Tous les articles
Sécurité du portefeuilleContrats intelligentsBEP20

Autorisations de jetons (Token Approval) : comment les portefeuilles sont vidés et comment révoquer les autorisations

Guide pratique pour comprendre les autorisations de contrats intelligents (Token Approval) : comment les contrats drainants vident les portefeuilles, et les étapes pour vérifier et révoquer vos autorisations en toute sécurité sur des réseaux comme BEP20.

Équipe Paperino6 min de lecture

Avez-vous déjà connecté votre portefeuille à une application décentralisée (dApp) en cliquant sur un bouton "Approve", puis complètement oublié ce geste ? Ce moment qui paraît anodin peut rester actif pendant des années, et c'est aujourd'hui l'une des méthodes les plus courantes pour vider un portefeuille. Dans ce guide, nous expliquons ce qu'est une "autorisation de jeton" (Token Approval), comment les escrocs l'exploitent et, surtout, comment vérifier et révoquer vous-même vos autorisations, étape par étape.

Que signifie une "autorisation de jeton" (Token Approval) ?

Des jetons comme l'USDT sur le réseau BEP20 ne bougent pas d'eux-mêmes. Pour les utiliser dans une application décentralisée — un échange (swap), de la liquidité, ou tout autre contrat intelligent — ce contrat a besoin d'une autorisation préalable pour retirer le jeton depuis votre portefeuille. Cette autorisation s'appelle une "Allowance", et vous l'accordez via une transaction "Approve".

Le problème, c'est que par défaut, de nombreuses applications demandent une autorisation illimitée (Unlimited) : autrement dit, "permets à ce contrat de retirer n'importe quelle quantité de ce jeton, à tout moment, indéfiniment". Vous signez une seule fois, mais la porte reste ouverte jusqu'à ce que vous la refermiez vous-même.

Signer un "Approve" ne déplace pas vos fonds sur le moment, mais donne au contrat une clé permanente. Le danger n'est pas dans le montant actuel, mais dans l'autorisation qui reste ouverte pour plus tard.

Comment les contrats drainants vident-ils les portefeuilles ?

Les contrats drainants (Approval Drainers) ne "piratent" pas votre portefeuille : ils vous piègent pour que vous signiez vous-même l'autorisation. Le scénario habituel se déroule ainsi :

  1. Vous arrivez sur un site frauduleux qui ressemble à une plateforme connue, ou un message vous attire avec une "récompense" ou un "airdrop" gratuit.
  2. Le site vous demande de connecter votre portefeuille, puis affiche une fenêtre de signature qui semble tout à fait routinière.
  3. En réalité, cette signature accorde une autorisation illimitée sur un jeton que vous possédez (comme l'USDT ou le jeton natif du réseau).
  4. Rien ne se passe apparemment, donc vous pensez que l'opération a échoué et vous quittez le site.
  5. Des heures ou des jours plus tard, l'attaquant exécute la fonction transferFrom et retire votre solde, en une fois ou progressivement.

La ruse la plus dangereuse concerne les signatures Permit et Permit2 : une signature "hors chaîne" (off-chain) qui ne coûte aucun frais de gas et n'apparaît pas comme une transaction, mais qui accorde pourtant une autorisation complète. C'est pourquoi une telle demande peut sembler totalement inoffensive.

Aucune plateforme sérieuse ne vous demandera jamais de "signer pour recevoir une récompense" ou de "réactiver un compte" en accordant une autorisation sur vos jetons. Toute demande de signature en échange d'argent gratuit est presque toujours un signal d'alarme.

Signaux d'alerte avant de signer

  • Le lien vers le site vous est parvenu par message privé, publicité payante, ou un compte "support" qui vous a contacté en premier.
  • La fenêtre de signature du portefeuille affiche Approve ou Permit pour un jeton que vous n'avez pas l'intention d'échanger maintenant.
  • L'autorisation demandée est illimitée, alors que vous n'avez besoin que d'un petit montant.
  • L'adresse du contrat bénéficiaire est inconnue et n'apparaît pas comme un contrat reconnu sur l'explorateur de blockchain.
  • Urgence et pression temporelle : "l'offre expire dans quelques minutes".

