Quelqu'un te transfère un lien. "Claim gratuit, se termine dans 4 heures." Le panda a déjà vu ce film. La fin implique rarement de l'argent gratuit, mais souvent un wallet vide. Ce tutoriel passe en revue les sept vérifications qui distinguent un vrai airdrop d'un wallet drainer en une dizaine de minutes.
Selon les données mondiales de marché de CoinGecko, le marché recense 17 409 cryptomonnaies actives au 28 mai 2026, pour une capitalisation totale de 2,53 billions de dollars. La plupart des faux domaines de claim repérés cette semaine imitent des projets du top 100. L'usine à phishing s'adapte à l'échelle du marché.
Prérequis
Avant de commencer, prépare :
- Un onglet de navigateur vierge sur un ordinateur ou un téléphone. Ne connecte pas encore de wallet.
- Le compte officiel du projet sur X, Discord ou son domaine principal. Récupère-le depuis le propre post épinglé du projet, pas depuis une réponse ou une capture d'écran.
- Une adresse en lecture seule ou un burner wallet pour les premières vérifications. Garde le wallet principal de côté jusqu'à l'étape sept.
- Dix minutes et zéro FOMO. La deadline affichée sur la page de claim est presque toujours fausse.
Durée estimée : 10 à 12 minutes.
Qu'est-ce qu'un airdrop légitime ?
Un airdrop légitime possède trois caractéristiques que la version frauduleuse n'a presque jamais. Premièrement, l'annonce provient d'un canal primaire vérifié : le domaine propre du projet, son compte X avec un historique de publications crédible, idéalement une entrée sur un forum de gouvernance. Deuxièmement, la logique d'éligibilité est publique et basée sur un snapshot. Tu es éligible grâce à quelque chose que tu as déjà fait on-chain, pas via une page "connecte et signe". Troisièmement, le site de claim est hébergé sur un domaine qui correspond au domaine connu du projet, caractère par caractère. Pas de "a" cyrillique substitué, pas de préfixe "claim-" sur un domaine séparé.
Les vrais airdrops ne demandent pas d'approbation de dépenses illimitées. Ils ne "synchronisent pas ton wallet". Ils ne "vérifient" pas via une signature qui s'avère être une autorisation de transfert.
Étape par étape : sept vérifications avant de connecter
Effectue-les dans l'ordre. Arrête-toi au premier échec.
1. Remonte jusqu'à une source primaire pour l'annonce. Ouvre le domaine principal du projet manuellement. Tape-le, ne clique pas. Cherche le post sur l'airdrop sur le blog officiel du projet ou son post épinglé sur X. Si la seule "preuve" est un transfert Telegram ou une publicité Twitter payante, tu as ta réponse.
2. Vérifie le domaine de claim caractère par caractère. Les drainers enregistrent des sosies comme arbitrum-claim.io, optimism-foundation.net, bsc-airdrop.app. Les vrais projets clament généralement depuis leur propre domaine racine. Compare lettre par lettre.
3. Regarde l'ancienneté du contrat. Ouvre le contrat de l'airdrop sur Etherscan ou BscScan. Les drainers les déploient souvent moins de 24 heures avant la campagne. Les vrais projets sont auditables depuis des jours ou des semaines. Récent plus bruyant égale risqué.
4. Lis la fonction que tu t'apprêtes à signer. Un vrai claim est généralement claim(uint256, bytes32[]). Un drainer, c'est setApprovalForAll(true), permit(...), increaseAllowance(...), ou un payload opaque "Sign-In With Ethereum" qui transfère la propriété à la lecture attentive. Si le nom de la fonction est illisible, le panda rentre chez lui.
5. Croise l'adresse du contrat avec la documentation du projet. Les projets publient le contrat de l'airdrop sur leur propre site. Si l'adresse sur la page de claim ne correspond pas à la doc, la page de claim n'est pas la vraie page de claim.
