system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/fixedfloat-securite-2026-analyse-risques-monero$ cat post.md

FixedFloat est-il sûr en 2026 ? Analyse honnête

// by ~anon · 2026-05-30 · mock,auto-generated,fr

FixedFloat est-il sûr en 2026 ? Analyse honnête des risques

Le 16 février 2024, FixedFloat a perdu environ 26 millions de dollars en BTC et ETH après que des attaquants ont vidé ses portefeuilles chauds dans une intrusion coordonnée. Deux ans plus tard, la question que les utilisateurs crypto continuent de taper dans les moteurs de recherche n'a pas changé : la plateforme qui se présente comme un service d'échange instantané « rapide, anonyme, sans compte » est-elle vraiment redevenue digne de confiance ? Avec l'essor du trading cross-chain de memecoins et la maturation de l'écosystème Monero après FCMP++, les swappers instantanés comme FixedFloat se retrouvent au cœur d'un débat brûlant sur la garde des fonds, la dérive KYC et la sécurité opérationnelle. Cette analyse examine ce qui s'est passé, ce que FixedFloat a changé, et comment le service se compare à des alternatives telles que MoneroSwapper pour les utilisateurs qui se soucient autant de leur vie privée que de la sécurité de leurs fonds.

L'objectif ici n'est ni de descendre le service en flammes ni de lui faire de la promotion. Il s'agit de vous dire quelles menaces sont réelles, lesquelles sont exagérées, et ce qu'un utilisateur prudent devrait concrètement faire en 2026 lorsqu'il choisit où échanger son Monero, son Bitcoin ou tout autre actif liquide.

Ce que FixedFloat est — et ce qu'il n'est pas

FixedFloat est un service d'échange instantané de cryptomonnaies qui permet d'échanger des dizaines d'actifs — XMR, BTC, ETH, LTC, SOL et plusieurs stablecoins — sans créer de compte. L'interface est volontairement minimaliste : choisissez une paire, saisissez un montant, collez une adresse de réception, puis envoyez. La plateforme agrège la liquidité en coulisses et renvoie l'actif de destination à votre adresse.

Le service appartient à une catégorie parfois appelée swaps à allure non-custodiale. La nuance compte. FixedFloat est bien custodial pendant les quelques secondes à quelques minutes qui séparent la confirmation de votre dépôt et l'arrivée du paiement on-chain. Pendant cette fenêtre, le portefeuille chaud de la plateforme détient vos fonds. C'est exactement la même réalité architecturale qui s'applique à SimpleSwap, StealthEx, ChangeNOW, Trocador et à pratiquement tous les swaps « sans compte » du marché. La formule marketing varie ; la mécanique sous-jacente, non.

  • Aucun compte par défaut : vous ne vous inscrivez pas, vous ne passez pas le KYC à l'entrée, et vous ne recevez pas d'identifiants.
  • Deux modes de taux : un taux « Fixed » (verrouillé au moment du devis, légèrement moins avantageux mais prévisible) et un taux « Float » (au prix du marché à l'exécution, parfois meilleur, parfois pire).
  • Adresse de remboursement requise : pour les swaps non négligeables, la plateforme demande une adresse de remboursement afin de vous restituer vos fonds si une transaction est signalée, gelée ou échoue lors du contrôle de conformité.
  • Filtrage d'adresses : comme tout service para-réglementé en 2026, les dépôts et les adresses de destination sont contrôlés contre les listes de sanctions et les prestataires de scoring AML ; un dépôt « propre » peut tout de même être signalé sur la base d'un score de risque heuristique.

C'est ce dernier point que les utilisateurs ont en tête lorsqu'ils râlent contre le risque AML sur les exchanges instantanés. Ce n'est pas propre à FixedFloat — mais c'est la cause la plus fréquente de swaps gelés ou retardés observée sur le terrain.

Le piratage de février 2024 : ce qui s'est vraiment passé

Deux ans plus tard, le hack de FixedFloat est bien documenté. Environ 1 728 BTC (soit ~21 M$ à l'époque) et ~409 ETH (~5 M$) ont disparu des portefeuilles chauds de la plateforme en plusieurs transactions. FixedFloat a d'abord invoqué des « problèmes techniques » avant de reconnaître publiquement l'intrusion 48 heures plus tard. Les fonds ont été rapidement blanchis via Tornado Cash (un mélangeur alors sous sanctions américaines) puis dispersés à travers plusieurs blockchains via des protocoles de bridge.

