Qu'est-ce que le switch and bait

Qu’est-ce que le bait-and-switch ?

Le bait-and-switch désigne une pratique trompeuse ou manipulatrice consistant à attirer un utilisateur avec une offre séduisante, puis à remplacer discrètement la cible de la transaction ou ses conditions avant la validation. Cette méthode est courante dans le trading crypto, le minting de NFT et lors des principales étapes de participation aux airdrops.

On-chain, le bait-and-switch se manifeste principalement de deux manières : d’abord, le remplacement de l’“adresse de contrat”. Cette adresse identifie de façon unique un actif ou une application on-chain, à l’image d’un code-barres pour un produit : en cas de modification, il ne s’agit plus du même actif. Ensuite, la modification ou l’extension des “signatures et autorisations”. Une signature valide une action via votre wallet ; une autorisation permet à un contrat d’accéder à vos actifs. Si le périmètre est élargi, vos fonds peuvent être déplacés sans votre accord.

Pourquoi le bait-and-switch est-il fréquent sur les marchés Web3 ?

Le bait-and-switch est répandu dans Web3 en raison de l’irréversibilité des transactions, de l’anonymat des identités, de la complexité des processus et d’une forte asymétrie d’information. Les attaquants créent souvent un sentiment d’urgence et de FOMO (“offres à durée limitée”) pour inciter les utilisateurs à agir rapidement.

Les opérations on-chain impliquent de nombreux détails, comme le changement de réseau, la vérification de contrats, le réglage du slippage ou l’approbation de plafonds de dépenses : autant d’éléments qui favorisent l’oubli d’étapes critiques chez les nouveaux venus. Les réseaux sociaux amplifient ces risques : les discussions de groupe ou annonces peuvent être modifiées en quelques minutes, propageant rapidement les attaques de bait-and-switch. Selon les rapports de sécurité 2024 de Chainalysis et SlowMist, les escroqueries par ingénierie sociale restent très présentes, les faux airdrops et liens de contrats malveillants figurant parmi les méthodes les plus fréquentes.

Quelles sont les techniques courantes de bait-and-switch ?

Les tactiques fréquemment utilisées incluent le remplacement d’adresses de contrat, la manipulation des paramètres de prix ou de slippage, la substitution de liens de redirection et la modification d’annonces de groupe à la dernière minute.

Exemple courant : dans un groupe de prévente de tokens, l’“adresse de contrat officielle” épinglée est remplacée par une fausse juste avant le lancement. Lorsque les membres se précipitent pour acheter, les fonds sont redirigés vers un faux token contrôlé par les attaquants. De même, certains sites web peuvent changer le contrat cible du token après la connexion de votre wallet. Des interfaces malveillantes peuvent demander une “autorisation illimitée” via des fenêtres de signature, accordant ainsi un accès permanent à vos actifs.

Comment le bait-and-switch opère-t-il dans le trading décentralisé ?

Dans le trading décentralisé, le bait-and-switch consiste généralement à substituer l’adresse de contrat d’un token ou à modifier les paramètres de la transaction.

Sur les DEX (decentralized exchanges), les attaquants partagent souvent des liens de “swap en un clic”. Même si le nom du token paraît familier, l’adresse de contrat associée a été changée. Certaines interfaces fixent un slippage très élevé ou élargissent l’approbation du wallet à l’illimité, exposant ainsi vos fonds à un risque en une seule action.

Étape 1 : Avant d’accéder à une page de trading, vérifiez de manière indépendante l’adresse de contrat sur un block explorer et assurez-vous qu’elle correspond à la source officielle.

Étape 2 : Avant de signer via votre wallet, affichez les détails pour contrôler l’“adresse de destination”, le “nom de la fonction” et le “montant d’approbation”. Si le montant est excessif ou la méthode douteuse, quittez immédiatement.

Étape 3 : Utilisez des wallets ou outils permettant la simulation de transaction pour prévisualiser le swap et vérifier qu’il n’y a pas de divergence sur l’actif ou le montant transféré.

Comment le bait-and-switch se manifeste-t-il dans l’univers NFT ?

Le bait-and-switch dans le secteur NFT survient fréquemment lors de mintings gratuits, de lancements très attendus ou de transactions rapides sur le marché secondaire.

