Le marché des actifs numériques concentre une densité d’arnaques sans équivalent dans la finance traditionnelle. Pas parce que la blockchain est intrinsèquement dangereuse, mais parce que l’irréversibilité des transactions, la pseudonymité et la vitesse de déploiement de contrats intelligents créent un terrain favorable aux acteurs malveillants. Selon le rapport Chainalysis 2024, les arnaques (scams) ont représenté environ 4,6 milliards de dollars de fonds illicites identifiés sur la seule année 2023, dont une part significative via des schémas de type rug pull et pig butchering. Ce guide décrypte les mécanismes réels, les signaux d’alerte vérifiables et les pratiques de due diligence applicables.
Taxonomie des arnaques crypto : quatre catégories principales
Les arnaques crypto ne sont pas monolithiques. Distinguer les typologies permet d’appliquer les bons filtres au bon moment.
Rug pull (retrait de liquidité)
Un rug pull opère principalement dans l’écosystème DeFi. Les créateurs d’un token déploient un contrat ERC-20 (ou équivalent), apportent de la liquidité dans un pool Uniswap ou PancakeSwap, créent une apparence de volume et d’intérêt, puis retirent l’intégralité de la liquidité en une transaction. Les holders se retrouvent avec un token invendable. Le mécanisme technique est documenté : si la liquidité n’est pas verrouillée via un contrat tiers (Unicrypt, Team.Finance, UNCX), elle peut être retirée à tout moment par le wallet propriétaire du pool.
Il existe deux variantes : le “hard rug” (retrait brutal en une transaction) et le “slow rug” (vente progressive des tokens des fondateurs sur plusieurs semaines, aussi appelé “dump”).
Exit scam (disparition avec la trésorerie)
Schéma classique : levée de fonds via ICO, IDO ou prévente NFT, accompagnée de communication marketing intense et de promesses de roadmap ambitieuse. Une fois les fonds collectés, l’équipe devient inaccessible, les réseaux sociaux sont supprimés, le site disparaît. Les projets NFT de type “génératif PFP” ont été particulièrement touchés en 2021-2022. Le projet Frosties NFT (janvier 2022) illustre le schéma : les créateurs ont disparu avec environ 1,3 million de dollars après le mint, avant d’être interpellés par le DOJ américain.
Pig butchering (romance scam crypto)
Arnaque à long terme documentée par le FBI et l’AMF. Un contact non sollicité s’établit progressivement (LinkedIn, Tinder, WhatsApp), construit une relation de confiance sur plusieurs semaines, puis introduit une “opportunité d’investissement” sur une plateforme crypto frauduleuse contrôlée par les escrocs. Les premiers retraits fictifs rassurent la victime, qui augmente ses dépôts. La plateforme ferme quand le montant est jugé suffisant. L’AMF a émis plusieurs alertes sur ce type de schéma, classé parmi les escroqueries aux investissements les plus coûteuses par le FBI dans son rapport IC3 2023.
Phishing et token approval scams
Le phishing crypto cible les credentials de wallets (phrase seed de 12 ou 24 mots, clés privées) et les approbations de tokens. Les vecteurs principaux :
- Faux sites de wallets (MetaMask, Ledger Live) avec domaines proches (meta-mask.io, ledger-live.net)
- Faux airdrops demandant une signature de contrat qui transfère tous les tokens approuvés
- Emails frauduleux imitant Coinbase, Binance ou des exchanges enregistrés PSAN
- Compromission DNS de protocoles DeFi (le hack du frontend Curve Finance en août 2022 a utilisé ce vecteur)
Signaux d’alerte : checklist de due diligence
Avant tout engagement de fonds sur un projet token ou un protocole DeFi, la vérification de ces points prend moins de vingt minutes et peut éviter une perte totale.
| Signal d’alerte | Ce qu’il révèle | Ou vérifier |
|---|---|---|
| Liquidité non verrouillée | Rug pull possible à tout moment | Unicrypt, Team.Finance, DefiLlama |
| Contrat non audité | Backdoors ou fonctions malveillantes possibles | CertiK, Trail of Bits, Code4rena |
| Code non vérifié sur Etherscan | Impossible d’analyser le contrat | Etherscan (onglet “Contract”) |
| Equipe 100% anonyme | Accountability nulle | Site officiel, LinkedIn, tweets |
| Concentration supérieure à 50% des tokens (top 10 wallets) | Risque de dump coordonné | Etherscan token holders, BubbleMaps |
| Promesses de rendement fixes élevés | Schéma Ponzi probable | Whitepaper, tokenomics |
| Pression temporelle (“offer ends soon”) | Manipulation psychologique | Communication officielle |
| Absence de whitepaper technique | Projet sans substance | Site officiel |
| Exchange non enregistré PSAN en France | Pas de recours réglementaire | Liste AMF des PSAN |
| URLs non-officielles sur Discord/Telegram | Phishing | Vérifier le site officiel manuellement |
La fonction owner() d’un contrat ERC-20 est un point d’attention spécifique : si elle permet au propriétaire de “mint” des tokens supplémentaires sans limite ou de blacklister des wallets, le risque est structurel. Des outils comme Token Sniffer ou Honeypot.is permettent une analyse automatisée préliminaire, sans remplacer un audit complet.
Phishing crypto : anatomie d’une attaque et contre-mesures
Le phishing blockchain repose sur un principe simple : la transaction elle-même est légitime techniquement (c’est vous qui signez), mais vous n’avez pas compris ce que vous signiez. D’où l’importance de lire les données brutes d’une transaction avant de la valider.