Le post-mortem publié par l'équipe a pointé un compromis de l'infrastructure interne — pas un exploit de smart contract, le service n'ayant aucune logique on-chain propre. Le vecteur le plus probable, selon les analyses indépendantes ultérieures de cabinets de forensique blockchain, fut une combinaison d'identifiants opérateur compromis et d'une architecture de signature insuffisamment segmentée qui a permis à l'attaquant de déplacer des fonds sans validation multi-partie.

La leçon de FixedFloat 2024 n'est pas « les swaps instantanés sont dangereux ». C'est que tout service détenant de la liquidité en hot wallet est une cible, et que l'exposition de l'utilisateur correspond exactement au temps écoulé entre la confirmation du dépôt et le paiement — généralement moins de quinze minutes pour XMR.

Point crucial : aucun fonds utilisateur déjà payé n'a été perdu. Le dommage a frappé la trésorerie de FixedFloat, pas les échanges client en cours. La plateforme a couvert les pertes, a marqué une pause d'environ trois semaines, puis a repris son activité avec une nouvelle architecture de portefeuille (non divulguée publiquement). À ce jour, aucun utilisateur n'a publiquement signalé avoir perdu un swap en cours à cause de cet incident.

Ce qui a changé entre 2024 et 2026

Deux ans, c'est long en matière de sécurité opérationnelle crypto. FixedFloat a apporté plusieurs changements visibles — et le contexte réglementaire a évolué autour du service.

Durcissement post-incident

La plateforme déclare désormais publiquement utiliser une ségrégation du stockage froid, des hot wallets multi-signatures et des plafonds de vélocité par transaction. Rien de tout cela n'est audité de manière indépendante ; nous avons la parole de l'équipe et l'absence d'un nouvel incident. Pour un service sans aucun smart contract on-chain à auditer, l'hypothèse de confiance est structurelle — il n'y a pas de contrat à lire.

MiCA et l'étau réglementaire européen

Le règlement européen MiCA (Markets in Crypto-Assets) est entré pleinement en vigueur pour les prestataires de services sur crypto-actifs fin 2024, avec un durcissement de la Travel Rule tout au long de 2025. En France, l'AMF a renforcé son contrôle des PSAN et la DGFiP poursuit son croisement de données avec les plateformes pour traquer les plus-values non déclarées (formulaire 2086, case 3AN de la 2042-C). FixedFloat, comme la plupart des swappers instantanés, a restreint l'accès depuis les IP européennes sans vérification pour les paliers supérieurs. Un parcours « Verified » réduit existe désormais pour les utilisateurs souhaitant des limites de swap plus élevées ; le flux sans compte fonctionne toujours pour les petites transactions, mais avec des seuils de risk-screening plus serrés.

Les retraits de Monero ailleurs — et ce que cela signifie pour les swaps instantanés

Les grandes plateformes centralisées, dont Binance, Kraken (dans certaines juridictions) et OKX, ont retiré le trading spot de Monero entre 2024 et 2025. Conséquence : les swappers instantanés comme FixedFloat, SimpleSwap, StealthEx et MoneroSwapper sont devenus plus structurellement importants pour la liquidité de XMR, pas moins. FixedFloat continue de prendre en charge les dépôts et retraits XMR en 2026 — un signal qui compte, vu le nombre de concurrents qui ont discrètement délisté l'actif sous pression réglementaire.

La mise à jour FCMP++ et le filtrage d'adresses

La mise à jour Full-Chain Membership Proofs (FCMP++) de Monero, attendue sur le mainnet en 2026, remplace les signatures en anneau par des preuves cryptographiques couvrant l'intégralité du registre. Cela n'aide ni ne nuit à la posture de sécurité d'un exchange, mais cela signifie que les retraits Monero depuis FixedFloat préservent encore mieux la vie privée qu'à l'époque des anneaux à 16 sorties. Combiné aux adresses furtives et à Bulletproofs+, un paiement XMR est fonctionnellement intraçable côté réception.

