L'écosystème crypto est en constante évolution, mais les menaces qui pèsent sur les investisseurs le sont tout autant. Récemment, une campagne de phishing particulièrement bien rodée a ciblé la communauté de MRHB.Network, le projet derrière le célèbre Sahal Wallet. Des membres du Crypto P2P Club ont été directement visés par cette attaque, qui utilise des techniques avancées pour contourner les systèmes de sécurité. Décryptage d'une arnaque qui rappelle l'importance vitale de l'auto-garde (self-custody) et de la vigilance.
Anatomie d'une attaque ciblée
Tout commence par un email en apparence légitime. Plusieurs membres de notre communauté ont signalé avoir reçu des messages provenant d'adresses telles que mrhb-rewards@pionerboat.se ou mrhb-rewards@matvarden.se. L'objet de l'email est conçu pour déclencher le FOMO (Fear Of Missing Out) : "Your halal earnings: $2,748.06 = 1.238 ETH..." ou encore "1.238 ETH just sitting there — claim your $2...".
Le corps du message usurpe l'identité visuelle de MRHB Network et invite l'utilisateur à cliquer sur un bouton "Claim Your Reward Now". Pour ajouter un sentiment d'urgence, le texte précise : "Your reward link is personal and expires soon. Do not share it."
Cependant, plusieurs drapeaux rouges (red flags) sont immédiatement visibles pour un œil averti :
- Les domaines d'expédition : les emails proviennent de domaines suédois (
.se) qui n'ont absolument aucun lien avec MRHB.Network, dont le siège est à Singapour et en Australie. - Le montant fixe : tous les emails reçus par différents utilisateurs affichent exactement le même montant de récompense (1.238 ETH), prouvant qu'il s'agit d'un template automatisé.
- L'utilisation du terme "halal" : les escrocs utilisent spécifiquement ce vocabulaire pour cibler la communauté musulmane et baisser sa garde.
Naquib Mohammed, co-fondateur de MRHB.Network, a rapidement confirmé la nature frauduleuse de ces messages sur les canaux officiels : "This is a phishing email. Please ignore and delete immediately." [1]
XantibotIP : l'arme secrète des escrocs
Ce qui rend cette campagne particulièrement pernicieuse, c'est l'utilisation de services "anti-bot" vendus sur le dark web. Lorsqu'un utilisateur clique sur le lien frauduleux, il est redirigé vers une page hébergée derrière un service appelé XantibotIP.
Comme l'explique une analyse de Varonis sur les campagnes de phishing modernes, ces services anti-bot (tels que Otus Anti-Bot ou Limitless Anti-Bot) sont conçus pour bloquer les robots des entreprises de cybersécurité (comme Google Safe Browsing) tout en laissant passer les véritables victimes [2]. Ils utilisent des techniques de détection d'IP, de cloaking et de géolocalisation pour s'assurer que la page de phishing reste en ligne le plus longtemps possible sans être signalée comme dangereuse.
Dans le cas de l'attaque ciblant MRHB, certains utilisateurs ont vu s'afficher un écran bleu avec le message "Bloack AS by XantibotIP [Hosting]". Cela signifie que le service anti-bot a détecté une anomalie (peut-être l'IP de l'utilisateur ou son navigateur) et a bloqué l'accès à la page de phishing finale, protégeant ainsi involontairement la victime.
Le phishing : menace numéro 1 en 2026
Cette attaque n'est pas un cas isolé. Selon le rapport 2026 de Chainalysis sur la criminalité crypto, le phishing reste la méthode d'attaque la plus courante et la plus lucrative [3]. En janvier 2026 seulement, l'industrie a perdu près de 400 millions de dollars, dont 71% provenaient d'une seule attaque de phishing [4].
Les escrocs utilisent désormais l'intelligence artificielle pour générer des emails sans fautes d'orthographe, cloner des voix (deepfakes audio) et automatiser leurs campagnes à grande échelle. Face à cette industrialisation de la fraude, la technologie seule ne suffit plus.
Comment se protéger ? La règle d'or de l'auto-garde
Comme le rappelle la FAQ officielle de MRHB Network : "No wallet can stop every attack. Use only official links and never share your recovery phrase." [5]
La protection de vos actifs (Hifz al-Mal) repose sur quelques principes fondamentaux :
- Ne cliquez jamais sur des liens d'emails non sollicités. Si vous pensez avoir droit à une récompense, allez directement sur le site officiel ou l'application.
- Vérifiez toujours l'adresse de l'expéditeur. Un email officiel de MRHB proviendra de
@mrhb.network, pas d'un domaine obscur en.se. - Pratiquez l'isolation de vos portefeuilles. Utilisez un "hot wallet" (comme Sahal Wallet) pour vos transactions quotidiennes avec de petits montants, et un "cold wallet" (portefeuille matériel) pour stocker la majorité de vos fonds hors ligne.
- Ne partagez jamais votre phrase de récupération (seed phrase). Aucun support technique légitime ne vous la demandera.
L'éducation est votre meilleur bouclier. En comprenant les mécanismes de ces attaques, vous transformez votre portefeuille en une forteresse imprenable.
Avertissement : cet article est fourni à des fins éducatives uniquement et ne constitue en aucun cas un conseil financier ou d'investissement. Faites toujours vos propres recherches avant d'interagir avec des protocoles ou des applications.
Références : [1] Communications officielles de l'équipe MRHB Network via les canaux communautaires.
[2] Varonis. "How Dark Web Anti-Bot Services Aid Phishing Campaigns". https://www.varonis.com/blog/anti-bot-phishing
[3] Chainalysis. "The 2026 Crypto Crime Report". https://www.chainalysis.com/reports/crypto-crime-2026/
[4] Yahoo Finance. "Crypto Theft Hit Nearly $400 Million in January 2026". https://finance.yahoo.com/news/crypto-theft-hit-nearly-400-180626234.html
[5] MRHB Network. "FAQs - Security". https://mrhb.network/