Note de la rédaction : Le 18 avril, Kelp DAO a été attaqué, avec environ 292 millions de dollars dactifs volés. Comment cet argent a-t-il été progressivement « lavé » pour devenir un actif liquide dans un système entièrement transparent sur chaîne ?
Cet article utilise cet événement comme point d'entrée pour décomposer un chemin de blanchiment de cryptomonnaies hautement industrialisé : depuis la préparation d'infrastructures anonymes avant l'attaque, en passant par l'utilisation de Tornado Cash pour rompre les liens sur la chaîne ; depuis le recours à Aave et Compound pour hypothéquer des actifs « toxiques » et en extraire une liquidité propre, jusqu'à l'augmentation exponentielle de la difficulté de traçage via THORChain, des ponts cross-chain et une structure UTXO, pour finir par converger vers le système USDT sur Tron, puis être échangé contre de la liquidité réelle via des réseaux OTC.
Au cours de ce processus, aucune opération opaque complexe n’a été effectuée ; presque chaque étape a été réalisée « en suivant les règles ». C’est précisément pour cette raison que ce chemin révèle non pas une vulnérabilité ponctuelle, mais une tension structurelle au sein du système DeFi sous-jacente à son ouverture, sa composable et son immunité à la censure — lorsque la conception même du protocole permet ces opérations, le « recouvrement des fonds » n’est plus une question technique, mais une question de limites du système.
L'événement Kelp DAO n'est donc pas seulement une faille de sécurité, mais plutôt un test de pression sur la logique de fonctionnement du monde cryptographique : il montre comment les pirates peuvent transformer votre argent en leur argent, et pourquoi ce système est, en principe, difficile à protéger contre ce processus.
Comme vous le savez, le 18 avril, un pirate informatique nord-coréen a volé 292 millions de dollars à Kelp DAO. Cinq jours plus tard, plus de la moitié de cette somme avait disparu, fragmentée et dispersée dans des milliers de portefeuilles, échangée via des protocoles non suspendibles, pour finir par se rendre à une destination très précise.
Le point intéressant réside dans la manière dont 292 millions de dollars américains d'actifs cryptographiques volés, et dont le vol est documenté, ont pu être transformés en argent liquide dans les poches de Pyongyang, sans que personne ne puisse l'empêcher.
L'objectif de cet article est de révéler pourquoi le processus complet du blanchiment de cryptomonnaies modernes fonctionne, pourquoi il est structurellement impossible à empêcher, et ce que chaque dollar blanchi achète réellement.
Phase 1: Setup (several hours before the attack)
Les attaquants n'ont pas commencé par un vol direct. La stratégie de l'organisation Lazarus commence toujours par la préparation de l'infrastructure.
Environ 10 heures avant l'attaque, huit nouveaux portefeuilles ont été préfinancés via Tornado Cash — un mélangeur qui rompt le lien entre les sources et les destinations des fonds.
Chaque portefeuille a reçu 0,1 ETH pour couvrir les frais de gaz de toutes les opérations futures. Ces fonds proviennent d'un mélangeur, ne laissent aucune trace de transaction précédente, n'ont aucun historique KYC d'échange et ne peuvent être associés à aucun acteur connu. Table rase.
Avant l'attaque, l'attaquant a effectué trois transferts cross-chain depuis la chaîne principale Ethereum vers Avalanche et Arbitrum — l'objectif étant clairement de précharger du gas sur ces deux L2 et de tester les opérations de pont pour s'assurer que les transferts de grande ampleur se déroulent sans problème.
Phase 2 : Vol
Un portefeuille d'attaque indépendant (0x4966…575e) a appelé la fonction lzReceive sur le contrat LayerZero EndpointV2. Étant donné que le validateur a été trompé avec succès, cet appel a été considéré comme un message cross-chain légitime. Le contrat de pont Kelp, Kelp DAO: RSETH_OFTAdapter (adresse Etherscan : 0x85d…), a ensuite libéré 116 500 rsETH vers 0x8B1.
