Une enquête révèle des liens de blanchiment d'argent via Tornado Cash dans une attaque de portefeuille crypto de $282 millions

De nouvelles investigations médico-légales sur le piratage du portefeuille $282 million ont révélé une activité de blanchiment via Tornado Cash qui s’est poursuivie bien après le vol initial.

CertiK relie les flux du mixer à la compromission du portefeuille $282 million

La société de sécurité blockchain CertiK a tracé $63 million de flux Tornado Cash jusqu’à la brèche du portefeuille crypto du 10 janvier, qui a drainé $282 million. L’équipe a identifié de nouvelles activités de blanchiment et confirmé des mouvements récents de fonds liés à la compromission initiale. De plus, ce nouveau lien étend considérablement la chronologie connue des activités après le vol.

Selon CertiK, l’attaquant a acheminé les actifs volés à travers plusieurs blockchains avant de les faire passer par le protocole de confidentialité. La société a détecté des transferts structurés qui ont fait passer l’Ether (ETH) par une série d’adresses avant les dépôts dans Tornado Cash. Ce schéma ressemble fortement aux méthodes de blanchiment observées lors de précédents vols de crypto à grande échelle.

Mouvements inter-chaînes et transferts par lots structurés

L’enquête a révélé qu’une partie importante du Bitcoin (BTC) volé a d’abord été bridgée vers Ethereum, puis convertie en ETH. CertiK a mis en évidence une adresse de réception qui a accumulé 19 600 ETH suite à cette opération de pont inter-chaînes. Cependant, ces fonds ont rapidement été fragmentés en tranches plus petites, puis déplacés à nouveau, avant d’être envoyés à Tornado Cash.

Le chiffre de $63 million ne représente qu’une partie de la valeur totale volée, mais illustre la conception méthodique de l’opération. Les analystes ont observé des transferts par lots répétés, délibérément orchestrés pour réduire la visibilité sur la chaîne et allonger la chaîne de blanchiment. De plus, l’utilisation progressive et régulière de Tornado Cash souligne l’intention soutenue de l’attaquant de compliquer toute traçabilité d’un piratage de portefeuille crypto.

Les spécialistes ont noté que ces schémas de blanchiment par transferts par lots deviennent de plus en plus courants dans les vols sophistiqués. L’attaquant déplaçait à plusieurs reprises des fonds via de nouvelles adresses et à travers différentes chaînes, en utilisant des écarts de temps et des montants variés pour éviter toute détection évidente. Par conséquent, chaque étape supplémentaire avant le mixer affaiblissait davantage l’attribution directe au portefeuille piraté d’origine.

Limitations de traçabilité une fois que les fonds atteignent Tornado Cash

Les équipes de sécurité crypto ont souligné que les dépôts dans Tornado Cash réduisent fortement les chances de récupération des fonds une fois les cycles de mélange terminés. Les mixers brisent les liens visibles entre les adresses d’envoi et de réception, ce qui compromet l’analyse conventionnelle sur la chaîne. De même, retracer l’ensemble des sorties devient beaucoup plus difficile après que les fonds ont quitté le pool.

L’incident du 10 janvier a suivi le même schéma, avec des sauts de portefeuille supplémentaires effectués peu avant chaque dépôt dans le mixer. Les enquêteurs ont confirmé que ces sauts de dernière minute créaient une distance supplémentaire par rapport au portefeuille source. De plus, le moment où les fonds ont traversé dans Tornado Cash a constitué une barrière décisive pour la majorité des efforts de suivi ultérieurs.

Les sociétés de sécurité ont également rapporté que les options d’atténuation étaient très limitées après le début des étapes de blanchiment via Tornado Cash. Certaines plateformes centralisées ont réussi à signaler et à geler de petits fragments touchant leurs services. Cependant, ces blocages ne couvraient qu’une fraction mineure du volume total, et la majorité des actifs avaient été déplacés hors de portée lors des premières phases du mixer.

Attaque de ingénierie sociale ayant déclenché la compromission complète du portefeuille

Les vérifications préliminaires sur la brèche ont révélé que l’opération a commencé par une compromission ciblée du portefeuille via ingénierie sociale. L’attaquant s’est fait passer pour un support légitime et a convaincu la victime de révéler une phrase de récupération critique permettant l’accès au portefeuille. En conséquence, l’intrus a obtenu un contrôle direct sur des réserves importantes de Bitcoin et Litecoin (LTC) détenues dans le compte compromis.

Le portefeuille contenait plus de 1 459 BTC et plus de 2 millions de LTC avant le vol, selon la reconstruction de CertiK. Certaines de ces holdings ont été converties en autres actifs numériques lors des premières phases du processus de blanchiment. De plus, des parties des fonds ont été transférées à travers différents réseaux, utilisant des tactiques de blanchiment inter-chaînes avant les transferts finaux dans le mixer Tornado Cash.

Les analystes de sécurité continuent de surveiller les mouvements récents de toute adresse liée au piratage, bien qu’ils anticipent désormais une progression incrémentielle. La répétition de l’utilisation du protocole Tornado Cash souligne un plan délibéré visant à effacer les traces des transactions et à exploiter la conception du mixer. Dans l’ensemble, cette affaire illustre comment une ingénierie sociale coordonnée, des transferts inter-chaînes et des dépôts dans des mixers peuvent fortement limiter les perspectives de récupération lors de vols majeurs de crypto.