6. Utilise un simulateur avant de signer. Des outils comme Wallet Guard, Pocket Universe ou Blockaid (désormais intégré à MetaMask) simulent la transaction et affichent le vrai mouvement d'actifs. Si la simulation montre des actifs qui partent au lieu d'arriver, ne signe pas. Cette seule étape bloque environ neuf drainers sur dix.
7. Révoque rapidement après avoir claimé. Même des claims légitimes laissent parfois des approbations ouvertes. Visite l'Etherscan Token Approval Checker ou l'équivalent BscScan juste après avoir claimé et révoque tout ce qui est inutilisé. Notre guide sur la révocation des approbations de tokens sur BSC couvre le chemin le plus économe en gas fee.
Le guide de sécurité officiel d'Ethereum reprend la plupart de ces règles dans une prose plus apaisée.
Résolution des problèmes courants
Le site demande ma seed phrase. Ferme l'onglet. C'est tout. Aucun vrai airdrop ne demande jamais une seed phrase. Aucun. Jamais.
Le simulateur affiche zéro entrée et zéro sortie. La transaction définit probablement une permission plutôt que de déplacer un actif. Les permissions accordées sont le mode de fonctionnement de la plupart des drains modernes. Rejette la signature.
Le contrat est tout neuf mais le projet est réel. Possible, mais vérifie l'adresse auprès du domaine du projet, de sa documentation et d'un vote de gouvernance. Trois sources primaires. Deux sur trois ne suffisent pas.
J'ai déjà signé quelque chose que je n'aurais pas dû. Rends-toi sur le vérificateur d'approbations et révoque chaque approbation non essentielle. Déplace les actifs restants vers un nouveau wallet si une approbation de haute valeur a été accordée. Notre guide sur les hardware wallets couvre les bonnes pratiques d'hygiène à long terme.
FAQ
Combien de temps ai-je pour clamer un airdrop légitime ?
Les vraies campagnes durent des semaines ou des mois, pas des heures. Toute accroche du type "fenêtre de 60 minutes" est presque toujours un artifice de rareté artificielle.
Les vrais airdrops demandent-ils parfois des frais de gas ?
Oui. Un petit gas fee en ETH ou BNB pour exécuter le claim est normal. Un "dépôt pour débloquer" ne l'est pas. Il n'existe aucun airdrop légitime basé sur un dépôt préalable.
Un hardware wallet peut-il me protéger d'une signature malveillante ?
En partie. L'appareil protège la clé, mais si tu approuves une fonction malveillante dessus, l'appareil signe quand même. L'écran de l'appareil est la dernière ligne de défense. Lis-le.
Les bots d'airdrop et les services de farming sont-ils sûrs ?
Le bot lui-même est rarement la menace. La page de claim aux allures de drainer vers laquelle il te redirige l'est souvent. Traite tout lien provenant d'un bot comme un lien reçu d'un inconnu dans un bar.
Que faire si j'ai raté un vrai airdrop ?
Tu l'as raté. Le marché existe toujours. Le prochain aussi. Spoiler : on le voyait venir.
Les drainers d'airdrop sont le vecteur de phishing le plus efficace dans la crypto aujourd'hui. Ils enveloppent une signature malveillante dans un workflow d'apparence légitime. Les avertissements des wallets s'améliorent, mais le coût de mise en place d'un drainer continue de baisser. L'écart entre "ça a l'air légitime" et "c'est légitime" se creuse.
Pour les builders dans l'écosystème memecoin, le niveau minimum est ce que tout projet honnête respecte : un contrat public, un domaine connu, un flow de claim sans approbations illimitées. L'équipe Dadacoin traite ces critères comme un plancher, pas un plafond. Pour les arnaques adjacentes, lisez comment repérer un rug pull et comment repérer un honeypot token sur BSC. Mêmes vérifications, même arithmétique, même panda qui observe depuis le fond.
Avertissement : Cet article n'est pas un conseil financier. Faites toujours vos propres recherches (DYOR) avant d'investir.