Par exemple, la page de mint d’un projet NFT peut être remplacée par un faux site juste avant le lancement, ce qui fait que l’utilisateur mint depuis un contrat contrefait au lieu de l’officiel. Autre scénario : après la connexion du wallet, le site peut remplacer l’appel de contrat pour obtenir une autorisation d’accès au lieu d’un mint. Pour les collections à métadonnées non verrouillées, les attaquants peuvent utiliser des visuels et noms similaires pour tromper les utilisateurs et vendre de fausses collections sur le marché secondaire.

Étape 1 : Utilisez uniquement des liens provenant des comptes Twitter officiels, serveurs Discord ou sites web du projet. Vérifiez systématiquement l’adresse de contrat et l’ID de collection.

Étape 2 : Dans la fenêtre pop-up de votre wallet, assurez-vous que la méthode appelée est bien “mint” et non “approve” ou toute autre action d’approbation.

Étape 3 : Privilégiez la participation à des contrats ouverts et vérifiables. Vérifiez le code source et la répartition des détenteurs sur les block explorers.

Comment identifier et éviter le bait-and-switch ?

Pour identifier et éviter le bait-and-switch, il est essentiel de procéder à une vérification indépendante, de limiter les autorisations et de prendre le temps de contrôler chaque étape.

Étape 1 : Vérifiez indépendamment les adresses de contrat. Ne cliquez pas simplement sur les boutons dans les discussions ou sur les pages web : copiez l’adresse dans un block explorer et comparez-la avec les sources officielles.

Étape 2 : Contrôlez les détails de la signature. Dans la fenêtre de votre wallet, cliquez sur “afficher les détails” pour vérifier l’“adresse de destination”, le “nom de la fonction” et le “montant d’approbation”. Si une autorisation illimitée est demandée, limitez le montant ou refusez la demande.

Étape 3 : Utilisez des outils de simulation de transaction et de gestion des risques. Simulez les transactions si possible ; après chaque opération, utilisez régulièrement des outils de révocation d’approbation pour retirer les permissions inutiles.

Étape 4 : N’utilisez que les canaux officiels. Accédez aux projets via leur site officiel, leurs réseaux sociaux vérifiés et leurs annonces officielles ; évitez les messages privés et les redirections via des liens courts.

Étape 5 : Prenez votre temps. Lors de lancements ou d’airdrops très attendus, prenez quelques secondes supplémentaires pour vérifier chaque détail : ralentir peut préserver votre capital.

En quoi le bait-and-switch diffère-t-il des autres arnaques crypto ?

Le bait-and-switch cible spécifiquement le moment où l’utilisateur s’apprête à confirmer une transaction, en modifiant la cible ou les conditions : c’est ce qui le distingue des autres types d’escroqueries.

Contrairement au “rug pull”, où l’équipe d’un projet retire la liquidité ou cesse d’honorer ses engagements après avoir collecté des fonds (généralement à un stade ultérieur), le bait-and-switch intervient dès que vous cliquez ou signez. À la différence du “honeypot”, qui empêche la revente au niveau du smart contract, le bait-and-switch pousse à acheter de faux actifs ou à accorder des autorisations excessives. Contrairement à une attaque sandwich—qui exploite le slippage sur le prix—le bait-and-switch substitue directement la cible ou les paramètres de la transaction.

Comment Gate protège-t-il contre le bait-and-switch ?

Sur Gate, la prévention repose sur l’utilisation exclusive des points d’entrée officiels et des pages de confirmation de commande—jamais de liens tiers ni de canaux non officiels.

Étape 1 : Pour participer à de nouveaux lancements de tokens, utilisez uniquement la page Startup de Gate et les annonces officielles—n’utilisez jamais de liens partagés par des tiers. Vérifiez les symboles de token et les détails de contrat avec les informations officielles.

Étape 2 : Pour les dépôts et retraits, passez exclusivement par la page de votre compte. Vérifiez soigneusement votre adresse de dépôt personnelle ; ne cliquez jamais sur des liens courts issus de chats de support ou de messages de groupe. La page de confirmation de commande de Gate affiche les cibles et montants de la transaction—contrôlez chaque détail avant de valider.

Étape 3 : Pour les activités NFT, accédez uniquement à la section NFT officielle de Gate. Évitez les liens de mint reçus en privé ; vérifiez systématiquement les détails de signature et refusez toute demande d’approbation suspecte.

