Note de la rédaction : Le 18 avril, Kelp DAO a été victime d'une attaque, avec environ 292 millions de dollars d'actifs volés. Alors, dans un système entièrement public et sur chaîne, comment cet argent a-t-il été progressivement « nettoyé » pour devenir des actifs liquides ?
Cet article, prenant cet événement comme point de départ, décompose un cheminement hautement industrialisé de blanchiment de cryptomonnaies : de la préparation d'infrastructures anonymes avant l'attaque, à l'utilisation de Tornado Cash pour couper les liens sur la chaîne ; du recours à Aave et Compound pour mettre en gage des « actifs toxiques » et obtenir des liquidités propres, à l'utilisation de THORChain, de ponts inter-chaînes et de la structure UTXO pour amplifier exponentiellement la difficulté de traçabilité, jusqu'au transfert final vers l'écosystème USDT sur Tron, et à la conversion en espèces dans le monde réel via des réseaux de gré à gré (OTC).
Dans ce processus, il n'y a pas d'opérations complexes de boîte noire ; presque chaque étape se déroule « selon les règles ». Précisément pour cette raison, ce cheminement révèle non pas une vulnérabilité ponctuelle, mais une tension structurelle au sein du système DeFi due à son ouverture, sa composabilité et son caractère non censurable – lorsque la conception du protocole elle-même permet l'existence de ces opérations, le « recouvrement des fonds » n'est plus une question technique, mais une question de limites du système.
L'événement de Kelp DAO n'est donc pas seulement un incident de sécurité ; il ressemble davantage à un test de résistance de la logique opérationnelle du monde cryptographique : il montre comment un pirate transforme votre argent en son argent, et montre aussi pourquoi ce système ne peut, en principe, empêcher ce processus de se produire.
Comme vous le savez, le 18 avril, un pirate nord-coréen a volé 292 millions de dollars à Kelp DAO. Cinq jours plus tard, plus de la moitié avait disparu, fragmentée et dispersée parmi des milliers de portefeuilles, convertie via des protocoles impossibles à suspendre, et finalement acheminée vers une destination très spécifique.
L'aspect intéressant réside dans la manière de transformer 292 millions de dollars d'actifs cryptographiques volés et parfaitement documentés, sans que personne ne puisse l'empêcher, en liquide dans les poches de Pyongyang.
Le but de cet article est de révéler pourquoi le processus moderne de blanchiment de cryptomonnaies fonctionne, pourquoi il est structurellement impossible à arrêter, et ce que chaque dollar blanchi a finalement acheté.
Première phase : Préparation (Plusieurs heures avant l'attaque)
L'attaquant n'a pas commencé par le vol direct. La méthode du groupe Lazarus commence toujours par la préparation de l'infrastructure.
Environ 10 heures avant l'attaque, 8 nouveaux portefeuilles ont été préalablement financés via Tornado Cash – un mélangeur qui rompt le lien entre la source et la destination des fonds.
Chaque portefeuille a reçu 0,1 ETH, destiné à couvrir les frais de Gas (frais de transaction) de toutes les opérations ultérieures. Comme les fonds de ces portefeuilles provenaient d'un mélangeur, ils n'avaient pas d'historique KYC d'exchange, pas de traces de transactions passées, et ne pouvaient être associés à aucune entité connue. Des ardoises vierges.
À la veille de l'attaque, l'attaquant a initié 3 transferts inter-chaînes depuis Ethereum Mainnet vers Avalanche et Arbitrum – le but était clairement de prépositionner du Gas sur ces deux L2, et de tester les opérations de pont, pour garantir la fluidité des transferts de gros montants.
Deuxième phase : Vol
Un portefeuille d'attaque indépendant (0x4966...575e) a appelé une fonction nommée lzReceive sur le contrat LayerZero EndpointV2. Les validateurs ayant été trompés avec succès, cet appel a été considéré comme un message inter-chaîne légitime. Le contrat de pont de Kelp, Kelp DAO: RSETH_OFTETFAdapter (adresse Etherscan : 0x85d...), a alors libéré 116 500 rsETH vers 0x8B1.
18% de l'offre circulante de rsETH. Disparus en un seul appel de fonction.
46 minutes plus tard, à 18:21 UTC, la multi-signature d'urgence de Kelp a suspendu le protocole. À 18:26 et 18:28 UTC, l'attaquant a tenté deux nouvelles opérations exactement identiques, essayant à chaque fois de voler environ 40 000 rsETH supplémentaires (soit environ 100 millions de dollars par transaction). Les deux ont été annulées (reverted) grâce à la suspension rapide ("débranchage") par Kelp. Sans cela, le montant total volé aurait pu approcher les 500 millions de dollars.
Troisième phase : Opérations Aave + Compound
Le rsETH est un jeton de créance (receipt token) ; une fois que Kelp suspend le pont ou blackliste les jetons volés, sa valeur tombe à zéro. L'attaquant n'avait que quelques minutes pour le convertir en un actif non gelable. Kelp a mis 46 minutes à suspendre – c'était déjà trop tard.
