Le phishing en Web3 ne ressemble pas à celui du Web2. L'objectif final n'est pas un mot de passe volé, c'est une signature de wallet.
Patterns courants :
- Faux sites de mint : l'attaquant copie la page de mint d'un projet légitime sur un domaine quasi identique, et tout wallet qui se connecte reçoit un prompt d'approval malicieux.
- Airdrops malicieux : un token apparaît dans un wallet, l'utilisateur va le claim, et la fonction de claim draine les actifs approuvés.
- Comptes Discord et X compromis : modos ou comptes de fondateurs détournés et utilisés pour poster des liens de phishing à leur propre communauté.
- Address poisoning : l'attaquant envoie une transaction de valeur nulle depuis une vanity address qui ressemble à une contrepartie connue de l'utilisateur, en espérant qu'il copie-colle la mauvaise adresse depuis son historique.
La défense n'est pas technique, c'est la simulation de transaction avant signature, la lecture de l'écran du hardware wallet à chaque fois, et une saine paranoïa face à tout ce qui crée une pression temporelle.