La liste blanche de retrait Binance est une fonction de sécurité de compte optionnelle. Lorsqu'elle est activée, le compte ne peut effectuer des retraits que vers des adresses ajoutées au préalable et ayant passé la période de réflexion. Toute adresse inconnue sera directement interceptée par le système avant de devenir effective. Les nouveaux utilisateurs peuvent accéder à la page de configuration via le centre de sécurité du site officiel de Binance. Sur mobile, l'opération se fait via « Portefeuille - Retrait - Gestion des adresses » en bas de l'application officielle de Binance. Pour une première activation sur un appareil iOS, veuillez vous référer au tutoriel d'installation iOS pour configurer l'environnement. La valeur principale de la liste blanche est de « verrouiller à l'avance la sortie des fonds » : même si un compte est totalement compromis, l'attaquant ne pourra pas ajouter de nouvelle adresse de retrait pour vider immédiatement les actifs, offrant ainsi à l'utilisateur une fenêtre de réponse de 48 heures.
I. Intention de conception et processus de fonctionnement de la liste blanche
Étape 1 : Comprendre l'objectif de conception
Le système de sécurité traditionnel repose principalement sur les mots de passe et la 2FA (authentification à deux facteurs). Cependant, si un attaquant parvient à franchir ces deux barrières, les fonds risquent d'être perdus instantanément. L'idée centrale du mécanisme de liste blanche est de restreindre les sorties à l'avance, de sorte que même si l'entrée est forcée, les fonds ne peuvent pas être massivement transférés vers l'extérieur. Cette logique est identique au « principe du moindre privilège » des pare-feu d'entreprise.
Étape 2 : Comprendre la période de réflexion
Une fois la liste blanche activée sur Binance, les nouvelles adresses ajoutées ne deviennent pas effectives immédiatement. Elles nécessitent une période de réflexion, généralement de 24 à 48 heures. Pendant ce temps, l'adresse ne peut pas être utilisée pour un retrait. Si l'utilisateur remarque une anomalie, il peut annuler l'ajout à temps. Cette conception coupe court au processus standard d'un attaquant : « connexion → ajout immédiat d'adresse → retrait immédiat ».
Étape 3 : Complémentarité avec la 2FA
La liste blanche ne remplace pas la 2FA, elle fonctionne en parallèle. La 2FA se concentre sur la « vérification de la connexion », tandis que la liste blanche se concentre sur la « restriction de sortie ». En combinant les deux, le compte doit passer à la fois l'étape d'identité et l'étape d'adresse, ce qui augmente considérablement le coût d'une attaque.
II. Étapes spécifiques d'activation et ajout d'adresse
Après vous être connecté à votre compte Binance, allez dans le menu « Portefeuille », choisissez « Portefeuille Spot », puis la page « Retrait ». Il y a un bouton « Gestion de la liste blanche d'adresses » en haut de la zone de gestion des adresses. Une fois à l'intérieur, procédez comme suit :
- Activez l'interrupteur « Autoriser uniquement les retraits vers les adresses de la liste blanche ». Une boîte de vérification 2FA apparaîtra ; saisissez votre code dynamique à 6 chiffres.
- Cliquez sur « Ajouter une nouvelle adresse », choisissez la cryptomonnaie et le réseau (par exemple, BTC Mainnet, ERC20, TRC20, etc.).
- Saisissez l'adresse du portefeuille de destination et un nom de étiquette (par exemple, « Mon Ledger »).
- Cocher « Exempter de la vérification SMS secondaire » est réservé aux utilisateurs expérimentés effectuant des retraits fréquents ; pour les débutants, il est recommandé de garder le paramètre par défaut.
- Après soumission, le système enverra une confirmation par e-mail et une double confirmation 2FA.
- L'adresse passe en état « en attente », avec un compte à rebours de 48 heures avant de pouvoir être utilisée.
Il est important de noter que chaque ajout d'adresse doit être effectué séparément par cryptomonnaie et par réseau. Par exemple, la même adresse USDT sur ERC20 et TRC20 correspond à deux enregistrements différents ; ne les confondez pas. La limite de la liste d'adresses est généralement de 100, ce qui est largement suffisant pour la plupart des utilisateurs individuels.
