Que sont les Robots de Sweeping ?

LeeMaimaiLeeMaimai
/14 oct. 2025
Que sont les Robots de Sweeping ?

Points clés

• Les robots de sweeping exploitent la visibilité du mempool pour vider rapidement les adresses compromises.

• Les approbations illimitées et les clés privées compromises sont des vecteurs d'attaque courants.

• Des mesures de sécurité comme la révocation régulière des autorisations peuvent réduire les risques.

• Les portefeuilles matériels offrent une protection supplémentaire contre les attaques de robots de sweeping.

Les robots de sweeping sont des programmes automatisés qui surveillent l’activité sur la blockchain afin de « balayer » immédiatement les actifs d’une adresse ciblée dès que des fonds y deviennent disponibles. Dans le domaine de la sécurité des cryptomonnaies, ces robots sont généralement utilisés par des attaquants qui détiennent déjà la clé privée de la victime ou une autorisation d’accès à ses tokens. Ils s’appuient sur la vitesse, l’automatisation et la visibilité du mempool pour vider les fonds avant que la victime ne puisse réagir.

Cet article vous explique comment fonctionnent ces robots, pourquoi ils sont si efficaces, les schémas d’attaque à repérer et les mesures concrètes à prendre pour vous en prémunir.

Comment Fonctionnent les Robots de Sweeping

  • Surveillance du mempool : Sur des blockchains publiques comme Ethereum, les transactions en attente sont visibles dans un mempool public avant d’être incluses dans un bloc. Les attaquants exécutent des bots qui guettent les transactions de financement vers des portefeuilles compromis ou les approbations qui permettent de dépenser des fonds. Dès qu’un mouvement exploitable est détecté, le bot soumet une transaction concurrente avec des frais plus élevés pour être incluse en priorité. Pour en savoir plus sur les transactions en attente et le mempool, consultez la documentation des développeurs Ethereum sur les transactions.

  • Frais de priorité et manipulation du gas : Depuis l’introduction de l’EIP‑1559, les transactions sur Ethereum incluent une « priority fee » (ou pourboire) destinée à inciter les constructeurs de blocs. Les robots de sweeping ajustent dynamiquement ces frais pour surpasser les transactions légitimes, ou intègrent des transactions privées dans des bundles afin de garantir leur inclusion. Aperçu de l’EIP‑1559.

  • Techniques MEV : Certains comportements de sweeping relèvent des stratégies de « valeur extractible maximale » (MEV), où les bots réorganisent, insèrent ou remplacent des transactions pour en tirer avantage. Tous les MEV ne sont pas malveillants, mais les bots opérés par des attaquants utilisent des tactiques similaires — précéder une approbation ou un dépôt pour gagner la course contre la victime. Explication de la MEV et documentation Flashbots.

En résumé, dès qu’un bot a un moyen d’effectuer des dépenses depuis votre adresse — clé privée, autorisation illimitée, ou signature « permit » — il surveillera tout transfert entrant pour le retirer immédiatement.

Vecteurs d’Attaque Courants Utilisés par les Robots

  • Clés privées ou seeds compromis : Si une clé privée ou une phrase de récupération est divulguée, l’adresse devient une cible évidente. Tout dépôt ultérieur sera probablement balayé en quelques secondes.

  • Approbations toxiques sur ERC‑20 et NFTs :

    • Approbations illimitées : De nombreuses applis DeFi demandent des autorisations sans limite, ce qui permet à un tiers de déplacer tous vos tokens sans confirmation future. Les attaquants exploitent ces accès en vous incitant à approuver des contrats malveillants ou en tirant parti d’approbations anciennes.
    • setApprovalForAll pour NFTs : Une seule signature peut accorder à un contrat malveillant la capacité de transférer tous vos NFTs.
    • Signatures permit (EIP‑2612) : Une signature hors bloc peut accorder des droits de dépense. Un site malveillant peut vous faire signer une autorisation apparemment inoffensive qui permettra un sweeping ultérieur. EIP‑2612 permit.

