Une opération de phishing soigneusement conçue balaie la communauté Pi Network, entraînant le vol de plus de 4 400 000 Pi. La fraude ne repose pas sur une faille technique, mais sur une utilisation malveillante de la fonction intégrée de “demande de paiement”, combinée à la transparence des données blockchain, pour mener des attaques d’ingénierie sociale ciblées.
Sous la pression de pertes croissantes dans la communauté, l’équipe principale de Pi a récemment suspendu en urgence la fonction “envoyer une demande de paiement”. Cet incident, d’une ampleur alarmante, révèle une problématique courante dans l’industrie : dans un contexte où le “code est la loi” sur la blockchain et où les transactions sont irréversibles, comment une fonction de protocole conçue pour fonctionner normalement peut-elle devenir un outil efficace pour les escrocs, et quels sont les risques réels pour les nouveaux utilisateurs entrant dans le monde de la chaîne ?
Un “pillage” “légal” : comment la fonction de demande de paiement est détournée en outil d’escroquerie
Pour les nombreux “pionniers” de Pi Network, la fin 2025 aurait dû être une étape clé pour constater les progrès du projet, mais une opération silencieuse de pillage d’actifs numériques a plongé la communauté dans la panique. Selon de nombreux signalements sur la plateforme X, une nouvelle forme d’arnaque vole en masse les Pi Coin dans les portefeuilles des utilisateurs. Ce qui est alarmant, c’est que cette fraude ne repose pas sur des techniques de hacking complexes, mais exploite habilement une fonction standard du portefeuille Pi Network — la demande de paiement.
La méthode est simple et efficace : les escrocs utilisent des outils publics comme le navigateur blockchain Pi pour scanner et sélectionner des adresses de portefeuilles détenant de gros soldes en Pi. Une fois la cible identifiée, ils envoient directement une demande de transfert via la fonction de demande de paiement du portefeuille. Le point crucial est que, lorsqu’un utilisateur sans méfiance voit cette demande dans l’interface du portefeuille, en cliquant sur “approuver”, le portefeuille signe automatiquement la transaction et la transfère, les actifs étant ainsi transférés instantanément et de façon irréversible à l’escroc.
Le leader communautaire “Pi OpenMainnet 2025” a précisé que ce n’est pas une faille du système. “Honnêtement, ce n’est pas une faille. La conception du portefeuille fonctionne ainsi. La seule façon de perdre des Pi, c’est si vous approuvez personnellement cette transaction.” Cette qualification déplace le problème du défaut technique vers la conscience de sécurité et l’ingénierie sociale. Les escrocs se font souvent passer pour des connaissances, des administrateurs communautaires ou même l’équipe officielle, rendant la demande de paiement crédible et incitant l’utilisateur à cliquer sans vérification. Cette méthode d’attaque, semblable à une lame forgée par les règles du protocole lui-même, cible précisément ceux qui sous-estiment les risques liés aux transactions sur la chaîne.
Une industrie massive derrière ces chiffres : plus de 80 000 Pi volés par mois, un modèle commercial
Si quelques cas isolés de fraude restent marginaux, les données révélées dans cette affaire exposent une chaîne criminelle organisée et continue à grande échelle. Selon des données partagées par des observateurs comme “Pi Network Update”, une adresse spécifique est devenue le centre de collecte des fonds de cette arnaque.
Cette adresse GCD3SZ3TFJAESWFZFROZZHNRM5KWFO25TVNR6EMLWNYL47V5A72HBWXP reçoit en continu de grosses sommes de Pi sur plusieurs mois. Les chiffres montrent une stabilité étonnante dans le flux mensuel : environ 877 900 Pi en juillet 2025, 743 000 en août, 757 000 en septembre, 563 000 en octobre, 622 700 en novembre. Plus inquiétant encore, durant la période où l’arnaque a été largement exposée en décembre, le flux vers cette adresse n’a pas diminué, mais a augmenté, atteignant plus de 838 000 Pi. Cela signifie qu’en seulement six mois, plus de 4 400 000 Pi ont été transférés vers cette seule adresse.
Ces données froides dressent un tableau clair : il ne s’agit pas d’un simple cas de fraude isolée, mais d’une opération criminelle organisée et efficace. Les escrocs ont mis en place un processus standardisé allant de la sélection des cibles, à l’envoi de demandes de phishing, jusqu’à la collecte des fonds. Le flux mensuel stable et massif indique que leur “activité” couvre une large base d’utilisateurs, toujours en train de tomber dans le piège. La hausse en décembre pourrait signaler une intensification de la stratégie ou une extension de leur champ d’action. Ce type de fraude industrialisée pose de graves défis de confiance et de sécurité dans un écosystème encore en développement, avec beaucoup de nouveaux arrivants dans la blockchain.