Les trois règles absolues :
-
La phrase seed (mnemonic 12/24 mots) ne doit jamais être saisie en ligne, jamais transmise, jamais photographiée. Aucun support légitime ne vous la demandera. Ni Ledger, ni MetaMask, ni aucun exchange n’a besoin de cette information pour vous assister.
-
Avant de signer une transaction “approve” ou “setApprovalForAll” sur un contrat, vérifiez l’adresse du contrat sur Etherscan. Une approbation “setApprovalForAll” sur un contrat inconnu transfère le contrôle de tous vos NFTs de la collection concernée, sans autre confirmation requise.
-
Accédez aux protocoles DeFi uniquement via des bookmarks créés manuellement ou les URLs officielles documentées dans le GitHub du projet. Ne cliquez pas sur des liens issus de recherches Google : les publicités frauduleuses imitant Uniswap ou MetaMask sont récurrentes et difficiles à distinguer des résultats légitimes.
Simulation d’une transaction douteuse :
Des outils comme Tenderly ou Pocket Universe permettent de simuler une transaction avant de la signer réellement. Wallet Guard (extension navigateur) analyse les transactions en temps réel et signale les contrats malveillants connus. Ces outils ne remplacent pas la vigilance, mais réduisent le risque d’erreur sur des transactions complexes impliquant plusieurs approbations.
Le cadre réglementaire : ce que MiCA et l’AMF changent
La réglementation européenne évolue sur ce terrain. Le règlement MiCA (2023/1114), applicable depuis décembre 2024 pour les prestataires de services sur crypto-actifs (CASPs), introduit des obligations qui réduisent (sans éliminer) certains risques pour les utilisateurs.
Les émetteurs de tokens utilitaires doivent notifier un whitepaper conforme à leur autorité nationale compétente (l’AMF en France), qui en assure la transmission au registre central de l’ESMA. Cette exigence de transparence documentaire crée une traçabilité que les rug pulls artisanaux ne peuvent satisfaire. Les projets opérant sans ce cadre dans l’UE le font hors conformité.
Pour les exchanges, l’obligation de ségrégation des actifs clients et les exigences de capital minimisent le risque d’exit scam via détournement de trésorerie. En France, la liste blanche PSAN de l’AMF reste le référentiel de base pour évaluer la légitimité d’un prestataire. Les entités non enregistrées opérant auprès de résidents français sont en infraction.
L’AMF maintient une liste noire publique des acteurs non autorisés (amf-france.org). Avant toute interaction avec une plateforme, la vérification sur cette liste prend trente secondes et peut éviter une perte définitive. La régulation MiCA introduit par ailleurs un cadre de responsabilité pour les prestataires, ce qui renforce indirectement la protection des utilisateurs sur les plateformes conformes.
Sur la DeFi, MiCA est plus limité : les protocoles véritablement décentralisés, sans entité centrale identifiable, restent hors périmètre direct. La due diligence technique demeure donc la principale ligne de défense pour les utilisateurs DeFi.
Que faire après une arnaque : démarches concrètes
La probabilité de récupération des fonds est faible mais non nulle, notamment quand les acteurs utilisent des exchanges centralisés traçables. Les démarches à initier immédiatement :
- Tracer les fonds : utiliser Etherscan, Blockchain.com ou des outils comme Arkham Intelligence pour documenter le chemin des transactions depuis votre wallet. Ces informations seront nécessaires pour tout dépôt de plainte.
- Signaler à l’AMF : via le formulaire de signalement sur amf-france.org (rubrique “Espace épargnants / Alertes et mises en garde”). L’AMF peut déclencher des investigations et mettre en garde d’autres investisseurs.
- Déposer un signalement sur Pharos : internet-signalement.gouv.fr, plateforme officielle du ministère de l’Intérieur pour les cyberdélits. En cas de montant significatif, un dépôt de plainte auprès de la Brigade de Lutte contre la Cybercriminalité (BL2C à Paris ou offices régionaux) est recommandé.
- Contacter les exchanges de destination : si les fonds ont transité par un exchange centralisé réglementé (Coinbase, Kraken, Binance), un signalement formel accompagné des hashes de transaction peut aboutir à un gel des fonds si l’exchange coopère avec les autorités.
Les services de “récupération de crypto” proposés après une arnaque sont eux-mêmes quasi-systématiquement des arnaques secondaires (recovery scam). Ne pas y recourir.
Ressources de vérification : outils utilisés par les praticiens
La due diligence sur un projet crypto s’appuie sur des données on-chain vérifiables, pas sur la communication marketing. Quelques ressources de référence :
- Etherscan / BscScan / Polygonscan : vérification des contrats, des holders, de l’historique des transactions
- DefiLlama : TVL réelle des protocoles, données on-chain des liquidités
- CertiK Skynet : base de données d’audits et de scores de sécurité par projet
- Token Sniffer : analyse automatisée des contrats ERC-20 (honeypot, mint illimité, blacklist)
- BubbleMaps : visualisation des clusters de wallets pour détecter les concentrations suspectes
- Rekt.news : base de données des hacks et exploits DeFi documentés
Ces outils ne garantissent pas la sécurité d’un investissement et ne constituent pas un conseil en investissement. Ils fournissent des données objectives pour évaluer le niveau de risque technique d’un projet.
Pour aller plus loin sur la sécurisation de vos actifs, la comparaison des solutions de custody matérielle est disponible dans notre guide Ledger vs Trezor. Les implications fiscales en cas de pertes liées à des arnaques (déductibilité, déclaration des wallets étrangers) sont traitées dans le guide fiscalité crypto formulaire 2086.