Approuver, Autoriser, Révoquer : ne transformez pas votre wallet en distributeur

Disclaimer: this material is for informational purposes only and is not investment advice.

Si des tokens ont un jour quitté votre wallet sans confirmation, dans 9 cas sur 10 ce n'était pas un hack de la blockchain — c'était une ancienne autorisation que vous aviez donnée à un smart contract à un moment donné. En 2026, c'est l'une des façons les plus courantes pour les utilisateurs retail de perdre des fonds : drainers, pages de phishing, faux contrôles d'éligibilité — tout l'écosystème tourne autour des signatures et des autorisations de tokens.

Détaillons ce qu'est l'approbation/autorisation, pourquoi les approbations illimitées sont dangereuses, comment fonctionne la révocation, et quoi faire si vous avez déjà cliqué sur la mauvaise option.

Termes clés

Approuver : permission que vous donnez à un smart contract pour dépenser vos tokens.

Autorisation : l'ampleur de cette permission (combien il peut dépenser).

Révoquer : annuler cette permission (généralement en mettant l'autorisation à zéro).

Vous n'approuvez pas « votre wallet ». Vous approuvez une adresse de contrat spécifique — et souvent pour un montant très élevé (parfois effectivement illimité).

Comment le vol via l'approbation se produit généralement

Un scénario classique ressemble à ceci :

1. Vous arrivez sur un site : « airdrop / claim / vérifier l'éligibilité / mint / vérifier le wallet ».
2. Vous connectez votre wallet.
3. Le site vous demande d'effectuer une action « inoffensive » — le plus souvent une approbation.
4. Vous la confirmez.
5. Après cela, le contrat (ou celui qui le contrôle) peut transférer vos tokens sans vous redemander, jusqu'à ce que l'autorisation soit révoquée ou épuisée.

C'est pourquoi on a l'impression que des tokens ont été pris sans signature. La signature a eu lieu — simplement plus tôt.

Pourquoi l'approbation illimitée est le plus grand signal d'alerte

De nombreuses interfaces utilisent par défaut le maximum/illimité pour que vous ne payiez pas du gas à chaque swap ou interaction.

Avantage : moins de friction.

Inconvénient : une seule erreur peut permettre à quelqu'un de vider vos tokens jusqu'à zéro.

Une règle pratique :

• Pour des actions ponctuelles, approuvez un montant exact (ou un petit plafond).
• Les approbations illimitées doivent être considérées comme si vous donniez à une entreprise votre carte sans plafond de dépenses.

Risque supplémentaire en 2026 : Permit/Permit2 et signatures sans gas

C'est là que beaucoup d'utilisateurs se font piéger. 

Il y a deux réalités différentes :

1) Approve ERC-20 classique

Il s'agit d'une transaction on-chain. Vous payez du gas. L'approbation est visible dans les explorers et dans les outils de révocation.

2) Permit / Permit2 (autorisations sans gas via des signatures)

Ici vous signez un message, et la capacité à dépenser des tokens peut être activée via un mécanisme différent (parfois sans que vous n'envoyiez une transaction d'approbation distincte au moment de la signature). 

Pour l'utilisateur c'est pire : « juste une signature » → tokens partis.

Si un site vous demande de signer pour vérifier ou pour contrôler l'éligibilité, considérez cela comme risqué. Dans de nombreuses arnaques réelles, c'est toute l'attaque.

Comment vérifier quels contrats ont des autorisations

Choisissez l'une de ces approches.

Option A : outils de révocation

Ouvrez un vérificateur d'approbations de tokens, connectez votre wallet, sélectionnez le réseau et passez en revue les autorisations.

Ce qu'il faut rechercher :

• noms/domaines de contrats inconnus ;
• autorisations énormes ;
• autorisations pour stablecoins (USDT/USDC/DAI) — un favori des drainers ;
• approbations NFT (souvent affichées dans un onglet séparé).

Option B : explorers blockchain (Etherscan et équivalents)

Utile si vous souhaitez vérifier les adresses manuellement.

Ce qu'il faut rechercher :

• transactions Approve ;
• l'adresse du contrat qui a reçu l'autorisation ;
• listes d'approbations de tokens (si l'UI de l'explorer les fournit).

Option C : l'interface de votre wallet

Certaines wallets affichent les approbations, mais les outils spécialisés sont généralement plus rapides et plus clairs.

Comment révoquer en toute sécurité 

Étape 1 : identifier le bon réseau

Les approbations sont par réseau : Ethereum, Arbitrum, Base, BNB Chain, etc.

Si vous avez approuvé pendant une opération sur une chaîne — vous devez révoquer sur cette même chaîne.

Étape 2 : afficher les autorisations et prioriser par risque

Commencez par les stablecoins (USDT/USDC/DAI), les tokens liquides importants (wrapped ETH, actifs majeurs), puis tout le reste.

Étape 3 : supprimer les approbations illimitées et inconnues

Utilisez Révoquer/Mettre l'autorisation à 0.

Cela est généralement une transaction on-chain, vous paierez donc du gas.

Étape 4 : vérifier à nouveau après quelques minutes

Certaines interfaces mettent en cache les résultats. Confirmez que l'autorisation est maintenant à 0.

Que faire si des tokens ont déjà été vidés

Considérez cela comme un incendie.

1) Déplacez immédiatement les actifs restants vers une nouvelle adresse

• idéalement créez-la dans un profil de navigateur ou un appareil propre ;
• ne connectez pas le wallet compromis à des sites de « récupération » ou de « vérification ».

2) Révoquez les autorisations sur l'adresse compromise

Cela ne récupérera pas les fonds volés, mais peut empêcher d'autres transferts de ce qui reste.

3) Vérifiez les autorisations sur tous les réseaux

Les arnaques sont souvent multi-chain. Les gens nettoient Ethereum et oublient Base/Arbitrum.

4) Séparez les « activités à risque » de votre wallet principal à l'avenir

Si cette adresse était utilisée pour des airdrops/mini-apps, ne continuez pas à l'utiliser comme wallet principal.

Conclusion

Approuver est un mécanisme utile — et aussi la raison pour laquelle les wallets deviennent le plus souvent des distributeurs pour les attaquants. En 2026, les gagnants sont ceux qui appliquent une hygiène basique : limiter les approbations, révoquer régulièrement et séparer les adresses par rôle.