( Vue d’ensemble des données clés de la chaîne de fraude à grande échelle
Adresse principale impliquée :
GCD3SZ3TFJAESWFZFROZZHNRM5KWFO25TVNR6EMLWNYL47V5A72HBWXP
Données mensuelles de transfert de fonds illicites (2025) :
Juillet : environ 877 900 Pi
Août : environ 743 000 Pi
Septembre : environ 757 000 Pi
Octobre : environ 563 000 Pi
Novembre : environ 622 700 Pi
Décembre : environ 838 000 Pi (en augmentation continue)
Perte totale : plus de 4 400 000 Pi
Nature de la fraude : exploitation abusive des fonctionnalités légitimes via ingénierie sociale, caractérisée par une opération à l’échelle industrielle.
Freinage d’urgence et contradiction fondamentale : la réponse de l’équipe Pi et le défi éternel du Web3
Face à la panique croissante dans la communauté et aux pertes continues, l’équipe officielle de Pi a pris la mesure la plus directe mais aussi la plus impuissante — appuyer sur le bouton d’arrêt d’urgence. Selon des notifications de canaux communautaires comme “Pi Network Alerts”, l’équipe a temporairement désactivé la fonction “envoyer une demande de paiement” dans le portefeuille. Cette décision est une intervention “chirurgicale” visant à couper la source d’attaque des escrocs, en attendant de déployer des mesures de sécurité plus avancées.
Cependant, cette solution provisoire met en lumière une contradiction fondamentale dans l’écosystème décentralisé : comment assurer la transparence, l’absence de permission et la souveraineté de l’utilisateur (les principes fondamentaux du Web3), tout en protégeant efficacement les utilisateurs peu expérimentés ? La fonction de demande de paiement de Pi est neutre en soi, elle simplifie la création de transactions entre utilisateurs et fait partie d’une bonne expérience utilisateur. Mais la transparence totale de la blockchain (tout le monde peut voir le solde d’une adresse) combinée à la facilité d’utilisation peut, en cas d’abus, avoir des conséquences désastreuses.
L’équipe Pi décrit cette suspension comme une mesure temporaire de limitation des pertes, et non une solution définitive. On peut prévoir que les futures solutions incluront : l’introduction d’un système de liste blanche pour les demandes, l’ajout d’une confirmation secondaire obligatoire ou de balises d’avertissement, ou encore l’intégration d’un système de réputation pour filtrer les demandes. Mais chaque option risque de sacrifier une partie de la commodité ou d’introduire une centralisation dans la vérification, nécessitant un équilibre difficile entre sécurité et expérience, décentralisation et protection. La communauté insiste actuellement : avant la réactivation, aucune demande de paiement ne doit être approuvée, qu’elle provienne d’un ami, d’un membre de la famille ou d’un compte officiel.
La leçon de l’incident Pi pour l’industrie : l’ingénierie sociale, le talon d’Achille de la sécurité Web3
La crise que traverse Pi Network n’est pas un cas isolé. Elle met en lumière, de manière extrême, la vulnérabilité la plus critique de l’industrie blockchain : peu importe la solidité du protocole, l’utilisateur final reste souvent le maillon faible de la chaîne de sécurité. Depuis les premières escroqueries avec de “faux support client” sur les plateformes d’échange, jusqu’aux “faux airdrops” et “phishing d’autorisation” d’aujourd’hui, les pertes d’actifs les plus importantes ne proviennent pas toujours de failles dans les smart contracts, mais d’attaques d’ingénierie sociale ciblant la psychologie humaine.
Cet incident doit alerter tous les projets blockchain, en particulier ceux avec une grande base d’utilisateurs et un taux élevé de débutants. Il soulève plusieurs questions essentielles :
- Où se situe la limite de l’éducation des utilisateurs ? Les projets se contentent-ils de leur dire “ne partagez pas votre clé privée”, ou doivent-ils faire de “l’identification et la réponse aux attaques d’ingénierie sociale” une matière obligatoire ?
- La conception des produits peut-elle être plus “antifraude” ? Peut-on, pour les opérations critiques (approbation de transactions, autorisation d’actifs), renforcer la sécurité par des alertes plus visibles, des délais ou une complexité accrue (même si cela impacte l’expérience) ?
- La gouvernance communautaire peut-elle jouer un rôle ? Peut-on créer un réseau décentralisé de “marquage d’adresses à risque” ou “alerte fraude” où la communauté participe à la sécurité ?
Après la révélation de l’incident, le prix du Pi n’a pas connu de chute brutale, et a même augmenté légèrement en fin d’année, flirtant avec 0,20381 dollar. Cela indique peut-être que le marché considère cet incident comme un problème opérationnel local, sans remettre en cause la valeur fondamentale du projet. Mais pour des millions d’utilisateurs de Pi, cet événement constitue une leçon de sécurité coûteuse et profonde. Il rappelle brutalement à chaque participant : dans un monde où “Not your keys, not your crypto” (pas vos clés, pas votre crypto), le vrai contrôle implique aussi une responsabilité totale. La dernière ligne de défense pour la sécurité des actifs, c’est votre jugement prudent. Et pour des projets comme Pi Network, qui cherchent à déployer mainnet et à réaliser de grandes ambitions, construire un système capable de résister aux attaques externes tout en guidant en toute sécurité des millions de nouveaux arrivants sera un défi plus difficile que le développement technique.
