ScamLens
Risque élevé Perte moyenne: $5,000 Durée typique: 1-7 days

Arnaques NFT : Comment protéger vos actifs numériques

Les arnaques liées aux NFT (jetons non fongibles) sont devenues l’un des schémas de fraude en cryptomonnaies à la croissance la plus rapide, avec des victimes perdant des milliards chaque année. Ces escroqueries exploitent la nouveauté et la complexité relative de la technologie blockchain, ciblant aussi bien les investisseurs crypto expérimentés que les novices souhaitant entrer dans l’univers des NFT. La croissance rapide du marché — les ventes de NFT ont dépassé 25 milliards de dollars en 2021 — a attiré des fraudeurs sophistiqués qui créent des places de marché contrefaites, de fausses collections NFT et des stratagèmes d’ingénierie sociale pour voler des portefeuilles numériques et des cryptomonnaies. Ce qui rend les arnaques NFT particulièrement dangereuses, c’est leur rapidité : la plupart des victimes signalent des pertes dans un délai de 1 à 7 jours après leur engagement, et la nature irréversible des transactions blockchain rend la récupération des actifs volés quasiment impossible. Les arnaques NFT les plus courantes se répartissent en trois catégories principales : les rugpulls (où les développeurs abandonnent les projets après avoir collecté les fonds des investisseurs), l’usurpation de places de marché (fausses versions d’OpenSea, Magic Eden et autres plateformes), et les vidages de portefeuilles via des contrats intelligents malveillants et du phishing. Selon Chainalysis, environ 14 % de toutes les pertes dues à des arnaques en cryptomonnaies en 2022 concernaient les NFT, avec une perte moyenne par victime comprise entre 5 000 et 15 000 €. Les escrocs sont devenus très sophistiqués, créant des répliques quasi parfaites de plateformes légitimes, des comptes sociaux vérifiés et des communautés Discord pour asseoir une fausse crédibilité. L’anonymat des transactions blockchain et l’absence de régulation rendent les poursuites presque impossibles, laissant les victimes sans recours pour récupérer leurs fonds.

Tactiques courantes Comment l'identifier Comment se protéger Cas réels Questions fréquentes Où signaler

Tactiques courantes

  • Création de faux sites de places de marché NFT (contrefaçons d’OpenSea, Magic Eden, Blur) qui ressemblent à s’y méprendre aux plateformes légitimes, avec des designs clonés et des systèmes de paiement redirigeant les fonds vers les portefeuilles des escrocs.
  • Lancement de projets 'rugpull' où les développeurs promettent des collections NFT exclusives, créent un engouement via Discord et Twitter, collectent des millions en achats, puis disparaissent avec tous les fonds en abandonnant le projet.
  • Usurpation d’identité de créateurs et projets NFT vérifiés sur les réseaux sociaux, partageant de faux liens de mint vers des collections contrefaites qui vident les portefeuilles connectés via des contrats intelligents malveillants.
  • Création de serveurs Discord frauduleux de 'whitelisting' ou 'allowlist' demandant aux utilisateurs de déposer des cryptomonnaies pour 'vérifier' leur éligibilité, les fonds déposés étant immédiatement volés.
  • Distribution d’arnaques par airdrop via de faux jetons NFT apparaissant dans les portefeuilles, incitant les utilisateurs à interagir avec des contrats malveillants demandant une approbation de portefeuille et vidant tous les actifs connectés.
  • Réalisation d’attaques de type 'floor sweep' où les escrocs achètent leurs propres NFT à des prix gonflés pour établir artificiellement de fausses valorisations, puis vendent des NFT sans valeur à des acheteurs trompés à des prix premium.

Comment l'identifier

  • L’URL du site web est légèrement différente de celle de la plateforme légitime (par exemple, 'opensea-official.com' au lieu de 'opensea.io'), ou utilise une extension de domaine différente (.net, .xyz, .io au lieu de .io).
  • Les comptes sociaux du projet sont récemment créés, sans historique d’engagement, ou possèdent des badges de vérification achetés via des services tiers plutôt que délivrés par la plateforme.
  • Les frais de gas pour les transactions sont anormalement élevés (plus de 500 Gwei) ou la transaction semble approuver une dépense illimitée de jetons vers des adresses de contrats intelligents inconnues.
  • Le projet NFT promet des rendements garantis ou utilise un langage pressant comme 'offre limitée dans le temps' ou 'seulement 100 places disponibles' pour vous pousser à décider en quelques heures.
  • La communauté Discord ou Telegram contient de nombreuses fautes d’orthographe dans les messages officiels, des bots qui redirigent uniquement vers des liens externes, ou des canaux où les questions légitimes sont immédiatement supprimées.
  • L’historique des transactions du NFT montre des prix manipulés par du wash trading (le même portefeuille achetant et vendant à répétition), ou des prix plancher qui montent de façon irréaliste dans les 24 heures suivant le lancement.

