L’avion vient tout juste d’atterrir. Lao Li sort son téléphone et ouvre imToken : la suite de chiffres qui s’affiche à l’écran lui fait littéralement flancher les jambes : 3 millions de TRC20-USDT, totalement envolés.

Avant son déplacement professionnel, il avait même expressément demandé à sa femme de transférer quelques USDT pour compléter la marge. Désormais, le solde du portefeuille est à zéro, et les enregistrements sur la blockchain n’indiquent que des adresses inconnues venues de nulle part. Après enquête, la police locale conclut : « L’opération a été effectuée par un membre de la famille, il n’y a pas de vol. » Sa femme fond en larmes sur place : « Je n’ai fait que recopier la phrase mnémonique que tu avais sauvegardée sur WeChat, c’est tout... »

La vraie faille se cache dans les détails : un vieil Android de trois ans, dont le mot de passe n’a jamais été changé, un WiFi domestique dont la clé n’a pas bougé depuis trois ans, et une appli douteuse appelée « Assistant de Cours des Cryptos » installée sur le téléphone. Le rapport de sécurité SlowMist 2024 est sans appel : 78 % des vols de crypto sont liés à la fuite de la phrase mnémonique. Ce type de plugin malveillant peut surveiller votre presse-papiers en temps réel : dès que la phrase mnémonique est copiée, la clé privée est interceptée, les fonds transférés à la vitesse de l’éclair, blanchis via un mixeur, sans laisser la moindre trace.

Envie de survivre dans la crypto ? Gravez ces trois règles d’or dans votre ADN :

La phrase mnémonique doit être « physiquement isolée » — ne la stockez jamais sur WeChat, le cloud, un mémo, etc. Prenez une plaque d’acier inoxydable, gravez-la et cachez-la. Faire une capture d’écran ? Autant accrocher la clé de chez vous à la porte d’entrée.

Pour gérer votre wallet, utilisez un « appareil propre ». Installez uniquement l’application officielle, ne touchez jamais à un WiFi public, et évitez les plugins douteux comme « pytoileur » : c’est du suicide.

Un membre de la famille doit manipuler le wallet ? Supervisez toute l’opération en visioconférence. Avant chaque transfert, vérifiez trois fois les quatre derniers caractères de l’adresse. Une seule lettre de travers et c’est la catastrophe.

L’amère leçon du vol des 10,8 milliards de Bybit est encore fraîche : en 72 heures, un hacker peut effacer tous les logs. Une fois les fonds disparus, vous n’aurez même plus de preuves.

Vérifiez maintenant tout de suite : la phrase mnémonique est-elle encore sauvegardée dans vos favoris WeChat ? Y a-t-il des plugins d’origine douteuse sur votre appareil ? Les membres de votre famille comprennent-ils vraiment tous ces pièges ?

Lire les chandeliers, c’est une question de technique. Protéger son wallet, c’est le vrai talent pour survivre dans ce milieu.