III. Types d'adresses courants et stratégies de gestion recommandées
La taille du capital et la fréquence d'utilisation varient selon les utilisateurs ; la gestion de la liste blanche doit donc être adaptée. Le tableau suivant présente les configurations recommandées pour les scénarios courants :
| Scénario d'utilisation | Nombre d'adresses recommandé | Période de réflexion | Synchronisation 2FA | Remarque |
|---|---|---|---|---|
| Accumulation long terme (froid) | 1 - 2 | 48 heures | Obligatoire | Généré par un portefeuille matériel |
| Arbitrage inter-plateformes (chaud) | 3 - 5 | 24 heures | Obligatoire | Vérifier une fois par mois |
| Règlement marchand OTC | 5 - 10 | 48 heures | Obligatoire | Vérification SMS pour chaque transaction |
| Petits transferts quotidiens | 1 - 2 | 24 heures | Optionnel | Limite de montant 1000 USDT |
| Répartition compte entreprise | 10 - 20 | 48 heures | Obligatoire | Aide par multi-signature |
| Adresses d'interaction DeFi | 2 - 3 | 48 heures | Obligatoire | Utiliser une nouvelle adresse dédiée |
Comme le montre le tableau, la période de réflexion pour les portefeuilles froids doit être maintenue à 48 heures, car c'est le meilleur équilibre entre sécurité et commodité. Tout utilisateur souhaitant réduire cette période devrait se demander : « Les 24 heures économisées sont-elles vraiment plus importantes que la sécurité de mes actifs ? »
IV. Scénarios typiques et exercices de risque
Le premier scénario est le piratage de compte : l'attaquant se connecte et découvre que la liste blanche est activée. Il tente d'ajouter une adresse mais doit attendre 48 heures. Pendant ce temps, l'utilisateur reçoit un e-mail et un SMS indiquant l'ajout d'une « nouvelle adresse en liste blanche ». Il se connecte immédiatement pour annuler l'adresse et réinitialiser son mot de passe, préservant ainsi ses fonds. C'est le scénario de défense le plus crucial de la liste blanche.
Le deuxième scénario est le transfert urgent en déplacement : l'utilisateur en voyage doit envoyer des fonds à un partenaire, mais l'adresse n'est pas dans la liste blanche. Dans ce cas, l'utilisateur doit planifier à l'avance en ajoutant la nouvelle adresse la veille du départ. En cas de besoin imprévu, il vaut mieux faire un détour plutôt que de désactiver la liste blanche pour plus de commodité.
Le troisième scénario est la séparation chaud/froid : il est conseillé de transférer les avoirs à long terme vers une adresse de portefeuille matériel que vous contrôlez et de verrouiller cette adresse dans la liste blanche. Gardez une réserve pour le trading à court terme sur le portefeuille chaud de la plateforme d'échange. Cela permet de trader à tout moment tout en garantissant que la majorité des fonds reste hors ligne.
Le quatrième risque est le remplacement par phishing (hameçonnage) : si un attaquant modifie votre presse-papiers via un cheval de Troie, il pourrait remplacer l'adresse par la sienne lors d'un copier-coller. La période de réflexion de 48 heures de la liste blanche donne précisément à l'utilisateur le temps de vérifier l'adresse sur trois canaux (e-mail, SMS, application Binance). De plus, il est fortement recommandé d'utiliser des étiquettes descriptives lors de l'enregistrement des adresses, par exemple « 2026-Ledger-BTC-Froid », et de les vérifier avant chaque utilisation.
V. FAQ - Questions fréquemment posées
Q : Puis-je effectuer un retrait temporaire vers une adresse inconnue une fois la liste blanche activée ? R : Non. Le principe de la liste blanche est de bloquer les adresses inconnues. En cas de besoin temporaire, vous devez d'abord désactiver la liste blanche ou ajouter une nouvelle adresse et attendre qu'elle devienne effective, ce qui entraînera dans les deux cas une période de réflexion.
Q : La période de réflexion peut-elle être réduite à 0 ? R : Non. 48 heures est la valeur par défaut officielle. Cette durée couvre le temps de réponse typique entre le moment où l'utilisateur découvre un e-mail suspect et celui où il contacte le support client. Si elle était réduite à 0, la liste blanche perdrait tout son sens.
Q : Faut-il une nouvelle période de réflexion après avoir supprimé puis rajouté une adresse ? R : Oui. Le système ne fait pas de distinction entre un « premier » et un « deuxième » ajout. Tous les nouveaux ajouts suivent la même règle des 48 heures afin d'empêcher un attaquant de contourner le mécanisme par suppression puis ré-ajout.
Q : La liste blanche peut-elle définir une limite de montant ? R : La liste blanche elle-même n'inclut pas de contrôle de montant. La limite de montant est déterminée par le niveau de KYC du compte. Si des restrictions plus strictes par transaction sont nécessaires, elles peuvent être combinées avec les permissions « trade only » d'une clé API et des scripts de contrôle de risque externes.
Q : La liste blanche affecte-t-elle les transferts internes ? R : Les transferts internes au compte, comme de Spot vers Contrats ou de Contrats vers Compte de Financement, ne sont pas restreints par la liste blanche. La liste blanche ne concerne que les retraits vers des adresses sur la blockchain et n'affecte pas les flux de fonds internes.