Un trader en cryptomonnaies a perdu environ 1 million de dollars après avoir été victime d'une attaque de phishing exploitant la fonctionnalité Permit2 de Uniswap, selon des rapports récents. L'attaquant a trompé la victime en lui faisant signer un message malveillant lui accordant un accès complet au portefeuille, sans qu'aucune vulnérabilité du protocole ou faille technique ne soit impliquée. L'incident s'inscrit dans une vague plus large de phishing qui a généré au total 14 milliards de dollars de pertes en escroqueries onchain en 2025, contre 12 milliards en 2024, selon le Rapport sur la criminalité crypto 2026 de Chainalysis. L'attaque a réussi parce que le trader a signé une autorisation hors chaîne qu'il croyait légitime, montrant comment la fonctionnalité de commodité de Permit2 peut devenir un vecteur d'attaque lorsque les utilisateurs interagissent avec des interfaces trompeuses.
La perte de 1 million de dollars résulte d'une attaque de phishing exploitant le contrat Permit2 de Uniswap, un système d'approbation de jetons conçu pour simplifier les interactions DeFi. Permit2 permet une seule signature hors chaîne pour approuver plusieurs interactions de jetons en une fois, éliminant la nécessité de transactions onchain séparées pour chaque interaction avec le protocole. Une autre victime a perdu environ 196 000 dollars dans une attaque similaire impliquant le jeton $VIRTUAL . Dans les deux cas, aucune faille technique du protocole Uniswap n’a été exploitée — les attaques ont réussi par tromperie des utilisateurs plutôt que par vulnérabilités des contrats intelligents. Des sites de phishing se faisaient passer pour des interfaces DeFi légitimes, notamment des pages de réclamation d’airdrop et des écrans d’échange, pour présenter des demandes de signature Permit2 convaincantes au moment opportun. Une fois signés, les contrats malveillants ont obtenu un accès immédiat à l’intégralité des portefeuilles des victimes sans confirmation supplémentaire.
Les escroqueries onchain ont généré au moins 14 milliards de dollars de pertes en 2025, contre 12 milliards en 2024, selon le Rapport sur la criminalité crypto 2026 de Chainalysis. En janvier 2026 seulement, le phishing et l’ingénierie sociale ont représenté 370 millions de dollars de pertes crypto totales, avec un incident contribuant à 284 millions de dollars de ce total, selon les données de CertiK. Depuis 2021, le phishing d’approbation est responsable de plus d’un milliard de dollars de pertes déclarées. Les pertes liées aux portefeuilles drainés ont diminué de 83 % en 2025, atteignant environ 84 millions de dollars, ce qui indique que les opérations de démantèlement d’infrastructures ciblées ont réduit ce vecteur d’attaque spécifique. Cependant, le phishing d’approbation fonctionne sur une infrastructure différente exploitant les mécanismes légitimes du protocole plutôt que des contrats malveillants déployables. L’opération Atlantic, menée en avril 2026, a abouti au gel d’environ 12 millions de dollars liés à des schemes de phishing par approbation.
Revoke.cash permet aux utilisateurs d’auditer et d’annuler les approbations de jetons en attente, y compris les permissions Permit2. Effectuer une vérification de révocation après toute interaction avec un protocole nouveau ou inconnu limite la fenêtre de dommage si une approbation malveillante est accordée. Vérifier les adresses des contrats avant de signer toute demande d’approbation est essentiel, car les sites de phishing sont conçus pour être visuellement indiscernables des plateformes légitimes. Les portefeuilles matériels ajoutent une étape de confirmation physique mais ne protègent pas contre la signature d’un message malveillant sur un site compromis — si un utilisateur connecte un portefeuille matériel à un site malveillant et confirme manuellement une demande de signature Permit2, l’appareil physique devient partie intégrante de l’attaque plutôt qu’une protection. Les pratiques défensives incluent la vérification des adresses des contrats dans chaque invite de signature contre des adresses légitimes connues, la réalisation d’audits réguliers avec Revoke.cash ou des outils équivalents, et la méfiance envers toute demande de signature Permit2 inattendue jusqu’à vérification.
Qu’est-ce que Permit2 de Uniswap et pourquoi présente-t-il un risque de phishing ?
Permit2 permet aux utilisateurs de signer un seul message hors chaîne pour approuver plusieurs interactions de jetons simultanément. Une seule signature malveillante peut donner à un attaquant un accès large et immédiat à l’intégralité du portefeuille d’un utilisateur sans étape de confirmation supplémentaire.
Comment les attaquants ont-ils exploité Permit2 dans l’incident de perte d’1 million de dollars ?
Les attaquants ont créé des sites se faisant passer pour des plateformes DeFi légitimes et ont incité les utilisateurs à signer des messages Permit2. Comme Permit2 ne génère pas d’avertissement ou d’écran de confirmation onchain, les victimes n’avaient aucune indication qu’elles autorisaient un contrat malveillant, ce qui a permis des transferts de fonds immédiats et non autorisés.
Quel impact financier le phishing d’approbation a-t-il eu dans l’industrie crypto ?
Le phishing d’approbation a causé plus d’un milliard de dollars de pertes déclarées depuis 2021. Il a contribué aux 14 milliards de dollars de pertes totales en escroqueries onchain enregistrées par Chainalysis pour 2025, et les données de CertiK montrent que le phishing et l’ingénierie sociale à eux seuls ont causé 370 millions de dollars de pertes en janvier 2026.
Actualités associées
L'industrie de la crypto se prépare à la menace de l'informatique quantique sur le chiffrement de la blockchain
DAXA met en garde contre des sites de phishing se faisant passer pour des échanges de cryptomonnaies coréens
Trader Ethereum perd $2M dans une exploitation de backrun en un seul bloc sur Uniswap
Un échange de 2 millions de dollars en Ether se termine en $14K après une erreur de routage due à une faible liquidité.