Je viens de voir un message très percutant de Hayden Adams, le fondateur d’Uniswap, alertant sur la résurgence d’arnaques qui se font passer pour sa plateforme. Et en vérité, le panorama est plus préoccupant que ce que beaucoup pensent.

Ce qui se passe, c’est que les escrocs achètent maintenant des annonces dans les principaux moteurs de recherche pour apparaître lorsque les gens recherchent « Uniswap ». Résultat : un utilisateur clique sur ce qui semble être le site officiel, connecte son portefeuille... et voilà, ses fonds disparaissent. Un cas documenté montre quelqu’un ayant perdu une somme à six chiffres de cette manière.

Hayden Adams a indiqué que de fausses applications apparaissent alors que les approbations légitimes dans les boutiques d’applications restent en attente. C’est un schéma qui perdure depuis des années, ce qui est frustrant compte tenu du nombre de signalements effectués.

Les chiffres de janvier étaient brutaux. Selon CertiK, les arnaques et exploits en crypto ont totalisé environ 370,3 millions de dollars ce mois-là, le pire en 11 mois. Mais voici ce qui est intéressant : sur les 40 incidents enregistrés, la majorité de ces pertes provenaient d’une seule attaque d’ingénierie sociale qui a drainé environ $284 millions d’une seule victime. Cela montre à quel point ces attaques sont devenues sophistiquées.

Ce n’est pas nouveau qu’Uniswap fasse face à des usurpations d’identité. En octobre 2024, il y avait déjà des sites clonés avec des interfaces modifiées, des boutons trompeurs « connecter » au lieu de « commencer », et des options de « pont » au lieu d’accès à la documentation. Ce qui a changé, c’est l’ampleur et la sophistication.

Le vrai danger, c’est que l’écart entre un site légitime et un faux s’est réduit à néant. Lorsqu’on voit un résultat de recherche qui semble officiel, même les utilisateurs prudents peuvent finir par accorder des permissions qui débloquent un accès total à leurs portefeuilles. Hayden Adams a raison de faire du bruit à ce sujet.

L’industrie doit adopter des mesures plus agressives : validation plus stricte des domaines, avertissements explicites dans les résultats de recherche, et des flux d’approbation de portefeuille plus sécurisés. Les moteurs de recherche et les boutiques d’applications doivent accélérer la suppression du contenu frauduleux.

Pour nous, en tant qu’utilisateurs, la leçon est brutale : l’intégrité de la marque est une ligne de défense autant que toute sauvegarde technique. Vérifiez les domaines, méfiez-vous des résultats de recherche payants, et lorsque vous connectez des portefeuilles, faites-le uniquement depuis des URLs que vous avez vérifiées directement. Le cas d’Uniswap est un rappel que même les marques établies sont constamment sous le feu.