Étape 4 : Effectuez des contrôles de sécurité réguliers. Activez les alertes de sécurité du compte, utilisez des mots de passe robustes avec authentification à deux facteurs ; pour les actifs on-chain, privilégiez les wallets matériels et révoquez régulièrement les autorisations inutiles.

Quels sont les points clés à retenir sur le bait-and-switch ?

Le bait-and-switch consiste à “appâter puis remplacer”—il survient le plus souvent lors de la vérification d’adresse de contrat ou lors des étapes d’approbation de signature. La meilleure défense reste la vérification indépendante, la limitation des autorisations, l’utilisation exclusive des canaux officiels et la prise de recul avant toute validation. Sur DEX et NFT, adoptez le réflexe de vérifier adresses de contrat et détails de signature, d’utiliser la simulation de transaction et la révocation d’approbation ; pour les activités sur Gate, privilégiez les points d’entrée et confirmations officiels tout en évitant les canaux non officiels ou liens privés. Toute transaction impliquant des fonds comporte un risque—la vérification préalable permet de réduire significativement les pertes potentielles.

FAQ

Puis-je récupérer mes actifs après avoir été victime d’une arnaque bait-and-switch ?

Il est malheureusement très difficile de récupérer des actifs perdus à la suite d’une arnaque bait-and-switch. En raison du caractère irréversible des transactions sur la blockchain, une fois les fonds envoyés vers le wallet d’un escroc, ils échappent définitivement à votre contrôle. Il convient de signaler immédiatement l’incident au support client Gate et de conserver tous les relevés de transaction pour les autorités, mais les chances de récupération sont faibles. La prévention reste essentielle.

Pourquoi mon adresse de wallet de confiance a-t-elle soudainement réalisé une transaction suspecte ?

Cela peut indiquer que la clé privée ou la phrase de récupération de votre wallet a été compromise—ou que vous êtes actuellement victime d’une attaque bait-and-switch. Les escrocs usurpent fréquemment des adresses officielles ou utilisent des adresses clonées pour envoyer des liens malveillants, vous incitant à croire que l’interaction est sûre. Vérifiez immédiatement la présence de malwares sur votre appareil, changez vos mots de passe, activez l’authentification à deux facteurs sur Gate et les autres plateformes, et transférez sans délai les fonds restants vers un nouveau wallet.

Comment distinguer une adresse de contrat de swap officielle d’un token frauduleux ?

Avant d’effectuer un swap sur des plateformes comme Gate ou Uniswap, copiez toujours l’adresse de contrat officielle du token et comparez-la caractère par caractère avec celle affichée dans le champ de saisie—ne vous fiez pas uniquement aux premiers ou derniers caractères. Vérifiez également que le nom du token correspond exactement (les escrocs utilisent souvent des caractères similaires). Consultez le site officiel pour valider l’authenticité du contrat. En cas de doute sur un token, vérifiez sa paire de trading et sa liquidité sur Gate ; une faible liquidité indique généralement un risque élevé.

Tous les airdrops ou tokens gratuits sont-ils des arnaques bait-and-switch ?

Ils ne sont pas tous frauduleux—mais comportent un risque élevé. Les airdrops de projets légitimes sont généralement annoncés à l’avance via les canaux officiels ; les bait-and-switch se présentent souvent sous la forme de “lucky giveaways” pour inciter à cliquer sur des liens malveillants ou à autoriser un wallet. Pour évaluer la légitimité : renseignez-vous d’abord sur le projet et sa notoriété sur Gate ; ne participez qu’après confirmation via les sources officielles. N’accordez jamais d’autorisations à des contrats inconnus. Soyez vigilant face aux promotions urgentes “claim now”—elles servent fréquemment d’appât à arnaque.

Le trading sur Gate est-il plus sûr que le swap direct avec un wallet en self-custody ?

Le trading sur des plateformes régulées comme Gate est nettement plus sûr. Gate procède à des analyses de risque pour les tokens listés, offre un cadre légal et un support officiel, et conserve les actifs des utilisateurs en dépôt. Si vous effectuez un swap direct depuis un wallet en self-custody, vous interagissez vous-même avec les smart contracts—assumant tous les risques de bait-and-switch, faux tokens, slippage, etc. Pour les débutants, il est conseillé de privilégier Gate ; n’envisagez le self-custody qu’après une compréhension approfondie des risques liés aux smart contracts.