FixedFloat face aux alternatives : comparatif 2026

Aucun swapper instantané n'est « le meilleur » pour tous les cas. Voici comment FixedFloat se compare aux noms que vous croiserez réellement en cherchant des alternatives.

Service Points forts Points faibles Prise en charge XMR
FixedFloat Large couverture de paires, interface rapide, affichage transparent des frais, retour à la normale après l'incident Hack passé du hot wallet, sécurité interne opaque, blocages AML occasionnels Oui (dans les deux sens)
MoneroSwapper Conception XMR-first, sans compte, surface d'attaque réduite, pas de widgets JavaScript lourds Liste de paires plus étroite (volontairement), liquidité inférieure aux méga-agrégateurs Oui — cas d'usage principal
SimpleSwap Très grande liste de paires, longue historique d'uptime, application mobile Filtrage AML agressif, plaintes fréquentes de signalement d'adresses Oui
StealthEx UI épurée, taux corrects, a survécu à la vague de délistage 2024-2025 Fenêtre custodiale, CGU interdisant les dépôts « à risque » sans préavis Oui
Trocador Agrège d'autres fournisseurs, vous laisse choisir le niveau de risque KYC par route La logique de routage ajoute une couche ; remboursements via le prestataire amont Oui

Le bon choix dépend de votre priorité. Si la confidentialité de la sortie compte le plus — par exemple, convertir de l'Ethereum signalé en Monero propre — privilégiez un swapper qui s'engage publiquement à ne pas conserver de logs et qui fonctionne bien avec Tor. Si la taille du swap et la liquidité sont prioritaires — pour de plus gros volumes BTC, par exemple — les agrégateurs plus larges l'emportent. FixedFloat se situe au milieu, et c'est une position raisonnable pour bon nombre d'utilisateurs malgré l'incident de 2024.

Comment swapper en sécurité sur n'importe quel exchange instantané (pas seulement FixedFloat)

Vérité fondamentale : le swap le plus sûr est le plus petit swap qui fait le travail. Voici la procédure qu'un utilisateur soucieux de sécurité devrait suivre sur n'importe quel exchange instantané en 2026.

  1. Vérifiez l'URL. Les clones de phishing de FixedFloat, SimpleSwap et StealthEx sont courants. Mettez le vrai domaine en favori — ne cherchez pas sur Google pour cliquer sur le premier résultat. Confirmez les détails du certificat TLS au moindre doute.
  2. Testez avec un petit swap d'abord. Un swap de 20 à 50 € en test vous coûte quelques euros de frais et confirme que le service est opérationnel, que le taux est honnête et que votre adresse de réception est correcte.
  3. Utilisez Tor ou un VPN respectueux de la vie privée. En particulier pour les swaps Monero. La plateforme journalise votre IP sauf si vous prenez des mesures ; ce côté de la fuite, c'est vous qui le contrôlez.
  4. Utilisez le taux Fixed pour une exécution prévisible. Le Float peut donner des chiffres légèrement meilleurs mais vous expose au slippage pendant la fenêtre de confirmation du dépôt. Pour Monero (environ 20 minutes de confirmations), la fenêtre Float est suffisamment longue pour que vous deviez généralement choisir Fixed.
  5. Fournissez une vraie adresse de remboursement. Si le swap échoue — blocage AML, réorganisation du réseau, timeout de dépôt — vous voulez pouvoir récupérer vos fonds. Sauter le champ remboursement est la principale cause de perte de fonds sur les swaps instantanés, et cela n'a rien à voir avec une malveillance de l'exchange.
  6. Retirez vers votre propre wallet, pas vers un autre exchange. Les enchaînements CEX-vers-CEX sont précisément ce qui déclenche les agrégations de signaux de conformité.
  7. Sauvegardez l'ID de swap et les hash de transaction. Si le swap se bloque, le support client ne peut rien faire sans ces informations. Faites des captures d'écran.
  8. Pour Monero, vérifiez le format de la sous-adresse de paiement. Une faute de frappe sur une adresse Monero base58 est plus rattrapable que sur Bitcoin (le format est mieux validé), mais la récupération dépend toujours de la politique de l'exchange. Double-vérifiez.

