Ce qui s'est passé en quelques secondes
Mingo, streamer crypto suivi sur Twitch, a connecté son wallet à ce qu'il pensait être un site légitime. Il a signé une transaction. C'est tout. En quelques secondes, son wallet affichait zéro.
Derrière cette opération se trouvait un drainer : un contrat malveillant conçu pour obtenir une autorisation de transfert via une signature apparemment anodine. Une fois la signature accordée, le contrat exécute le transfert de la totalité des fonds sans aucune étape supplémentaire. La blockchain valide, l'opération est inscrite, et elle est irréversible. Ni Twitch, ni aucune plateforme centralisée ne peut annuler ce qui s'est passé on-chain.
Le montant total dérobé s'élève à 115 500 dollars.
Pourquoi ce type d'attaque fonctionne encore
Les drainers exploitent un angle mort comportemental. L'URL du faux site ressemble trait pour trait à celle d'un projet connu : une lettre changée, un domaine alternatif, parfois un certificat SSL valide pour renforcer l'illusion. En live, sous la pression du direct et de son audience, Mingo n'a pas pris le temps de vérifier.
Ce vecteur d'attaque n'est pas nouveau, mais il reste redoutablement efficace. Les victimes sont souvent des profils expérimentés, pas des débutants : la familiarité avec les interfaces Web3 crée une fausse confiance. On signe vite parce qu'on a l'habitude de signer.
La règle est simple, et elle ne souffre aucune exception : vérifier l'URL caractère par caractère avant de connecter son wallet, et ne jamais signer une transaction sur un site dont la légitimité n'a pas été confirmée via une source officielle, Discord vérifié ou documentation du projet. Un doute, même infime, doit suffire à stopper le geste.