18 % de la circulation totale de rsETH. Un seul appel de fonction, disparu.
46 minutes plus tard, à 18:21 UTC, la multisig d'urgence de Kelp a suspendu le protocole. À 18:26 et 18:28 UTC, l'attaquant a tenté deux fois supplémentaires d'effectuer la même opération, essayant à chaque fois de voler environ 40 000 rsETH (environ 100 millions de dollars américains par transaction). Les deux tentatives ont été annulées grâce à l'intervention rapide de Kelp. Sans cela, le montant total volé aurait pu atteindre près de 500 millions de dollars américains.
Phase 3 : Opérations Aave + Compound
rsETH est un jeton de certificat dont la valeur tombe à zéro dès que Kelp suspende le pont transfrontalier ou met les jetons volés sur liste noire. Les attaquants n'ont que quelques minutes pour les convertir en actifs non gelables. Kelp a suspendu les opérations 46 minutes après le vol — il était déjà trop tard.
Vendre directement sur le marché ouvert 292 millions de dollars américains de jetons restaking non liquides ferait chuter le prix de plus de 30 % en quelques minutes. Il n’a donc pas choisi de vendre, mais a utilisé des protocoles de prêt DeFi comme outil de blanchiment d’argent pour se débarrasser rapidement de ses actifs.
Le portefeuille de réception 0x8B1 a réparti 116 500 rsETH volés vers 7 autres portefeuilles secondaires. Chaque portefeuille secondaire a ensuite accédé à Aave et Compound V3, déposant une partie des rsETH comme garantie et empruntant des ETH.
Les positions cumulées des 7 branches sont les suivantes :
· Dépôt de la garantie : 89 567 rsETH
· Prêt : environ 82 650 WETH + 821 wstETH, soit environ 190 millions de dollars américains en actifs Ethereum propres et liquides
· Le coefficient de santé de chaque branche est fixé entre 1,01 et 1,03 — la limite absolue autorisée par le protocole avant liquidation
L'attaquant a échangé 292 millions de dollars américains de rsETH, marqués et presque impossibles à convertir, contre 190 millions de dollars américains d'ETH. Lorsque ces rsETH ont finalement été marqués comme pratiquement nuls (en raison de l'insolvabilité du pont cross-chain de Kelp et de l'impossibilité de les racheter), les déposants du protocole de prêt ont supporté les pertes.
Alors que le marché prenait conscience qu'Aave détenait plus de 200 millions de dollars de créances douteuses, les utilisateurs ont retiré massivement leurs fonds. Aave a perdu 8 milliards de dollars de TVL (total value locked) en 48 heures. Ce plus grand protocole de prêt DeFi a subi son premier véritable run bancaire — et le déclencheur a été un attaquant qui a utilisé le protocole exactement comme il était conçu.
Phase 4 : Intégration et fractionnement des fonds
Après l'emprunt sur Aave/Compound, 7 branches ont transféré l'ETH emprunté vers le portefeuille d'intégration de niveau 3 (0x5d3).
L'ensemble du cluster d'opérations présente actuellement une structure claire en trois niveaux :
1. Réception : 0x8B1 (financé également via Tornado Cash), réception des 116 500 rsETH originalement volés
2. Opération : 7 portefeuilles dérivés financés via Tornado Cash effectuent des opérations Aave/Compound
3. Intégration : 0x5d3 regroupe environ 71 000 ETH de fonds empruntés, les unifiant dans un processus de blanchiment.
Les fonds sont ensuite répartis sur deux chaînes :
·75 700 ETH restent sur le réseau principal Ethereum
·30 766 ETH sur Arbitrum (environ 71 millions de dollars américains)
Le conseil de sécurité d'Arbitrum a voté pour geler une partie des actifs sur Arbitrum, transférant 71 millions de dollars vers un portefeuille contrôlé par la gouvernance, verrouillé jusqu'à un déblocage ultérieur par gouvernance.