Suivre cette routine élimine la plupart des récits « j'ai perdu de l'argent sur un swap instantané » — qui, quand on les remonte, ne sont presque jamais des vols par l'exchange et presque toujours des erreurs utilisateur ou du phishing.

Exemple concret : un workflow prudent en 2026

Prenons un exemple détaillé. Vous avez 0,5 BTC qui viennent d'un retrait depuis une plateforme centralisée, et vous voulez les convertir en XMR pour les détenir à long terme dans votre propre wallet Monero. Vous êtes préoccupé par le fait que l'historique on-chain du BTC est lié à votre identité KYC chez l'exchange source, et vous êtes préoccupé par le passif de FixedFloat. Voici une approche raisonnable.

D'abord, envoyez le BTC vers un wallet auto-hébergé que vous contrôlez. Attendez une confirmation. Cela rompt le lien direct « adresse exchange vers adresse de swap » sur la blockchain. Ensuite, ouvrez Tor Browser et naviguez vers le service de swap que vous avez mis en favori. Lancez un petit test — disons 0,005 BTC vers XMR — pour confirmer le taux, l'adresse de destination et le timing de bout en bout. Trois à quinze minutes plus tard, vous devriez voir le XMR arriver dans votre wallet Monero.

Lancez maintenant le swap principal. Utilisez le taux Fixed. Fournissez une adresse de remboursement sur un wallet BTC auto-hébergé différent de votre wallet source, pour qu'un remboursement éventuel ne fusionne pas des UTXO d'une manière qui ruinerait l'objectif de l'opération. Envoyez le BTC. Patientez. Le XMR arrive dans votre wallet Monero, où les adresses furtives, les transactions confidentielles en anneau (RingCT) et Bulletproofs+ garantissent que les fonds ne sont plus traçables depuis leur origine BTC. Des outils comme MoneroSwapper sont conçus spécifiquement pour ce workflow Monero-final, et un test parallèle là-bas vous donne un taux de comparaison qui confirme que FixedFloat ne vous propose pas un spread défavorable.

Ce n'est pas un comportement paranoïaque en 2026. C'est l'hygiène standard pour quiconque traite Monero comme sa réserve de valeur privée à long terme.

Cadre fiscal français : ce que la DGFiP attend en 2026

Un point souvent négligé par les utilisateurs francophones : passer par FixedFloat ne vous exonère pas de vos obligations déclaratives. La DGFiP considère un échange crypto-vers-crypto (BTC → XMR, par exemple) comme un fait générateur d'imposition uniquement lors de la cession contre monnaie ayant cours légal (euros, dollars), conformément à l'article 150 VH bis du CGI. En revanche, chaque cession imposable doit être déclarée via le formulaire 2086, et le montant total des plus-values reporté case 3AN de la déclaration 2042-C.

Le PFU de 30 % s'applique par défaut aux particuliers occasionnels (article 200 C du CGI), avec option pour le barème progressif si cela vous est plus favorable. Pour les comptes d'actifs numériques détenus à l'étranger — ce qui inclut techniquement votre solde temporaire chez FixedFloat le temps du swap — le formulaire 3916-bis reste théoriquement applicable, bien que sa portée pour les services instantanés non-comptes soit grise. En cas de doute, conservez le swap ID, les hash de dépôt et de paiement, et l'horodatage : c'est la preuve dont vous aurez besoin si la DGFiP croise des données reçues via DAC8 à partir de 2027.

FAQ

Quelqu'un a-t-il perdu un swap personnel dans le hack FixedFloat 2024 ?

Publiquement, non. L'intrusion a vidé la trésorerie hot wallet de FixedFloat — des fonds que la plateforme utilise pour payer les swaps. Les utilisateurs ayant des échanges en cours pendant la fenêtre d'interruption ont été soit payés après la reprise du service, soit remboursés à leur adresse de remboursement. Le préjudice financier a été absorbé par l'entreprise. Cela dit, « aucune perte utilisateur signalée » n'est pas la même chose que « aucune perte individuelle », et l'absence d'audit indépendant signifie que nous croyons l'opérateur sur parole.