Vendre 292 millions de dollars de jetons de restaking non liquides sur le marché libre aurait écrasé le prix de plus de 30% en quelques minutes. Il n'a donc pas choisi de vendre, mais a utilisé les protocoles de prêt DeFi comme outils de blanchiment, pour agir rapidement.
Le portefeuille receveur 0x8B1 a dispersé les 116 500 rsETH volés vers 7 autres portefeuilles de branche. Chaque branche est ensuite entrée sur Aave et Compound V3, a déposé une partie des rsETH en tant que collatéral, et a emprunté de l'ETH.
Les positions cumulées des 7 branches étaient les suivantes :
· Collatéral déposé : 89 567 rsETH
· Emprunté : environ 82 650 WETH + 821 wstETH, soit environ 190 millions de dollars d'actifs Ethereum propres et liquides
· Le facteur de santé de chaque branche était réglé entre 1,01 et 1,03 – la limite absolue autorisée par le protocole avant la liquidation
L'attaquant a échangé ces 292 millions de dollars de rsETH, marqués et presque invendables, contre 190 millions de dollars d'ETH. Lorsque ces rsETH ont finalement été marqués comme valant presque zéro (car le pont de Kelp était insolvable et incapable de racheter), ce sont les déposants du protocole de prêt qui ont subi la perte.
Alors que le marché prenait conscience qu'Aave détenait plus de 200 millions de dollars de créances douteuses, les utilisateurs se sont retirés dans la panique. Aave a perdu 80 milliards de dollars de TVL (Valeur Totale Locked) en 48 heures. Le plus grand protocole de prêt DeFi a subi sa première véritable ruée bancaire – et l'élément déclencheur fut un attaquant utilisant le protocole exactement comme il était conçu.
Quatrième phase : Consolidation et fragmentation des fonds
Après les emprunts Aave/Compound, les 7 branches ont poussé l'ETH emprunté vers un troisième portefeuille de consolidation (0x5d3).
Le cluster opérationnel présentait désormais une structure claire à trois niveaux :
1. Réception : 0x8B1 (également financé via Tornado Cash), recevant les 116 500 rsETH volés à l'origine
2. Opération : 7 portefeuilles de branche financés via Tornado Cash, exécutant les opérations Aave/Compound
3. Consolidation : 0x5d3, regroupant environ 71 000 ETH de fonds empruntés, entrant uniformément dans le processus de blanchiment
Les fonds ont ensuite été répartis sur deux chaînes :
· 75 700 ETH sont restés sur Ethereum Mainnet
· 30 766 ETH sur Arbitrum (environ 71 millions de dollars)
Le comité de sécurité d'Arbitrum a voté le gel de ces actifs sur Arbitrum, transférant 71 millions de dollars vers un portefeuille sous contrôle de gouvernance, qui ne peut être débloqué que par une future gouvernance.
Peu après le gel, le pirate a immédiatement transféré l'ETH restant sur Mainnet et a accéléré le processus de blanchiment. D'après ces actions, il n'avait clairement pas anticipé une telle mesure de la part d'Arbitrum.
Cinquième phase : Première vague de blanchiment
Quatre jours après l'attaque, 0x5d3 a commencé à se vider. Arkham a tracé 3 transferts distincts en quelques heures.
Le timing était choisi avec soin : heures de trading européennes un mardi. Les enquêteurs américains dormaient encore, les services de conformité européens traitaient le backlog du lundi, les exchanges asiatiques approchaient de la clôture.
Ensuite, le modèle de transfert a commencé à exploser de manière diffuse. Chaque destination de la première vague se re-diffusait immédiatement : 0x62c7 poussait vers environ 60 nouveaux portefeuilles générés, 0xD4B8 vers environ 60 autres. En quelques heures, le cluster net de 10 portefeuilles s'est étendu à plus de 100 adresses jetables, toutes financées en parallèle, chaque détenant un montant suffisamment faible pour éviter la détection.
Lazarus exécute des scripts de portefeuille HD (Hierarchical Deterministic) – une seule graine (seed phrase) peut dériver mathématiquement des milliers de nouvelles adresses en quelques secondes, couplée à un pool de workers (Python + web3, ethers.js ou leurs outils internes) signant et diffusant en parallèle l'arborescence entière d'adresses. Ce code, ils l'itèrent depuis 2018.
À la fin de cette phase, la chaîne linéaire traçable avait disparu. Le cluster opérationnel de 10 portefeuilles avait explosé en plus de 100 fragments, les fonds entrant simultanément dans les circuits de confidentialité par des dizaines d'entrées indépendantes.
Sixième phase : THORChain – La machine d'évasion
Le vrai point de rupture s'est produit sur THORChain.
THORChain est un protocole décentralisé permettant l'échange natif d'actifs inter-chaînes. Vous envoyez de l'ETH sur Ethereum, il vous rend du BTC sur le réseau Bitcoin.
Rien que le 22 avril, le volume d'échange sur 24h de THORChain a atteint 460 millions de dollars. Le volume quotidien normal du protocole est d'environ 15 millions de dollars. Cette seule attaque a représenté 30 fois l'utilisation normale du protocole en une journée.
