What's the difference between approving a transaction and approving a token?

A transaction approval signs a single, specific action (like swapping 10 USDC for ETH). A token approval grants permission to a smart contract to move ANY amount of that token from your wallet, multiple times, until you revoke it. Scammers exploit this confusion by making users think they're signing a one-time transaction when they're actually giving unlimited access.

Can I recover tokens after they've been drained?

Recovery is extremely difficult once tokens are transferred. Blockchain transactions are irreversible, and attackers quickly move tokens through mixers (Tornado Cash) or to decentralized exchanges. Your only option is contacting the receiving exchange if you identify where tokens were sold, but this rarely results in recovery. Prevention through approval management is far more effective than recovery attempts.

Is it safe to connect my wallet to any dApp?

Connecting your wallet to a dApp only shows them your public address and balance; it doesn't automatically give access to your tokens. However, signing transactions (including approvals) is what grants permissions. Only sign transactions on verified dApps with clear descriptions of what you're approving, and always use the official domain.

How do I revoke token approvals I've already given?

You can revoke approvals using Revoke.cash, Etherscan's Approvals tab, or your wallet's built-in approval manager. Simply connect your wallet, find the approved token and contract address, and execute a revoke transaction (which costs a small gas fee). This immediately removes that contract's permission to transfer your tokens, even if it previously had unlimited access.

Why would a legitimate dApp ask for unlimited approval?

Some DeFi protocols request unlimited approval for convenience—it reduces transaction costs since users won't need to re-approve for each interaction. However, legitimate platforms like Uniswap now default to set-approval limits. If a dApp insists on unlimited approval or won't let you set a custom amount, that's a red flag indicating it may not be trustworthy.

Critique Perte moyenne: $20,000 Durée typique: 1-3 days

Exploitation des Approbations de Jetons : Comment les Escrocs Vident les Portefeuilles Web3

L'exploitation des approbations de jetons est une arnaque sophistiquée dans le Web3 où les attaquants manipulent les utilisateurs pour qu'ils signent numériquement une transaction de contrat intelligent accordant une permission illimitée de transférer des jetons spécifiques depuis leur portefeuille. Contrairement au piratage traditionnel, cette attaque nécessite le consentement explicite de l'utilisateur — mais les victimes ne comprennent pas ce qu'elles autorisent. Une fois approuvée, l'escroc exécute des transactions de vidage qui siphonnent les jetons vers des adresses contrôlées par l'attaquant, souvent en quelques heures. Cette attaque est devenue de plus en plus courante avec la croissance de la finance décentralisée (DeFi) ; la société d'analyse blockchain Chainalysis a rapporté que le vol basé sur les approbations a augmenté de 400 % entre 2022 et 2023, les victimes perdant collectivement plus de 280 millions d'euros par an. Le mécanisme exploite un principe fondamental du Web3 : les contrats intelligents ont besoin d'autorisations d'approbation pour interagir avec les jetons des utilisateurs. Les escrocs s'en servent en déguisant les demandes d'approbation en transactions légitimes (prétendant être des frappes NFT, des échanges de jetons ou des votes de gouvernance) alors qu'ils accordent en réalité des droits de transfert illimités. Ce qui rend cette attaque particulièrement dangereuse, c'est le délai : les victimes peuvent ne pas se rendre compte que leur portefeuille a été compromis avant plusieurs jours ou semaines, moment où les jetons ont déjà été transférés vers des services de mixage et des plateformes d'échange, rendant la récupération quasiment impossible.

Tactiques courantes Comment l'identifier Comment se protéger Cas réels Questions fréquentes Où signaler

