ?
Au mieux, ce que tu obtiendras sera médiocre.
Mais dans tous les cas, n'achète rien.
D'ailleurs, méfie-toi. Parfois, le profil de la personne postant le message semble être celui d'une personalité bien connue.
Ce n'est encore une fois qu'un subterfuge.
L'attaquant se sert de la popularité de la personnalité en question pour augmenter ses chances de tromper toute personne manquant de vigilance.
N'achète donc rien provenant de l'espace commentaires des plateformes telles que Youtube.
Note : Fais également très attention sur Twitter. Il est commun de tomber sur des commentaires présentant un coin créé par une personnalité (telle que Elon Musk) et dont le début de la vente est imminente.
Ce sont évidemment des arnaques où l'attaquant utilise la notoriété de quelqu'un pour tenter de duper le plus grand nombre.
5. L'arnaque sentimentale #
Sache que cette arnaque existait déjà avant même l'arrivée des cryptos.
Ici, l'attaquant établit un rapport de confiance avec la victime sur une certaine durée. Cela peut être plusieurs jours, voires plusieurs semaines.
Au bout du compte, l'objectif est toujours le même : soutirer de l'argent à la cible.
Et cette action peut prendre plusieurs formes :
- faire faire un virement à la victime en mentant sur ce que ça lui apportera
- faire croire à la victime qu'elle réalise des gains sur un faux site de trading
- faire penser à la personne qu'elle doit payer des frais pour retirer ses gains ou recevoir un service en particulier.
La liste des moyens utilisés n'a pas de fin.
Elle dépend de la créativité des attaquants — car oui, en fonction du niveau de sophistication, ils peuvent être un groupe feignant à la cible de n'être qu'une seule et même personne.
Dans ce type d'arnaque, la cible fini souvent par être manipulée émotionnellement et psychologiquement.
Il est donc important d'être conscient de l'existence de ce type d'attaque ainsi que de leur fonctionnement global.
Si tu souhaites connaître en détail le procédé (parfois impressionant de créativité) utilisé par ce type d'arnaqueur, consulte l'excellent article (en anglais) de Fraud Investigation sur le sujet.
Comment s'en prémunir ? #
Dans ce cas-là, cela dépend de l'habileté de la personne en face de toi.
La phase de mise en confiance pouvant être relativement longue, il est relativement aisé de baisser sa garde à un moment donné.
Toutefois, si tu fais simplement en sorte de ne pas suivre les conseils financiers de qui que ce soit (encore plus quand tu ne connais cette personne que depuis récemment), tu te protégeras facilement de toute tentative de manipulation.
N'utilise jamais de plateformes conseillées par une personne fraîchement rencontrée.
Même si celle-ci semble légitime.
Il est courant que ce type de malfaiteur réplique de manière crédible l'apparence de plateformes légitimes. Cela complique la différenciation avec celle qui ne l'est pas.
Néanmoins, une simple recherche Google sur le nom exact de la plateforme que l'attaquant tente de faire utiliser peut rapidement dissiper tout doute que tu pourrais avoir.
Les fausses plateformes n'apparaissant généralement pas dans les résultats de recherche.
6. Les attaques dust #
As-tu déjà reçu des tokens dont tu ignorais la provenance ?
Tu penses à un éventuel airdrop que tu aurais simplement oublié ?
Possible, mais pas dans ce cas.
Ici, tu es peut-être victime d'une dust attack.
Pour la réaliser, un attaquant envoie de petits montants de cryptomonnaie à diverses adresses. Après quoi, il scrute les potentielles activités réalisées par les adresses en question.
Le but ?
Identifier la véritable personne derrière une de ces adresses.
C'est ce que l'on nomme une tentative de désanonymisation.
Une fois que l'attaquant parvient à identifier les informations personnelles d'une victime potentielle, il peut mettre en oeuvre une stratégie de phishing, d'extorsion, ou toute autre joyeuseté malveillante.
6.1 Comment se protéger ? #
Pour te prémunir de ce type d'attaque, tu peux simplement ignorer la transaction en question. Aussi, ne pas cherche pas à interagir avec son émetteur.
Sache en effet qu'en fonction des blockchains, l'attaquant peut utiliser certaines métadonnées de transactions pour ajouter du contenu à celles-ci et t'inciter à visiter un site en particulier.
Le site en question est généralement un site frauduleux que l'attaquant contrôle. Donc si tu remarques des informations supplémentaires dans ces transactions d'origine inconnue, ne sois pas curieux. Ignore-les également.
Il y a autre chose...