Peu après le gel, le pirate a transféré les ETH restants sur la chaîne principale et a accéléré le blanchiment d'argent. Ces actions indiquent qu'il n'avait visiblement pas anticipé une telle réaction de la part d'Arbitrum.
Phase 5 : Première vague de blanchiment
Quatre jours après l'attaque, 0x5d3 a commencé à vider ses fonds. Arkham a suivi trois transferts indépendants en quelques heures.
Le moment a été soigneusement choisi : la session européenne du mardi. Les enquêteurs américains sont en pause, les équipes de conformité européennes traitent les retards accumulés du lundi, et les bourses asiatiques approchent de la clôture.
Ensuite, le modèle de transfert a commencé à se propager de manière exponentielle. Chaque destination de la première vague s'est immédiatement répandue : 0x62c7 a envoyé des fonds à environ 60 nouveaux portefeuilles, et 0xD4B8 à un autre ensemble d'environ 60. En quelques heures, le cluster initial de 10 portefeuilles s'est étendu à plus de 100 adresses temporaires, toutes financées en parallèle, chaque adresse recevant un montant suffisamment faible pour éviter la détection.
Lazarus exécute un script de portefeuille HD — un seul mot de passe permet de dériver mathématiquement des milliers d'adresses entièrement nouvelles en quelques secondes, accompagné d'un pool de workers (Python + web3, ethers.js ou leurs propres outils internes) pour signer et diffuser en parallèle l'ensemble de l'arborescence d'adresses. Ce code, ils le perfectionnent depuis 2018.
À la fin de cette phase, la chaîne linéaire et traçable a disparu. Le cluster d'opérations de 10 portefeuilles a explosé en plus de 100 portefeuilles fragmentés, les fonds entrant simultanément par des dizaines d'entrées indépendantes sur l'itinéraire de confidentialité.
Phase 6 : THORChain — La machine de fuite
Le véritable point de rupture se produit sur THORChain.
THORChain est un protocole décentralisé permettant l'échange natif d'actifs entre chaînes. Vous envoyez ETH sur Ethereum, et il vous rend du BTC sur le réseau Bitcoin.
Seulement le 22 avril, le volume d'échanges sur 24 heures de THORChain a atteint 460 millions de dollars américains. Le volume quotidien normal de ce protocole est d'environ 15 millions de dollars américains. Cette attaque a représenté, en une seule journée, 30 fois le volume normal du protocole.
Sur la même fenêtre de 24 heures, le protocole a généré un revenu de 494 000 $, réparti entre les bonder (opérateurs de nœuds), les fournisseurs de liquidité, le fonds de développement, les intégrateurs d'alliance et le fonds de marketing.
En parallèle, les fonds circulent également à travers un ensemble de pistes de confidentialité plus petites mais complémentaires :
· Umbra : protocole d'adresses invisibles sur Ethereum. Permet d'envoyer des fonds à une adresse unique que seul le destinataire peut calculer en partageant une clé. Les observateurs sur la chaîne ne peuvent pas déterminer la destination réelle. Environ 78 000 dollars américains d'activité initiale ont été suivis, puis l'outil a perdu la piste.
·Chainflip : un autre DEX cross-chain, avec un modèle similaire à THORChain.
·BitTorrent Chain : une chaîne latérale à faible coût et faible réglementation connectée à Tron.
· Tornado Cash : le même mixeur qu'au moment du pré-financement Gas. Le département du Trésor américain l'a ajouté à sa liste des sanctions en 2022.
Chaque couche de protocole augmente le coût de suivi d'environ 10 fois. Après 5 couches, une entreprise de forensic peut toujours théoriquement suivre chaque fragment, mais le coût économique dépasse la valeur récupérable.