  • Hameçonnage et services de type "drainer-as-a-service" : Les attaquants créent de fausses dApps ou envoient des tokens gratuitement (airdrops) vous invitant à signer une transaction qui accorde une autorisation dangereuse. Ils peuvent aussi vous piéger pour importer votre seed dans un portefeuille logiciel non sécurisé, qu’un robot espionnera ensuite. Pour limiter les risques de phishing, consultez cet aperçu de la CISA.

  • Empoisonnement d’adresses : Les attaquants effectuent des transferts à 0 montant vers des adresses visuellement proches pour polluer votre historique de transactions, espérant que vous copierez plus tard la mauvaise adresse. Ce n’est pas un sweeping direct, mais cela prépare souvent un vol par redirection. Pour en savoir plus, lisez cet article sur le front-running.

Pourquoi les Robots de Sweeping Sont-Ils Si Efficaces ?

  • Vitesse : Les bots fonctionnent 24h/24, 7j/7, et soumettent immédiatement des transactions avec des frais agressifs.
  • Visibilité : Les mempools publics et les états d’approbation sont simples à consulter.
  • Automatisation : Les attaquants maintiennent des listes d’adresses compromises et les vident de manière systématique, chaîne par chaîne.
  • Simplicité d’exploitation : Une seule approbation malicieuse ou une fuite de clé suffit à donner un accès récurrent aux fonds.

Évolutions à Surveiller en 2025

  • Flux de transactions privés et RPC protecteurs : De plus en plus d’utilisateurs et portefeuilles adoptent l’envoi de transactions privées pour échapper à la surveillance du mempool. Cela réduit les risques de front-running, mais les attaquants exploitent aussi ces canaux. Si vous tentez de « sauver » un portefeuille compromis, il est essentiel de bien comprendre ces outils. Documentation Flashbots.

  • Abstraction de compte et contrôles de dépense : Les portefeuilles intelligents utilisant ERC‑4337 permettent d’ajouter des limites journalières, des clés temporaires et des permissions fines, réduisant les risques de sweeping même en cas de compromission. Présentation de l’ERC‑4337.

  • Nouveaux modèles de signature : Des propositions comme l’EIP‑7702 visent à améliorer la sécurité et la flexibilité des comptes. Suivez l’évolution de ces standards pour adapter vos pratiques de sécurité. EIP‑7702.

Comment Se Protéger

  • Limiter les approbations

    • Privilégier des montants précis plutôt que des autorisations illimitées.
    • Révoquer régulièrement les autorisations à risque :

  • Signer en toute sécurité

    • Vérifiez toujours l’adresse du destinataire et les détails de l’approbation.
    • Évitez de signer des messages “permit” sauf si vous faites pleinement confiance à la dApp et comprenez les paramètres (expiration, nonce, destinataire).
    • Désactivez la signature aveugle dans vos portefeuilles pour voir les données des contrats.

  • Utiliser des flux privés si nécessaire

    • En cas d’adresse compromise, privilégiez l’envoi via un relai privé pour que les robots ne puissent pas voir votre transaction dans le mempool. Flashbots documentation

  • Isoler les activités à risque

    • Séparez vos fonds long terme et vos fonds actifs DeFi dans des adresses différentes.
    • Envisagez l’utilisation de portefeuilles intelligents avec des limites journalières (via abstraction de compte). ERC‑4337

  • Se prémunir contre le phishing

    • Vérifiez toutes les URL, les contrats et les demandes d’approbation.
    • Utilisez des extensions de sécurité et des listes fiables de sites. N’importez jamais une seed dans une application inconnue. Relisez les schémas typiques de phishing. Guide CISA.