Dans certains cas, la crypto envoyée par l'attaquant est une crypto dont tu ne te sers pas forcément pour réaliser tes transactions. Il envoie un token sans valeur dans l'espoir que tu cherches à le swap pour un autre.
Ici c'est simple : ne swap rien.
Là où ça devient délicat c'est lorsque la petite quantité de crypto envoyée par l'attaquant se mélange aux cryptos dont tu disposes déjà et que tu utilises souvent.
Vu que tu as l'habitude d'utiliser la crypto reçue, à un moment ou à un autre tu la dépenseras forcément.
Et en recoupant les informations de tes nouvelles transactions, l'attaquant pourrait être en mesure de t'identifier.
Pour lutter contre ça, tu as deux solutions :
- ne plus utiliser ton wallet lorsque tu suspectes une attaque dust
- ou recourir à un hierarchical deterministic wallet (ou HD wallet).
La première est assez contraignante mais utile si ce genre d'attaque t'angoisse.
La seconde option t'oblige à créer un nouveau compte crypto pour chaque nouvelle transaction que tu souhaites effectuer.
Cela peut sembler exagéré mais en fonction de ce que tu souhaites protéger, ça peut en valoir la peine. Et vu que Metamask est un HD wallet, adopter cette nouvelle façon d'utiliser ton wallet sera plus aisé qu'il ne le semble.
7. Le honeypot ERC-20 #
Ce type d'arnaque est quelque peu avancé.
Le principe est le suivant : l'attaquant met à disposition une cryptomonnaie qui peut être achetée mais pas vendue.
Cela est possible grâce aux DEX (tels que Uniswap ou 1inch) où il est possible de lister librement une cryptomonnaie.
L'attaquant en crée donc une et programme les smart contracts qui lui sont associés de sorte à ce que tout le monde puisse l'acheter mais pas la vendre.
Le hic c'est que souvent... c'est encore plus élaboré que ça.
L'attaquant peut aller jusqu'à whitelister certaines adresses pour que celles-ci — et uniquement celles-ci — soient autorisées à vendre le jeton en question.
Pour quelles raisons ?
Créer un semblant d'activité légitime.
Une fois plusieurs adresses whitelistées, il configure généralement des bots. Ce sont des logiciels qui exécutent des actions automatiquement de manière répétée.
L'attaquant crée donc plusieurs bots : certains qui achètent sa cryptomonnaie, et d'autres qui la vendent.
Une fois toute cette configuration en place, lorsque l'on observe l'order book de cette crypto, on constate simplement que "certaines personnes" achètent le token, et que d'autres la vendent.
C'est une belle manipulation.
Elle permet de réduire la vigilance de toute personne curieuse souhaitant potentiellement acheter la crypto qu'il a listé.
À partir de là, il ne lui reste plus qu'à attendre que des utilisateurs tombent dans le panneau. Une fois le token acheté, ils découvriront la mauvaise surprise au moment où ils tenteront de le vendre : c'est juste impossible.
Ils seront en possession d'un token ne valant rien et n'auront aucun moyen de s'en débarasser.
Comment le détecter ? #
Ça peut prendre du temps.
Voici toutefois quelques solutions, classées de la plus véloce à la plus chronophage.
a) Utiliser des scanneurs de honeypots
Tu peux copier-coller l'adresse du contrat du jeton que tu suspectes sur un site tel que Ape Space ou honeypot.is . Ce type de site t'indiquera si le token est frauduleux ou pas.
Il y a toutefois un hic.
Si le token en question est très récent, il y a de fortes de chances qu'il ne soit pas encore listé dans la base de données de ces scanneurs.
Tu dois donc opter pour une autre option.
b) Vérifier l'authenticité des vendeurs
En parcourant l'order book de la cryptomonnaie que tu suspectes, tu peux voir quelles adresses le vendent.
En analysant leurs transactions sur un explorateur, tu pourras comprendre à terme si elles sont légitimes ou générées par des bots.
Oui, conduire cette analyse demandera un certain temps.
Avec cette méthode, tu pourras toutefois être quasiment sûr de l'authenticité du coin que tu évalues.
Si toutefois tu souhaites une méthode encore plus rapide (et infaillible), la dernière option est toute indiquée.
c) Acheter un montant dérisoire
En dernier recours, tu peux aussi acheter le coin.
En en achetant un faible montant, tu pourras aisément tester si la vente est possible ou non.