Phase 7 : Fragmentation des UTXO de Bitcoin
Échanger de l'ETH contre du BTC via THORChain, c'est essentiellement transformer de l'argent en papier déchiqueté.
Ethereum utilise un modèle de comptes, où votre solde est un nombre associé à une adresse, simple et direct. Bitcoin, en revanche, utilise un modèle UTXO (unspent transaction output) — chaque UTXO est un bloc de monnaie spécifique, avec un historique de transaction complet. Chaque fois que vous dépensez des bitcoins, ces blocs sont divisés et recombinés pour former de nouveaux blocs.
Imagine déchirer un billet de 100 dollars en 87 morceaux, puis déchirer chaque morceau en 87 autres, et ainsi de suite pendant 7 itérations. Techniquement, chaque fragment peut être remonté jusqu'au billet d'origine. En pratique, aucune équipe d'investigation forensique humaine ne peut suivre en temps réel des milliers de chaînes parallèles et reconstituer l'ensemble assez rapidement pour agir.
Ainsi, THORChain accomplit deux choses à la fois : transférer des fonds au-delà de toute frontière que les sanctions ne peuvent traverser, et fragmenter les fonds en poussière impossible à suivre.
Étape 8 : Piste Tron USDT
Après avoir traversé Bitcoin et la couche de confidentialité, les fonds convergent à nouveau vers le même point final : l'USDT sur Tron.
La plupart des gens pensent que le principal terrain d'opération pour le blanchiment d'argent est le BTC, ce qui est incorrect. Le véritable terrain d'opération est l'USDT sur Tron. Les données montrent que le volume annuel d'actifs cryptographiques illégaux traités sur USDT-Tron est toujours en tête, dépassant la somme de toutes les autres chaînes.
Dans ce flux de fonds Kelp, le chemin précis est : transférer du BTC via un pont vers Tron, l'échanger contre des USDT, puis effectuer plusieurs transferts entre adresses Tron. Chaque saut sur Tron coûte extrêmement peu, quelques centimes seulement, permettant d'ajouter 10 couches supplémentaires de fragmentation.
Phase 9 : Retrait — Conversion de la crypto en espèces
À chaque attaque informatique, les fonds sont transformés en espèces fiduciaires via un réseau spécifique et documenté d'intermédiaires humains.
Un groupe de courtiers OTC actifs en Chine continentale et en Asie du Sud-Est acceptent des dépôts en USDT-Tron et règlent en espèces locales. Ces courtiers sont en réalité des banques souterraines non autorisées. Ils regroupent les flux de fonds provenant de plusieurs clients (conformes et non conformes), les compensent en interne, et règlent en monnaie fiduciaire via les réseaux de paiement chinois (UnionPay) — UnionPay opérant entièrement en dehors du système SWIFT et de la portée des sanctions occidentales.
Les fonds, provenant de comptes contrôlés par ces courtiers, sont transférés vers des comptes bancaires contrôlés par la Corée du Nord, généralement détenus au nom de sociétés écrans enregistrées à Hong Kong, à Macao ou dans des juridictions tierces. À partir de ces comptes, les fonds sont ensuite transférés à Pyongyang par le biais de systèmes informels de règlement type hawala, de transferts physiques de liquidités et d'achats de sociétés-écrans.
Le Conseil de sécurité des Nations Unies, le FBI et le Département du Trésor américain ont tous indépendamment documenté la destination finale de ces fonds. Le programme de missiles balistiques de la Corée du Nord, le développement d'armes nucléaires et l'évasion des sanctions internationales dépendent tous du soutien continu de ces flux de fonds.
Selon un rapport des Nations Unies de 2024, les attaques de hackers sur les cryptomonnaies représentent environ 50 % des revenus en devises étrangères de la Corée du Nord, en faisant la principale source de financement de son programme d'armes — dépassant la somme des exportations de charbon, des ventes d'armes et des envois de main-d'œuvre.
[原文标题]