Phishing crypto : Les pertes chutent de 83 % en 2025, mais les portefeuilles restent menacés

L’année 2025 a été marquée par une nette diminution de l’impact financier des attaques de phishing dans l’univers des cryptomonnaies, en particulier celles visant les utilisateurs de portefeuilles. Les pertes totales liées aux arnaques de type wallet drainer se sont élevées à 83,85 millions de dollars, contre près de 494 millions de dollars en 2024, soit une baisse spectaculaire de 83 % sur un an. Dans le même temps, le nombre de victimes a reculé à 106 000, en diminution de 68 % par rapport à l’année précédente. Cette évolution reflète à la fois une baisse du nombre d’attaques et une exposition globale plus limitée au sein de l’écosystème crypto. Malgré ces indicateurs encourageants, les experts rappellent que les risques liés au phishing demeurent bien réels et que les pertes continuent d’évoluer au rythme de l’activité des marchés.

Les voleurs de portefeuilles restent une menace persistante

Le dernier rapport de Scam Sniffer consacré à l’activité des voleurs de portefeuilles sur les blockchains compatibles EVM montre que les arnaques de phishing restent étroitement corrélées aux dynamiques de marché. Les périodes marquées par des volumes d’échange élevés et des hausses de prix sur les principaux actifs attirent davantage d’utilisateurs, offrant mécaniquement plus d’opportunités aux attaquants. Ainsi, le troisième trimestre 2025 a coïncidé avec le rallye le plus marqué d’Ethereum, tout en enregistrant le niveau trimestriel de pertes liées au phishing le plus élevé de l’année, à hauteur de 31 millions de dollars.

Sur le plan mensuel, les pertes ont fortement fluctué. Elles sont passées de 2,04 millions de dollars en décembre, le mois le plus calme de l’année, à un pic de 12,17 millions de dollars en août, période durant laquelle l’activité de phishing a atteint son sommet. À elles seules, les pertes combinées des mois d’août et de septembre ont représenté 29 % du total annuel, affectant 30 743 utilisateurs. L’attaque la plus importante de 2025 s’est produite en septembre, avec 6,5 millions de dollars dérobés via une signature Permit. Ce montant reste toutefois bien inférieur au vol record de 55,48 millions de dollars observé en 2024. Les mécanismes Permit et Permit2 demeurent les vecteurs d’attaque les plus rentables pour les fraudeurs, représentant à eux seuls 38 % des pertes les plus significatives.

Tendances du phishing et nouvelles techniques d’attaque

Au-delà des méthodes désormais bien connues, l’année 2025 a vu apparaître un nouveau vecteur d’attaque lié à l’EIP-7702, peu après la mise à jour du réseau Pectra. Cette évolution a permis aux attaquants d’exécuter plusieurs actions malveillantes au sein d’une seule signature de transaction.

Les incidents les plus notables associés à cette technique ont été recensés en août, avec deux attaques ayant entraîné à elles seules 2,54 millions de dollars de pertes.

D’après Scam Sniffer, plusieurs tendances majeures se dégagent pour 2025 :

• Les attaques de phishing à grande échelle ont été nettement moins fréquentes qu’en 2024, traduisant un recul global des incidents les plus sévères.
• Dans ce contexte, seuls 11 événements ont dépassé le seuil du million de dollars de pertes, contre 30 l’année précédente.
• La perte moyenne par victime a chuté à 790 dollars en 2025, contre 1 488 dollars en 2024.

Les défis de la sécurité blockchain dépassent le phishing

La sécurité des blockchains est restée un enjeu complexe tout au long de l’année 2025, avec des menaces touchant un large éventail de secteurs. Le rapport annuel 2025 de SlowMist sur la sécurité blockchain et la lutte contre le blanchiment d’argent recense 200 incidents de sécurité ayant causé 2,935 milliards de dollars de pertes, contre 410 incidents pour un total de 2,013 milliards de dollars en 2024.

Les conclusions de SlowMist mettent en lumière la répartition des pertes selon les écosystèmes et les types de projets :

• Ethereum concentre les pertes les plus importantes, avec 183,25 millions de dollars, suivi par Solana (17,45 millions de dollars) et Arbitrum (17,10 millions de dollars).
• En termes de typologie, la finance décentralisée a enregistré 126 incidents pour un total de 649 millions de dollars de pertes, tandis que les plateformes d’échange centralisées ont subi 22 incidents représentant 1,809 milliard de dollars.
• À elle seule, une perte enregistrée chez Bybit a atteint 1,46 milliard de dollars, illustrant l’ampleur des risques financiers auxquels restent exposées les grandes plateformes.

Enfin, PeckShield indique que les pertes liées aux piratages et failles de sécurité crypto ont reculé à 76 millions de dollars en décembre 2025, soit une baisse de 60 % par rapport aux 194,27 millions de dollars enregistrés en novembre. Cette amélioration n’a toutefois pas empêché la survenue de 26 incidents majeurs au cours du mois, dont le plus grave a entraîné une perte de 50 millions de dollars à la suite d’une arnaque par address poisoning. Un autre incident, touchant un portefeuille multisignature, a conduit au vol de 27,3 millions de dollars.