Cette méthode est plutôt efficace sauf dans le cas (avouons le plutôt rare) où l'attaquant autoriserait la vente de tokens :
- à un certain intervalle (toute les 20 minutes par exemple) ou bien
- en deçà d'un montant donné.
Si tel était le cas, tu aurais toutefois une chance de percer à jour ce mécanisme en analysant les smart contracts déployés pour le jeton en question.
Cela demanderait néanmoins une certaine expertise technique, je te l'accorde.
Principes de précaution #
Cet article ne liste évidemment pas tous les types d'arnaques possibles et imaginables du domaine crypto.
Pour autant, ne t'en fais pas.
Qu'importe le type d'arnaque, il existe des façons de t'en prémunir sans trop d'efforts. Cela consiste à appliquer certains principes généraux de précaution.
Indépendamment du niveau de sophistication de l'arnaque, tu remarqueras que la finalité reste la même : te voler ton argent.
Suis donc ces quelques règles pour te constituer une sécurité décente contre tout type d'attaque.
1. Ne donne jamais ta phrase de récupération #
Ta seed phrase est l'information la plus importante que tu détiens.
À aucun moment un quelconque service crypto ne te la demandera.
Donc si tu tombes sur quelqu'un ou quelque chose te demandant cette information, tu sais d'office qu'il y a anguille sous roche !
Passe ton chemin et tout ira bien pour toi.
2. Fuis les promesses de gains #
Applique la plus grande vigilance face à toute personne te garantissant des promesses de gains.
L'investissement étant en soi une activité hautement spéculative, et les actions des autres étant encore moins prévisibles, il est totalement logique qu'aucune promesse de gain ne peut être formulée pour quiconque.
Garde toutefois en tête que se faire expliquer le rendement d'un actif en particulier ne représente pas de danger en soi.
Tant que l'explication ne vise pas à prédire tes performances futures avec l'actif en question, l'angle est correct.
3. Enquête sur le background de chaque opportunité #
Gagner de l'argent c'est facile, le perdre ça l'est encore plus.
Alors même si tu tombes sur (ou que quelqu'un te présente) des opportunités et que tu souhaites prendre le wagon le plus tôt possible, fais une pause.
Prend le temps d'enquêter sur la personne qui te la propose ou de rechercher de manière approfondie l'opportunité sur laquelle tu souhaites te positionner.
4. Vérifie les adresses email #
Lorque tu reçois un email, vérifie toujours le destinataire.
Relis plusieurs fois le nom de domaine.
Certains attaquants créent des noms proches de l'original qui peuvent être convaincant selon les conditions dans lesquelles tu le lis.
Un site sous le nom de nexò.com par exemple (ou encore nex0.com) a des chances d'être pris pour l'authentique nexo.com.
Certaines plateformes disposent d'une page listant tous les noms de domaine qu'ils utilisent. C'est un moyen de permettre aux utilisateurs de vérifier la légitimité des emails qu'ils reçoivent.
Nexo par exemple, précise sur leur page que toutes les communications effectuées par la société le sont via des emails dont le nom de domaine est @nexo.com.
Si tu as un quelconque doute sur la provenance d'un email, vérifie si le service que tu utilises ne dispose pas d'une telle page.
Et encore une fois, relis attentivement le nom de domaine utilisé.
5. Consulte le site du FBI #
Le FBI a mis en ligne une liste de sites crypto jugés comme étant frauduleux.
Par contre, sois prudent.
Internet regorge de sites frauduleux.
N'assumes donc pas qu'un site manquant à cette liste est forcément légitime. Cette liste n'est qu'un moyen parmi tant d'autres te permettant de te protéger.
6. Utilise Reddit #
Ce principe est le dernier de cette liste mais c'est généralement un des premiers que j'utilise.
Lorsque tu doutes de l'authenticité d'un quelconque service (ou même d'un simple email reçu), utilise Reddit .
De nombreuses personnes partagent quotidiennement d'innombrables informations sur des milliers de sujets. Il y a donc de fortes chances que le moindre service que tu soupçonnes soit déjà mentionné sur un des sub de Reddit.
Conclusion #
La liste des arnaques expliquées dans ce Culture Crypto ne recense pas toutes celles qui peuvent exister.
Quoi que tu fasses, reste bien vigilant et applique les principes de précautions présentés ici (et bien sûr d'autres si tu en as déja).
Si tu penses que quiconque peut bénéficier de cet épisode, partage-le !
Qui sait, tu pourrais éviter à tes proches de commettre de graves erreurs.
Sur ce, on se retrouve au prochain épisode de Culture Crypto !
↑un Tip ou un crypto-don