Tactiques courantes

• Hameçonnage via des interfaces dApps trompeuses : Les escrocs créent de fausses applications décentralisées qui imitent des plateformes légitimes (OpenSea, Uniswap, Aave), mais redirigent les utilisateurs vers des contrats intelligents malveillants qui demandent des approbations de jetons au lieu d'exécuter la fonction annoncée.
• Ingénierie sociale via Discord/Telegram : Les attaquants publient des liens contrefaits dans les serveurs communautaires Web3, prétendant offrir des drops NFT exclusifs, des airdrops de gouvernance ou des opportunités de yield farming nécessitant la connexion du portefeuille et l'approbation de jetons.
• Extensions de navigateur de portefeuille compromises : Des extensions malveillantes pour Chrome ou Firefox se font passer pour MetaMask ou des outils de gestion de portefeuille, injectant des demandes d'approbation falsifiées dans les interactions légitimes avec les dApps sans que l'utilisateur ne s'en aperçoive.
• Exploitation de la confusion des utilisateurs sur les mécanismes d'approbation : Les escrocs profitent du fait que la plupart des utilisateurs ne comprennent pas la différence entre l'approbation d'une transaction (signature d'une action unique) et l'approbation d'un jeton (octroi d'un accès illimité futur), en intégrant un langage technique crédible dans leurs demandes.
• Campagnes de pêche à la rareté NFT : Les attaquants créent de fausses plateformes de trading NFT ou des launchpads proposant des collections rares, demandant aux utilisateurs d'approuver des jetons pour réclamer ou enchérir, puis vident immédiatement les portefeuilles après approbation.
• Manipulation trompeuse de l'interface utilisateur/expérience utilisateur : Les dApps frauduleuses affichent des descriptions vagues de transactions (« Confirmer l’échange », « Activer le trading ») tout en cachant le montant réel de l'approbation, souvent en définissant une autorisation illimitée (type(uint256).max) dans le code.

Comment l'identifier

On vous demande d'approuver un jeton spécifique alors que la dApp prétend offrir un service sans rapport (comme une frappe NFT demandant une approbation pour un jeton de gouvernance que vous ne possédez pas).
La demande d'approbation affiche un montant d'autorisation anormalement élevé ou « illimité » (affiché comme un très grand nombre ou MAX dans les détails de la transaction).
L'URL de la transaction ou le domaine de la dApp est légèrement mal orthographié par rapport à la version légitime (par exemple, « uniswapp.org » au lieu de « uniswap.org »).
Vous recevez un écran de confirmation de transaction qui n'indique pas clairement ce que vous approuvez ou qui ne correspond pas à l'action que vous vouliez effectuer.
Le solde de votre portefeuille diminue soudainement pour des jetons que vous n'avez pas explicitement transférés, souvent remarqué en consultant l'historique du portefeuille et en voyant des transactions que vous n'avez pas initiées.
Une dApp ou un portefeuille légitime vous demande à plusieurs reprises de réapprouver le même jeton, ce qui ne devrait être nécessaire qu'une seule fois sauf si l'autorisation a été entièrement consommée.

Comment se protéger

Vérifiez toujours les domaines des dApps en les tapant directement dans votre navigateur au lieu de cliquer sur des liens provenant des réseaux sociaux, Discord ou emails — utilisez un outil de vérification de domaine blockchain comme Revoke.cash pour double-vérifier les URLs.
Utilisez un service de surveillance des approbations de jetons comme Revoke.cash ou l'onglet Approvals d'Etherscan pour auditer régulièrement toutes les approbations actives dans votre portefeuille et révoquer les permissions pour les services que vous n'utilisez plus.
Approuvez uniquement le montant spécifique dont vous avez besoin pour une transaction unique plutôt qu'une autorisation illimitée ; la plupart des dApps légitimes permettent aux utilisateurs d'entrer des montants personnalisés d'approbation.
Activez des outils de simulation de transaction comme Tenderly ou la fonction Simulation d'Etherscan avant de signer toute transaction pour voir exactement ce qui va se passer (quels jetons seront déplacés et où).
Gardez les jetons que vous ne tradez pas activement dans des portefeuilles froids séparés (portefeuilles matériels comme Ledger ou Trezor) qui ne se connectent jamais aux dApps, isolant ainsi l'exposition des actifs de grande valeur.
Pratiquez la stratégie du « portefeuille en couches » : utilisez un portefeuille avec de petites sommes pour l'interaction avec les dApps et les tests, et maintenez un portefeuille sécurisé séparé pour les avoirs à long terme, réduisant ainsi les pertes potentielles en cas de compromission d'une adresse.