Dans la même fenêtre de 24 heures, le protocole a généré 494 000 dollars de revenus, répartis entre les bonders (opérateurs de nœuds), les fournisseurs de liquidité, le fonds de développement, les intégrateurs affiliés et le fonds marketing.
Parallèlement, les fonds transitaient également via un ensemble de circuits de confidentialité plus petits mais complémentaires :
· Umbra : Protocole d'adresses furtives (stealth addresses) sur Ethereum. Permet d'envoyer des fonds à des adresses jetables, seul le destinataire pouvant calculer l'adresse via une clé partagée. Les surveillants de la chaîne ne peuvent pas connaître la destination réelle. Environ 78 000 dollars d'activité initiale ont été tracés ici, puis l'outil a perdu la piste.
· Chainflip : Un autre DEX inter-chaînes, similaire à THORChain.
· BitTorrent Chain : Une sidechain à faible coût et faible régulation connectée à Tron.
· Tornado Cash : Le même mélangeur utilisé pour le pré-financement du Gas. Le Trésor américain l'avait placé sur liste noire (sanctions) en 2022.
Chaque couche de protocole augmente le coût du traçage d'environ 10 fois. Après 5 couches, les entreprises de forensic pourraient en théorie tracer chaque fragment, mais le coût économique dépasse la valeur récupérable.
Septième phase : Fragmentation UTXO Bitcoin
Convertir l'ETH en BTC via THORChain, c'est essentiellement transformer l'argent en confettis.
Ethereum utilise un modèle de compte, votre solde est un nombre attaché à une adresse, simple et direct. Bitcoin est différent, il utilise un modèle UTXO (Unspent Transaction Output) – chaque UTXO est un bloc concret de monnaie, avec un historique complet de transactions. Chaque fois que vous dépensez des bitcoins, ces blocs sont divisés et recombinés pour former de nouveaux blocs.
Imaginez déchirer un billet de 100 dollars en 87 morceaux, puis déchirer chaque morceau en 87 autres, et répéter cela 7 fois. Techniquement, chaque fragment peut être retracé jusqu'au billet original. En pratique, aucune équipe de forensic humaine ne peut tracer des milliers de chaînes en parallèle en temps réel et reconstituer l'image complète assez rapidement pour agir.
Ainsi, THORChain accomplit deux choses simultanément : faire traverser aux fonds une frontière qu'aucune sanction ne peut franchir, et fragmenter les fonds en poussière intraçable.
Huitième phase : Piste USDT sur Tron
Après être passés par Bitcoin et les couches de confidentialité, les fonds se regroupent vers la même destination finale : l'USDT sur Tron.
La plupart des gens pensent que le champ de bataille principal du blanchiment est le BTC, c'est une erreur. Le vrai champ de bataille est l'USDT sur Tron. Les données montrent que USDT-Tron supporte annuellement le plus grand volume de transactions d'actifs cryptographiques illicites, dépassant la somme de toutes les autres chaînes.
Dans ce flux de fonds de Kelp, le chemin spécifique était : pontage depuis BTC vers Tron, conversion en USDT, puis multiples transferts entre adresses Tron. Chaque saut (hop) sur Tron coûte très peu, quelques centimes suffisent pour ajouter 10 couches supplémentaires de fragmentation.
Neuvième phase : Sortie de liquidités (Cash-out) – Crypto en cash
Le point final de chaque attaque est que les fonds sont transformés en monnaie fiduciaire (cash) via un réseau spécifique et bien connu d'intermédiaires humains.
Un groupe de courtiers de gré à gré (OTC) actifs en Chine continentale et en Asie du Sud-Est acceptent les dépôts USDT-Tron et règlent en espèces dans la monnaie locale. Ces courtiers sont essentiellement des maisons de change souterraines sans licence. Ils agrègent les flux de fonds de multiples clients (conformes et non conformes), compensent en interne (netting), et règlent en monnaie fiduciaire via les réseaux de paiement domestiques chinois (UnionPay) – qui opèrent complètement en dehors du système SWIFT et de la portée des sanctions occidentales.
À partir des comptes contrôlés par ces courtiers, les fonds affluent vers des comptes bancaires contrôlés par la Corée du Nord, souvent détenus au nom de sociétés écrans enregistrées à Hong Kong, Macao ou dans des juridictions tierces. Depuis ces comptes, via un清算 informel de type Hawala, des transferts physiques d'espèces et des achats par l'intermédiaire de sociétés de façade, les fonds sont rapatriés à Pyongyang.
Le Conseil de sécurité de l'ONU, le FBI et le Trésor américain ont indépendamment documenté la destination finale de ces fonds. Le programme de missiles balistiques de la Corée du Nord, le développement d'armes nucléaires et le contournement des sanctions internationales dépendent tous du flux continu de ce type de fonds.
Un rapport des Nations Unies de 2024 estime que les piratages cryptographiques représentent environ 50% de tous les revenus en devises étrangères de la Corée du Nord, en faisant la source de financement principale de son programme d'armement – dépassant les exportations de charbon, les ventes d'armes et l'exportation de main-d'œuvre réunies.
[Titre original]
