En 2026, les arnaques crypto ont coûté plus de 9 milliards de dollars aux victimes dans le monde selon Chainalysis. Voici les techniques les plus utilisées par les escrocs — et les réflexes pour s’en protéger.
1. Le phishing : l’arnaque la plus courante
Le phishing consiste à se faire passer pour un service légitime (Ledger, MetaMask, Coinbase, Binance…) pour voler vos identifiants ou votre seed phrase.
Comment ça marche
- Email imitant Ledger : “Votre portefeuille a été compromis, entrez vos 24 mots pour sécuriser vos fonds”
- Faux site web avec une URL quasi-identique (ex:
ledgèr.com,coinbase-wallet.io) - Publicité Google menant vers un faux MetaMask
- Discord/Telegram : faux support technique vous demandant votre seed phrase
Réflexes anti-phishing
- Jamais entrer votre seed phrase en ligne, sur aucun site, pour aucune raison
- Vérifier l’URL exacte avant chaque connexion (bookmarker les vrais sites)
- Installer l’extension anti-phishing de votre wallet (MetaMask en a une)
- Ignorer tout support “proactif” — les vrais services n’initient pas les contacts
2. Le rug pull : quand les créateurs s’enfuient avec les fonds
Un rug pull se produit quand les développeurs d’un projet abandonnent soudainement le projet et s’enfuient avec les liquidités des investisseurs.
Les types de rug pull
Hard rug pull : Les développeurs retirent brutalement toute la liquidité du pool DeFi du jour au lendemain. Le token s’effondre à 0 en quelques secondes.
Slow rug pull : Les fondateurs vendent progressivement leurs tokens en masse sur plusieurs semaines, faisant baisser le prix doucement avant de disparaître.
Exit scam : Un projet lève des fonds (ICO, IDO) et disparaît une fois l’argent collecté.
Signaux d’alerte
- Équipe anonyme sans historique vérifiable
- Contrat intelligent non audité
- Liquidité non verrouillée (pouvant être retirée à tout moment)
- Tokenomics avec 50%+ dans les mains de l’équipe
- Hype extrême sur les réseaux sociaux sans substance technique
- Impossibilité de revendre le token (honeypot — voir ci-dessous)
3. Le honeypot : le token qu’on ne peut pas revendre
Un honeypot est un token conçu pour permettre l’achat mais interdire la revente. Le contrat intelligent contient une restriction cachée qui empêche les wallets extérieurs de vendre.
Comment le détecter avant d’acheter
- Tester le token sur Honeypot.is (outil gratuit)
- Vérifier le contrat sur Token Sniffer ou De.fi
- Regarder les transactions récentes : y a-t-il des ventes réussies ?
- Se méfier des tokens sans audit, créés il y a quelques heures
4. Les faux giveaways
“Envoyez 1 ETH, recevez 2 ETH en retour.” Ce type d’arnaque ne trompe plus grand monde, mais reste massivement diffusé via des comptes YouTube piratés (faux Elon Musk, faux Vitalik Buterin) et des publicités Instagram.
Règle absolue : aucun giveaway légitime ne vous demande d’envoyer d’abord des cryptos.
5. Le SIM swapping
Le SIM swapping consiste à convaincre votre opérateur téléphonique de transférer votre numéro sur une nouvelle carte SIM contrôlée par l’attaquant. Une fois le numéro volé, l’escroc peut recevoir vos SMS de double authentification et accéder à vos comptes.
Protection
- Ne jamais utiliser le SMS comme seul facteur 2FA pour vos exchanges
- Utiliser une app d’authentification (Google Authenticator, Authy) ou une clé physique (YubiKey)
- Activer un PIN de protection chez votre opérateur téléphonique
6. Les faux tokens et contrefaçons
Sur les DEX comme Uniswap ou PancakeSwap, n’importe qui peut créer un token avec le même nom qu’un projet légitime. Il peut exister des dizaines de faux “SHIB” ou “USDT”.
Protection
- Toujours copier l’adresse officielle du contrat depuis CoinMarketCap ou CoinGecko
- Vérifier le contrat sur Etherscan/BscScan avant d’interagir
- Ne jamais cliquer sur des liens dans des DM Discord ou Telegram
7. Les drainer de wallets (wallet drainers)
Ces scripts malveillants se déguisent en sites NFT, DeFi ou airdrops légitimes. Quand vous connectez votre wallet et signez une transaction, ils obtiennent une autorisation illimitée pour vider votre portefeuille.
Protection
- Utiliser Revoke.cash pour vérifier et révoquer vos approbations de tokens
- Vérifier chaque transaction avant de signer (montant, adresse de destination)
- Utiliser un wallet dédié aux interactions DeFi, séparé de votre cold storage
- Méfiance totale envers les airdrops non sollicités
8. Les faux influenceurs et pump & dump
Des inconnus vous contactent sur Telegram ou WhatsApp pour vous recommander un token “pépite” en avant-première. Ce sont les opérateurs du pump & dump : ils ont acheté massivement en bas, font monter artificiellement le prix grâce aux recommandations, puis vendent au sommet en laissant les nouveaux arrivants avec des pertes.
Le kit anti-arnaque — checklist
| Vérification | Outil |
|---|---|
| Honeypot check | honeypot.is |
| Audit du contrat | tokensniffer.com |
| Vérifier les approbations | revoke.cash |
| Vérifier une adresse | etherscan.io |
| Signalement d’arnaque | cryptoscamdb.net |
| Prix réel du token | coingecko.com |
La règle des 3 jamais
- Jamais partager votre seed phrase, à personne, pour aucune raison
- Jamais investir sous pression, dans l’urgence, ou “pour ne pas rater”
- Jamais faire confiance à des rendements irréalistes (+100% garantis, etc.)
📚 Pour approfondir : lisez notre guide complet de sécurisation des cryptos et notre cours Sécurité Crypto.