Autorisations de jetons (Token Approval) : comment les portefeuilles sont vidés et comment révoquer les autorisations
Guide pratique pour comprendre les autorisations de contrats intelligents (Token Approval) : comment les contrats drainants vident les portefeuilles, et les étapes pour vérifier et révoquer vos autorisations en toute sécurité sur des réseaux comme BEP20.
Avez-vous déjà connecté votre portefeuille à une application décentralisée (dApp) en cliquant sur un bouton "Approve", puis complètement oublié ce geste ? Ce moment qui paraît anodin peut rester actif pendant des années, et c'est aujourd'hui l'une des méthodes les plus courantes pour vider un portefeuille. Dans ce guide, nous expliquons ce qu'est une "autorisation de jeton" (Token Approval), comment les escrocs l'exploitent et, surtout, comment vérifier et révoquer vous-même vos autorisations, étape par étape.
Que signifie une "autorisation de jeton" (Token Approval) ?
Des jetons comme l'USDT sur le réseau BEP20 ne bougent pas d'eux-mêmes. Pour les utiliser dans une application décentralisée — un échange (swap), de la liquidité, ou tout autre contrat intelligent — ce contrat a besoin d'une autorisation préalable pour retirer le jeton depuis votre portefeuille. Cette autorisation s'appelle une "Allowance", et vous l'accordez via une transaction "Approve".
Le problème, c'est que par défaut, de nombreuses applications demandent une autorisation illimitée (Unlimited) : autrement dit, "permets à ce contrat de retirer n'importe quelle quantité de ce jeton, à tout moment, indéfiniment". Vous signez une seule fois, mais la porte reste ouverte jusqu'à ce que vous la refermiez vous-même.
Signer un "Approve" ne déplace pas vos fonds sur le moment, mais donne au contrat une clé permanente. Le danger n'est pas dans le montant actuel, mais dans l'autorisation qui reste ouverte pour plus tard.
Comment les contrats drainants vident-ils les portefeuilles ?
Les contrats drainants (Approval Drainers) ne "piratent" pas votre portefeuille : ils vous piègent pour que vous signiez vous-même l'autorisation. Le scénario habituel se déroule ainsi :
- Vous arrivez sur un site frauduleux qui ressemble à une plateforme connue, ou un message vous attire avec une "récompense" ou un "airdrop" gratuit.
- Le site vous demande de connecter votre portefeuille, puis affiche une fenêtre de signature qui semble tout à fait routinière.
- En réalité, cette signature accorde une autorisation illimitée sur un jeton que vous possédez (comme l'USDT ou le jeton natif du réseau).
- Rien ne se passe apparemment, donc vous pensez que l'opération a échoué et vous quittez le site.
- Des heures ou des jours plus tard, l'attaquant exécute la fonction
transferFromet retire votre solde, en une fois ou progressivement.
La ruse la plus dangereuse concerne les signatures Permit et Permit2 : une signature "hors chaîne" (off-chain) qui ne coûte aucun frais de gas et n'apparaît pas comme une transaction, mais qui accorde pourtant une autorisation complète. C'est pourquoi une telle demande peut sembler totalement inoffensive.
Aucune plateforme sérieuse ne vous demandera jamais de "signer pour recevoir une récompense" ou de "réactiver un compte" en accordant une autorisation sur vos jetons. Toute demande de signature en échange d'argent gratuit est presque toujours un signal d'alarme.
Signaux d'alerte avant de signer
- Le lien vers le site vous est parvenu par message privé, publicité payante, ou un compte "support" qui vous a contacté en premier.
- La fenêtre de signature du portefeuille affiche
ApproveouPermitpour un jeton que vous n'avez pas l'intention d'échanger maintenant. - L'autorisation demandée est illimitée, alors que vous n'avez besoin que d'un petit montant.
- L'adresse du contrat bénéficiaire est inconnue et n'apparaît pas comme un contrat reconnu sur l'explorateur de blockchain.
- Urgence et pression temporelle : "l'offre expire dans quelques minutes".
Comment vérifier et révoquer vos autorisations ?
La bonne nouvelle, c'est que les autorisations peuvent être révoquées à tout moment, et la révocation est simple. Le principe : vous envoyez une transaction qui ramène la limite autorisée à zéro.
Étapes pratiques
- Ouvrez dans votre navigateur un outil de révocation fiable (Revoke Tool), en veillant à taper l'adresse vous-même plutôt que de suivre un lien reçu dans un message.
- Connectez votre portefeuille, ou mieux encore : collez d'abord uniquement votre adresse publique pour consulter sans connexion, puis effectuez la révocation une fois les informations vérifiées.
- Sélectionnez le bon réseau (par exemple BNB Smart Chain pour les jetons BEP20).
- Consultez la liste des autorisations : chaque ligne indique le jeton, le contrat bénéficiaire et la limite autorisée.
- Repérez les autorisations illimitées ou les contrats que vous ne reconnaissez pas, puis cliquez sur "Revoke".
- Signez la transaction de révocation, payez les frais de gas modestes, et attendez la confirmation.
Chaque transaction de révocation sur la chaîne coûte de petits frais de gas. Établissez des priorités : révoquez d'abord les autorisations illimitées sur les jetons de valeur (USDT, jetons natifs du réseau).
Méthodes pour vérifier les autorisations
| Méthode | Fonctionnement | Remarque |
|---|---|---|
| Outil de révocation spécialisé | Affiche toutes les autorisations et les révoque en un clic | Le plus rapide ; vérifiez précisément l'adresse du site |
| Explorateur de blockchain | Onglet "Token Approvals" de l'explorateur du réseau | Fiable et directement issu des données on-chain |
| Le portefeuille lui-même | Certains portefeuilles proposent une section d'autorisations intégrée | Pratique si disponible dans votre portefeuille |
Habitudes pour vous protéger à l'avenir
- Fixez un montant : à chaque "Approve", choisissez une autorisation correspondant à votre besoin réel plutôt que "illimitée", si l'application le permet.
- Vérifiez régulièrement : contrôlez vos autorisations toutes les quelques semaines, et après toute interaction avec un nouveau site.
- Séparez vos portefeuilles : un petit portefeuille "de test" pour interagir avec de nouveaux sites, et un portefeuille "coffre-fort" que vous ne connectez à aucune dApp.
- Lisez la fenêtre de signature : comprenez le nom de la fonction et le contrat bénéficiaire avant de cliquer ; si vous ne comprenez pas, ne signez pas.
- Méfiez-vous des signatures sans gas : une signature
Permitpeut être gratuite, mais elle accorde tout de même une autorisation complète.
Ce contenu est purement éducatif, destiné à renforcer votre vigilance en matière de sécurité, et ne constitue pas un conseil financier, juridique ou religieux. Les outils de révocation et les noms de réseaux évoluent, vérifiez donc toujours vous-même les sources officielles avant de connecter votre portefeuille ou de signer quoi que ce soit. La protection de vos clés et de vos autorisations relève entièrement de votre responsabilité.
Conclusion
L'autorisation de jeton est un outil indispensable pour les applications décentralisées, mais c'est aussi la porte dérobée la plus exploitée. La règle est simple : n'accordez que ce dont vous avez besoin, et révoquez ce que vous n'utilisez plus. Faites de la vérification de vos autorisations une habitude régulière, comme le rangement de votre portefeuille, et vous fermerez aux escrocs leur porte la plus large avant même qu'ils ne frappent. Chez Paperino, nous croyons que la sécurité commence par la vigilance : une seule révocation aujourd'hui peut protéger la totalité de votre solde demain.
Prêt à traverser ?
Inscrivez-vous, récupérez votre premier canard et commencez à encaisser des USDT.
CommencerArticles connexes
- Piratage du presse-papiers : le virus qui remplace votre adresse USDT dès la copie
- Comment protéger la phrase de récupération et la clé privée de votre portefeuille : guide pour débutants
- Clé publique et clé privée : la différence expliquée simplement
- Qu'est-ce que la BNB Smart Chain, le réseau derrière la norme BEP20 ?
La fortune sourit aux audacieux. Traversez sans trembler — les récompenses, elles, sont bien réelles.