Comment vérifier et révoquer vos autorisations ?

La bonne nouvelle, c'est que les autorisations peuvent être révoquées à tout moment, et la révocation est simple. Le principe : vous envoyez une transaction qui ramène la limite autorisée à zéro.

Étapes pratiques

  1. Ouvrez dans votre navigateur un outil de révocation fiable (Revoke Tool), en veillant à taper l'adresse vous-même plutôt que de suivre un lien reçu dans un message.
  2. Connectez votre portefeuille, ou mieux encore : collez d'abord uniquement votre adresse publique pour consulter sans connexion, puis effectuez la révocation une fois les informations vérifiées.
  3. Sélectionnez le bon réseau (par exemple BNB Smart Chain pour les jetons BEP20).
  4. Consultez la liste des autorisations : chaque ligne indique le jeton, le contrat bénéficiaire et la limite autorisée.
  5. Repérez les autorisations illimitées ou les contrats que vous ne reconnaissez pas, puis cliquez sur "Revoke".
  6. Signez la transaction de révocation, payez les frais de gas modestes, et attendez la confirmation.

Chaque transaction de révocation sur la chaîne coûte de petits frais de gas. Établissez des priorités : révoquez d'abord les autorisations illimitées sur les jetons de valeur (USDT, jetons natifs du réseau).

Méthodes pour vérifier les autorisations

MéthodeFonctionnementRemarque
Outil de révocation spécialiséAffiche toutes les autorisations et les révoque en un clicLe plus rapide ; vérifiez précisément l'adresse du site
Explorateur de blockchainOnglet "Token Approvals" de l'explorateur du réseauFiable et directement issu des données on-chain
Le portefeuille lui-mêmeCertains portefeuilles proposent une section d'autorisations intégréePratique si disponible dans votre portefeuille

Habitudes pour vous protéger à l'avenir

  • Fixez un montant : à chaque "Approve", choisissez une autorisation correspondant à votre besoin réel plutôt que "illimitée", si l'application le permet.
  • Vérifiez régulièrement : contrôlez vos autorisations toutes les quelques semaines, et après toute interaction avec un nouveau site.
  • Séparez vos portefeuilles : un petit portefeuille "de test" pour interagir avec de nouveaux sites, et un portefeuille "coffre-fort" que vous ne connectez à aucune dApp.
  • Lisez la fenêtre de signature : comprenez le nom de la fonction et le contrat bénéficiaire avant de cliquer ; si vous ne comprenez pas, ne signez pas.
  • Méfiez-vous des signatures sans gas : une signature Permit peut être gratuite, mais elle accorde tout de même une autorisation complète.

Ce contenu est purement éducatif, destiné à renforcer votre vigilance en matière de sécurité, et ne constitue pas un conseil financier, juridique ou religieux. Les outils de révocation et les noms de réseaux évoluent, vérifiez donc toujours vous-même les sources officielles avant de connecter votre portefeuille ou de signer quoi que ce soit. La protection de vos clés et de vos autorisations relève entièrement de votre responsabilité.

Conclusion

L'autorisation de jeton est un outil indispensable pour les applications décentralisées, mais c'est aussi la porte dérobée la plus exploitée. La règle est simple : n'accordez que ce dont vous avez besoin, et révoquez ce que vous n'utilisez plus. Faites de la vérification de vos autorisations une habitude régulière, comme le rangement de votre portefeuille, et vous fermerez aux escrocs leur porte la plus large avant même qu'ils ne frappent. Chez Paperino, nous croyons que la sécurité commence par la vigilance : une seule révocation aujourd'hui peut protéger la totalité de votre solde demain.

Prêt à traverser ?

Inscrivez-vous, récupérez votre premier canard et commencez à encaisser des USDT.

Commencer

Articles connexes

La fortune sourit aux audacieux. Traversez sans trembler — les récompenses, elles, sont bien réelles.