Photo: Max Acronym/Shutterstock
Les utilisateurs de MetaMask, l’un des portefeuilles crypto les plus utilisés au monde, sont une nouvelle fois la cible d’une campagne de phishing sophistiquée. Les attaquants se font passer pour le support officiel et abusent de la confiance des utilisateurs afin de leur faire saisir leur seed phrase.
Les escrocs envoient des e-mails quasiment indiscernables de véritables alertes de sécurité et prétendent que l’authentification à deux facteurs (2FA) devient obligatoire.
Campagne de phishing : comment l’attaque s’est déroulée
L’attaque a été signalée par l’entreprise de sécurité blockchain SlowMist.
Le lien contenu dans l’e-mail redirige vers un site web qui ressemble fortement à la page officielle de MetaMask. Dans un cas précis, l’adresse du site ne différait que d’une seule lettre par rapport au domaine légitime. Un détail facile à manquer, surtout lorsque le message crée un sentiment d’urgence.
Une fois sur le site, les utilisateurs sont guidés à travers un faux processus de sécurisation du compte. Lors de la dernière étape, il leur est demandé de saisir leur seed phrase, soi-disant pour finaliser la vérification 2FA. C’est là que réside l’élément clé de l’arnaque.
🚨 New #metamask phishing scam alert
Attackers are impersonating a “2FA security verification” flow, redirecting users via look-alike domains to fake security warnings with countdown timers and “authenticity checks.”
The final step asks for your wallet recovery phrase — once… pic.twitter.com/3bX9U1wZbs
— SlowMist (@SlowMist_Team) January 5, 2026
Seed phrase
La seed phrase est la clé principale d’un portefeuille crypto. Toute personne qui possède ces mots peut restaurer le wallet sur un autre appareil, signer des transactions et déplacer les fonds sans aucune autorisation supplémentaire. Les mots de passe, la 2FA ou la validation par appareil deviennent alors inutiles.
C’est pourquoi les fournisseurs de portefeuilles rappellent depuis des années qu’une seed phrase ne doit jamais être partagée.
Les attaquants exploitent la confiance des utilisateurs dans des termes liés à la sécurité comme la 2FA. En combinant un sentiment d’urgence et une apparence de crédibilité technique, ce type d’attaque reste très efficace.
Les pertes liées au phishing reculent globalement
Selon SlowMist, cette campagne illustre la rapidité avec laquelle le social engineering évolue, alors même que le montant total des pertes liées au phishing crypto a fortement diminué en 2025. Les dégâts causés par le phishing ont chuté d’environ 83 %, pour atteindre près de 70 millions d’euros sur l’année.
Un rapport de Scam Sniffer montre également que les pertes dues au phishing suivent de près l’activité du marché. Au troisième trimestre, lors d’une forte hausse du prix d’Ethereum, les pertes ont atteint leur pic.
À mesure que le marché crypto montre de nouveaux signes de reprise début 2026, les fraudeurs refont eux aussi surface. La vigilance et un regard critique sur les e-mails et les liens restent donc essentiels pour toute personne souhaitant protéger ses crypto-actifs.
De plus en plus de Français laissent des bots crypto trader à leur place
Voir son portefeuille crypto évoluer sans trader activement ? De plus en plus d’investisseurs français utilisent des bots de trading automatisé. Avec les bots gratuits d’OKX, vous pouvez trader automatiquement des cryptomonnaies selon des stratégies prédéfinies. Certaines d’entre elles ont enregistré, ces dernières semaines, des performances supérieures à 190 % sur Ethereum ou XRP.
Les bots ne garantissent aucun gain, mais ils peuvent constituer un complément intéressant à une stratégie d’investissement structurée.
Bonus : Créez dès aujourd’hui un compte OKX gratuit et recevez 20 € en bitcoin offerts.
Les bots ne garantissent pas de gains et dépendent des conditions du marché.
