Pour projets nft
Un mint, c'est une seule chance. Nous auditons vos contrats, durcissons vos canaux communautaires, et préparons un plan de réponse pour qu'un Discord compromis ne termine pas votre projet.
Modèle de menace
Off-by-one sur le supply, allowlist cassée, access control manquant sur `withdraw`, signature replay entre chaînes, ces bugs sont en général trouvés par les attaquants, pas par un audit bâclé la veille du lancement.
La plupart des incidents NFT ne sont pas des exploits de contrat. Ce sont des posts de phishing depuis un compte modérateur compromis, des URLs de mint factices dans les annonces, ou une fuite de webhook. Token-gater vos channels et verrouiller les comptes modérateurs, c'est la moitié du travail.
Des fondateurs publics attirent spear phishing, SIM swaps, et ingénierie sociale. Le wallet de trésorerie, l'EOA de déploiement et les machines personnelles des fondateurs ont besoin d'une hygiène wallet qui va au-delà d'un Ledger dans un tiroir.
Même quand un holder signe une approval malicieuse sur un site tiers, la communauté considère ça comme votre problème. Formation, canaux officiels et surveillance du wallet projet protègent à la fois la marque et le floor.
Les projets NFT échouent moins souvent à cause de bugs de contrat que d'erreurs opérationnelles, modérateurs compromis, clés de déploiement fuitées, faux liens de mint. La défense est technique et humaine en même temps.
Services recommandés
Auditez le contrat de mint des semaines avant le lancement (pas des jours), puis ajoutez Incident Response pour avoir un numéro à appeler quand un compte modérateur est compromis à 2h du matin.
Audit de smart contract DeFi par des auditeurs seniors. Revue adversariale de votre code Solidity, Vyper ou Cairo avant le mainnet.
En savoir plus →
Réponse à incident Web3 et récupération de fonds après exploit DeFi ou drain de wallet. Astreinte, traçage on-chain, communication.
En savoir plus →
À lire
Checklist de sécurité pré-lancement pour les mints NFT, bugs de contrat, durcissement des comptes modos, hygiène du deployer, et les pièces opérationnelles que la plupart des projets sautent.
Lire l'article →
Les wallet drainers ont évolué du simple phishing de seed phrase à des écosystèmes drainer-as-a-service sophistiqués. Les patterns 2026 (phishing d'approval gasless, abus EIP-712, pièges de délégation ERC-7702) et comment se défendre.
Lire l'article →
L'account abstraction (ERC-4337 et ERC-7702) reshape l'UX wallet en 2026, et crée de nouvelles surfaces d'attaque. Abus de paymaster, griefing en phase de validation, compromission de session keys, et ce qu'il faut auditer avant d'expédier.
Lire l'article →
Glossaire
Phishing
Attaque d'ingénierie sociale qui pousse un utilisateur à approuver une transaction malicieuse ou à révéler des identifiants.
Approval Phishing
Phishing qui pousse un utilisateur à signer une approval qui permet à l'attaquant de drainer les actifs plus tard.
Wallet Drainer
Smart contract ou kit malicieux conçu pour drainer les actifs de tout wallet qui signe une approval.
Audit de Smart Contract
Revue manuelle et automatisée du code d'un smart contract pour identifier les failles de sécurité avant le déploiement.