Que faire Si Votre Adresse est Déjà Compromise

Si vous pensez qu’un robot surveille votre adresse :

  • Ne financez pas directement le portefeuille compromis : Tout dépôt sera probablement balayé instantanément.
  • Effectuez une transaction atomique via un relai privé : Essayez d’utiliser un bundle incluant le financement et le retrait dans le même bloc, sans exposition au mempool. Cela requiert souvent des outils spécialisés ou de l’aide professionnelle. Docs Flashbots
  • Révoquez d'abord les autorisations : Si le danger vient d’une autorisation plutôt que d’une clé fuyée, tentez de la révoquer via un relai privé. Cela sécurise le transfert de vos fonds. Token Approval Checker et revoke.cash
  • Migrez vers une nouvelle adresse : Créez un nouveau portefeuille, vérifiez soigneusement votre environnement, puis transférez vos actifs seulement lorsque vous êtes sûr de ne laisser aucune approbation ou signature exploitable.

Tous les Robots de Sweeping Sont-Ils Mauvais ?

Non. Tous les bots de front-running ne sont pas malveillants. De nombreux robots MEV contribuent à l’efficacité des marchés en procédant à de l’arbitrage ou à des liquidations. Ce qui différencie un bot d’attaque, c’est qu’il exploite des clés volées ou des autorisations abusives pour dépenser des fonds que vous n’avez jamais voulu transférer. Les mêmes outils — surveillance du mempool, frais de priorité, réorganisation des transactions — peuvent servir à de bons ou de mauvais usages. Se protéger, c’est avant tout contrôler qui a le droit de dépenser depuis votre adresse, pas seulement qui peut voir vos transactions.

Un Mot sur les Wallets Physiques

Les portefeuilles matériels diminuent considérablement la surface d’attaque en gardant les clés privées hors ligne et en exigeant une confirmation physique pour toute action importante. Si vous utilisez un portefeuille comme OneKey, vous bénéficiez de :

  • Clés hors ligne et signatures transparentes : Tous les détails de la transaction, y compris les autorisations de dépenses, sont affichés pour vérification, ce qui permet de repérer les autorisations douteuses.
  • Logiciel open-source et support multi-chaînes : Vous pouvez gérer vos ERC‑20 et vos NFTs sur plusieurs blockchains, en entretenant de bonnes pratiques d’approbation.
  • Configuration sécurisée avec phrase de passe : Même si l’ordinateur connecté est compromis, l’attaquant ne pourra extraire les clés d’un appareil configuré correctement.

Les robots de sweeping exploitent des clés exposées et des autorisations négligentes. Utiliser une signature hors ligne et examiner soigneusement ce que vous approuvez réduit drastiquement le risque qu’un bot puisse un jour dépenser vos actifs. Si vous souhaitez renforcer encore votre sécurité, envisagez l’ajout d’un portefeuille matériel comme OneKey et intégrez l’audit de vos approbations à votre routine de sécurité.

À Retenir

  • Les robots de sweeping vident immédiatement les adresses compromises ou trop généreusement approuvées en exploitant la visibilité du mempool et des frais élevés. Transactions Ethereum et EIP‑1559.
  • Les risques majeurs : clés compromises, autorisations illimitées, signatures permit, phishing. Révoquez régulièrement les autorisations à risque. Token Approval Checker et revoke.cash
  • En 2025, les flux de transactions privés et les portefeuilles abstraits deviennent plus répandus, offrant une meilleure protection. Documentation Flashbots et ERC‑4337 overview
  • Les portefeuilles matériels comme OneKey, associés à de bonnes pratiques de signature et d’approbation, offrent une défense solide contre les robots de sweeping au quotidien.

Sécurisez votre parcours crypto avec OneKey

View details for Boutique OneKeyBoutique OneKey

Boutique OneKey

Le portefeuille matériel le plus avancé au monde.

View details for Télécharger l'applicationTélécharger l'application

Télécharger l'application

Alertes contre les arnaques. Toutes les pièces supportées.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clarté Crypto—À un appel de distance.

Continuer à lire