Comment se protéger

  • Vérifiez le site officiel et les comptes sociaux en consultant le dépôt GitHub du projet, l’historique des transactions blockchain, et en recoupant avec des sources d’information crypto reconnues comme CoinDesk ou The Block.
  • Utilisez des portefeuilles matériels (Ledger, Trezor) pour stocker vos NFT et cryptomonnaies plutôt que des portefeuilles basés sur navigateur ou d’échange, et ne connectez les portefeuilles matériels aux places de marché qu’avec les applications officielles dédiées.
  • Examinez attentivement les permissions des contrats intelligents avant d’approuver une transaction : n’approuvez jamais de dépenses illimitées, ne validez que le montant exact nécessaire, et révoquez les autorisations inutilisées via des plateformes comme Etherscan.
  • Recherchez minutieusement l’équipe du projet en vérifiant leurs identités réelles, leur parcours professionnel sur LinkedIn, les projets antérieurs qu’ils ont réalisés, et confirmez leur implication via plusieurs sources indépendantes.
  • Mettez en favori les places de marché NFT légitimes (opensea.io, blur.io, magic-eden.com) et accédez-y toujours via ces favoris plutôt que par des liens reçus sur les réseaux sociaux, emails ou messages Discord.
  • Activez l’authentification à deux facteurs (2FA) sur tous vos comptes d’échange et portefeuilles cryptos, utilisez des mots de passe forts et uniques gérés par un gestionnaire de mots de passe, et ne partagez jamais votre phrase de récupération ou vos clés privées quelles que soient les circonstances.

Cas réels

Un investisseur a découvert un 'nouveau' projet NFT basé sur Ethereum nommé 'MetaVerse Elite' via une invitation Discord. Le projet comptait 5 000 abonnés, un site web professionnel, et promettait un accès anticipé à des biens immobiliers numériques exclusifs. Après avoir déposé 2 ETH (environ 3 400 €) pour mint des NFT, le serveur Discord est devenu inaccessible, le site web a disparu, et le contrat a été vidé de tous ses fonds. L’ensemble de l’opération a duré 18 heures.

Une victime a visité ce qui semblait être le site officiel d’OpenSea (en réalité opensea-official.net) après avoir cliqué sur un lien dans un email apparemment officiel. Elle a connecté son portefeuille MetaMask pour mettre en vente sa collection NFT existante. Le site malveillant lui a ensuite demandé de 'vérifier' son portefeuille, ce qui a en fait initié une transaction autorisant l’escroc à transférer tous les NFT et soldes de jetons du portefeuille connecté.

Un collectionneur de NFT a reçu un airdrop d’un nouveau jeton appelé 'Genesis Pass' qui est apparu dans son portefeuille. Enthousiasmé par cette crypto gratuite, il a cliqué sur le bouton 'claim' sur le site du projet, qui a demandé une approbation MetaMask. En accordant cette approbation, il a donné au contrat intelligent de l’escroc la permission de vider son portefeuille de ETH, USDC et autres jetons connectés d’une valeur d’environ 8 500 €, le tout en quelques minutes.

Questions fréquentes

Comment savoir si une place de marché NFT est légitime ?
Vérifiez toujours que l’URL exacte dans la barre d’adresse de votre navigateur correspond au site officiel (enregistrez les sites légitimes en favoris pour éviter les fautes de frappe). Consultez le compte Twitter du projet pour un badge de vérification bleu (non acheté), recherchez une identité visuelle cohérente et un design professionnel du site, et assurez-vous que la place de marché existe depuis au moins 12 à 18 mois avec un historique de transactions documenté sur des explorateurs blockchain comme Etherscan.
Que faire si j’ai déjà approuvé un contrat intelligent malveillant ?
Révoquez immédiatement l’autorisation via des plateformes comme revoke.cash ou le vérificateur d’approbations de tokens sur etherscan.io. Transférez tous les fonds et NFT restants vers une nouvelle adresse de portefeuille créée à partir d’une phrase de récupération neuve. N’envoyez pas de cryptomonnaies vers ce portefeuille depuis des échanges ou votre ancien portefeuille, car l’escroc pourrait surveiller son activité. Considérez le portefeuille compromis comme une perte totale et cessez de l’utiliser.

Où signaler — France

Canaux officiels de votre région pour signaler cette escroquerie.

Cybermalveillance.gouv.fr

Cybercriminalité

Plateforme officielle d'assistance aux victimes d'actes de cybermalveillance.

Visiter →

Pharos (signalement)

Signalement

Signalement officiel des contenus et comportements illicites en ligne.

Visiter →

Info Escroqueries

Numéro vert

Numéro vert national pour les victimes d'escroqueries (du lundi au vendredi).

0805 805 817

DGCCRF SignalConso

Protection des consommateurs

Signalement des problèmes rencontrés avec une entreprise.

Visiter →

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), arnaques nft : comment protéger vos actifs numériques is described at https://scamlens.org/fr/encyclopedia/nft-scam.
https://scamlens.org/fr/encyclopedia/nft-scam