Cas réels

Un utilisateur voit un post Twitter promouvant un airdrop exclusif sur Ethereum L2 avec des récompenses garanties. Il clique sur le lien, connecte son portefeuille MetaMask et voit un bouton intitulé « Claim Airdrop ». Avant de traiter, la dApp demande la permission de déplacer ses jetons USDC (nécessaire pour la réclamation, du moins le croit-il). L'utilisateur approuve une autorisation illimitée. En moins de 6 heures, la totalité de son solde USDC de 18 000 € est transférée vers une adresse d'attaquant. L'airdrop était faux ; la demande d'approbation était la véritable attaque.

Un modérateur Discord dans une communauté NFT populaire partage un lien vers une place de marché NFT « vérifiée » offrant un accès anticipé à une collection de premier plan. Les utilisateurs connectant leurs portefeuilles sont invités à approuver leur ETH pour le trading. L'interface affiche une transaction unique, mais cachée dans le code du contrat se trouve une approbation illimitée pour un autre jeton (souvent un jeton de gouvernance précieux détenu par les membres). Deux jours plus tard, les victimes découvrent que leurs jetons de gouvernance Uniswap ont été vidés, totalisant 25 000 € pour le groupe affecté.

Un investisseur reçoit un email de phishing affirmant que sa position de prêt Aave nécessite une action immédiate en raison de « réglages de liquidité ». L'email renvoie vers ce qui semble être l'interface réelle d'Aave (avec une légère erreur d'orthographe dans le domaine). En se connectant et en « confirmant » l'ajustement, une demande d'approbation de jeton est déclenchée que les utilisateurs supposent être une maintenance de routine. L'attaquant vide ensuite silencieusement les jetons approuvés au cours de la semaine suivante, moment où la victime a cessé de surveiller ce portefeuille, découvrant la perte de 34 000 € seulement lors d'une revue trimestrielle de portefeuille.

Questions fréquentes

Quelle est la différence entre approuver une transaction et approuver un jeton ?

L'approbation d'une transaction signe une action unique et spécifique (comme échanger 10 USDC contre de l'ETH). L'approbation d'un jeton donne la permission à un contrat intelligent de déplacer N'IMPORTE QUEL montant de ce jeton depuis votre portefeuille, plusieurs fois, jusqu'à ce que vous la révoquiez. Les escrocs exploitent cette confusion en faisant croire aux utilisateurs qu'ils signent une transaction ponctuelle alors qu'ils donnent en réalité un accès illimité.

Puis-je récupérer mes jetons après qu'ils ont été vidés ?

La récupération est extrêmement difficile une fois les jetons transférés. Les transactions blockchain sont irréversibles, et les attaquants déplacent rapidement les jetons via des mixeurs (Tornado Cash) ou vers des échanges décentralisés. Votre seule option est de contacter la plateforme d'échange réceptrice si vous identifiez où les jetons ont été vendus, mais cela aboutit rarement à une récupération. La prévention via la gestion des approbations est bien plus efficace que toute tentative de récupération.

Où signaler — France

Canaux officiels de votre région pour signaler cette escroquerie.

Cybermalveillance.gouv.fr

Cybercriminalité

Plateforme officielle d'assistance aux victimes d'actes de cybermalveillance.

Visiter →

Pharos (signalement)

Signalement

Signalement officiel des contenus et comportements illicites en ligne.

Visiter →

Info Escroqueries

Numéro vert

Numéro vert national pour les victimes d'escroqueries (du lundi au vendredi).

0805 805 817

DGCCRF SignalConso

Protection des consommateurs

Signalement des problèmes rencontrés avec une entreprise.

Visiter →

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), exploitation des approbations de jetons : comment les escrocs vident les portefeuilles web3 is described at https://scamlens.org/fr/encyclopedia/token-approval-exploit.

https://scamlens.org/fr/encyclopedia/token-approval-exploit

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API

Exploitation des Approbations de Jetons : Comment les Escrocs Vident les Portefeuilles Web3

Tactiques courantes

Comment l'identifier

Comment se protéger

Cas réels

Questions fréquentes

Où signaler — France

Cybermalveillance.gouv.fr

Pharos (signalement)

Info Escroqueries

DGCCRF SignalConso

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide