Retour au Blog
securiteingenierie-socialebitcointrezorenquete
282 M$ de Bitcoin Volés : Le Plus Grand Braquage par Ingénierie Sociale de l'Histoire Crypto
Un seul utilisateur a perdu 282 millions de dollars en Bitcoin et Litecoin après que des escrocs se soient fait passer pour le support Trezor. Voici pourquoi la vérification humaine compte plus que le matériel.
Miguel Treviño•
Résumé :
- L'Événement : Un seul victime a perdu 282 M$ en BTC et LTC lors d'une attaque d'ingénierie sociale par téléphone usurpant l'identité du support Trezor.
- La Vulnérabilité : L'attaque ciblait les « secrets partageables » (phrases de récupération) plutôt qu'un exploit de code ou une défaillance matérielle.
- La Leçon : La sécurité traditionnelle repose trop sur la gestion humaine de phrases de 24 mots facilement hameçonnables.
- La Solution : La ZK Face Proof de Zelf élimine le besoin de phrases de récupération — vous ne pouvez pas divulguer ce que vous n'avez pas.
Le 10 janvier 2026, quelqu'un a perdu 282 millions de dollars en une seule attaque.
Pas par un exploit de contrat intelligent. Pas par une vulnérabilité zero-day. Pas par une plateforme d'échange compromise.
Par un appel téléphonique.
L'Attaque
Comme l'a retracé l'enquêteur blockchain ZachXBT, l'attaque était d'une simplicité dévastatrice :
- La Mise en Place : Les escrocs se sont fait passer pour le support du portefeuille matériel Trezor
- L'Ingénierie Sociale : Ils ont convaincu la victime de partager sa phrase de récupération
- Le Vol : 1 459 BTC (~139 M$) et plus de 2 M de LTC (~153 M$) ont été drainés instantanément
Aucun piratage sophistiqué. Aucun exploit de code. Juste de la manipulation humaine.
La Piste de l'Argent
En quelques heures, l'attaquant a commencé à blanchir les fonds volés via :
- THORChain : Échange de BTC en ETH, XRP et autres actifs sans KYC
- Tornado Cash : Mélange des fonds pour brouiller les pistes
- Plusieurs CEX : KuCoin, WhiteBit, Huobi, ChangeNOW
- Monero : Destination finale pour une conversion intraçable
La société de sécurité ZeroShadow a réussi à bloquer environ 700 000 $ en 20 minutes, mais la grande majorité a échappé.
La Dure Réalité des Portefeuilles Matériels
Les portefeuilles matériels comme Trezor et Ledger sont présentés comme le moyen « le plus sûr » de stocker des cryptos. Et techniquement, ils le sont — s'ils sont utilisés correctement.
Mais voici ce que le marketing ne vous dit pas :
Un portefeuille matériel n'est aussi sûr que l'humain qui l'utilise.
L'appareil lui-même n'a jamais été compromis. Le firmware était intact. La cryptographie a tenu. Le maillon faible était la personne.
Ce n'est pas un problème Trezor. C'est un problème humain. Et cela s'applique à chaque portefeuille, chaque appareil, chaque système de sécurité.
Pourquoi les Phrases de Récupération Sont un Défaut de Conception
Soyons honnêtes : attendre des humains qu'ils :
- Écrivent 24 mots aléatoires
- Les stockent en toute sécurité pour toujours
- Ne les partagent jamais avec personne
- Se souviennent de leur emplacement des années plus tard
…c'est courir à l'échec.
Les phrases de récupération ont été conçues pour la sécurité cryptographique, pas pour l'utilisabilité humaine. Et quand la sécurité entre en conflit avec l'utilisabilité, l'utilisabilité gagne — souvent de manière catastrophique.
L'Approche Zelf : L'Authentification Sans Secrets
Chez Zelf, nous avons construit l'authentification autour d'un principe fondamental :
Vous ne pouvez pas divulguer ce que vous n'avez pas.
La ZK Face Proof fonctionne différemment :
- Pas de phrases de récupération à partager : Votre visage EST l'authentification
- Pas de secrets à extraire : La preuve est à connaissance nulle — rien de sensible n'est transmis
- Pas besoin d'appeler le support : Vous ne pouvez pas être « aidé » par des escrocs car il n'y a rien à aider
Les attaques d'ingénierie sociale ciblent les secrets partageables. Supprimez les secrets, supprimez le vecteur d'attaque.
Qu'est-ce qui Aurait Sauvé ces 282 M$ ?
Si la victime avait utilisé un système d'authentification basé sur le ZK :
- Il n'y aurait aucune phrase de récupération à partager
- Les escrocs ne pourraient pas usurper le « support » car il n'y a pas de secret à récupérer
- L'authentification est biométrique et non transférable
Tout le plan d'attaque de l'agresseur devient inutile.
Leçons Retenues
- Ne partagez jamais votre phrase de récupération : Aucun support légitime ne vous la demandera jamais
- Méfiez-vous des appels du « support » : Les vraies entreprises ne vous appellent pas à froid
- Remettez en question les secrets partageables : Toute authentification reposant sur quelque chose que vous pouvez communiquer est vulnérable
- Considérez le facteur humain : La meilleure sécurité est celle que vous ne pouvez pas contourner accidentellement
Le Futur de l'Authentification
Le braquage de 282 millions de dollars n'est pas une anomalie — c'est la conséquence naturelle de systèmes d'authentification conçus sans tenir compte de la psychologie humaine.
Zelf représente la prochaine génération : une authentification à la fois cryptographiquement sécurisée ET socialement inattaquable.
Votre visage ne peut pas être hameçonné. Votre preuve biométrique ne peut pas être partagée par téléphone. Votre identité ne peut pas être usurpée.