FixedFloat est-il sans KYC en 2026 ?

Pour les swaps de petite à moyenne taille, le flux par défaut reste sans compte. Les swaps plus importants et certains corridors classés à risque déclenchent une étape de vérification d'identité ou un remboursement à l'expéditeur. La plateforme opère dans un environnement réglementaire UE et britannique qui se resserre, ce qui rend les promesses universelles « sans KYC » de plus en plus difficiles à tenir pour tout opérateur ayant une juridiction fixe.

Comment FixedFloat se compare-t-il à MoneroSwapper pour les swaps XMR ?

FixedFloat propose une liste de paires plus large — y compris de nombreuses paires non-XMR — et une liquidité légèrement plus profonde sur les corridors non-Monero. MoneroSwapper se concentre spécifiquement sur les flux Monero-entrant ou Monero-sortant, avec une surface d'attaque délibérément réduite, une UI plus simple et un workflow qui s'accorde bien avec Tor. Pour les utilisateurs dont la destination finale est XMR — la population que nous servons — MoneroSwapper est l'outil le plus ciblé. Pour des rééquilibrages multi-actifs sur des paires non-Monero, FixedFloat offre le menu le plus fourni.

Que se passe-t-il si mon dépôt est signalé pour AML ?

Tout swapper instantané réputé filtre les dépôts contre des listes de sanctions et des heuristiques de scoring. Si votre dépôt est signalé, on vous demandera généralement de fournir des justificatifs d'origine des fonds. Si vous refusez ou ne pouvez pas satisfaire la requête, les fonds sont renvoyés à l'adresse de remboursement que vous avez fournie au moment du devis. C'est précisément pourquoi omettre cette adresse est dangereux — sans elle, les fonds signalés restent en suspens. Cela s'applique à FixedFloat, SimpleSwap, StealthEx, ChangeNOW et à tout service comparable en 2026.

Puis-je utiliser FixedFloat via Tor ?

Oui. Le site est accessible via Tor sans enfer de CAPTCHA sur la plupart des circuits début 2026. Les performances varient. Pour une confidentialité maximale, combinez Tor pour l'initiation du swap, un hot wallet distinct pour le dépôt, et une sous-adresse Monero fraîche pour le paiement. Cette combinaison minimise la surface de corrélation entre votre identité et l'événement de swap.

Quel est le pire scénario réaliste si j'utilise FixedFloat aujourd'hui ?

Deux scénarios. Premier : une répétition du hack hot wallet de 2024 pendant votre fenêtre de swap, qui (sur la base du précédent) serait absorbée par l'opérateur mais pourrait retarder votre paiement de plusieurs heures ou jours. Deuxième : un blocage AML sur votre dépôt, remboursé à terme à l'adresse de remboursement fournie. Le pire scénario réaliste pour un swap effectué selon la procédure de sécurité ci-dessus est un retard, pas une perte. Le pire scénario imaginable — un opérateur disparaissant avec les fonds — ne s'est pas produit avec FixedFloat et serait rapidement visible via l'analyse on-chain, laissant à la plupart des utilisateurs aux durées de swap normales une marge pour s'en sortir.

Conclusion

FixedFloat est-il sûr en 2026 ? Plus sûr qu'en février 2024, les changements post-incident semblent tenir, et la plateforme reste l'un des rares swappers instantanés à large couverture de paires qui supporte encore Monero après la vague de délistage 2024-2025 chez les grandes CEX. Cela n'en fait pas le bon outil pour tous les cas. Pour les swaps Monero-final où la confidentialité de la sortie est tout l'enjeu, un service spécialisé Monero comme MoneroSwapper réduit votre surface d'attaque et aligne les incitations de l'opérateur sur les vôtres. Pour une couverture de paires plus large et des conversions ponctuelles en dehors du pipeline XMR, FixedFloat reste un choix raisonnable — à utiliser avec de petits swaps de test, une adresse de remboursement, Tor et l'hygiène procédurale que mérite tout swap en 2026. Choisissez le bon outil, faites un test, et ne laissez jamais un seul exchange détenir plus que ce que vous êtes prêt à attendre quinze minutes pour perdre.

← back to blog