Un voleur de crypto-monnaie s'en sort avec une somme stupéfiante à neuf chiffres, les autorités doivent poursuivre le reste gelé

Table des matières Kelp DAO Hacker a blanchi la quasi-totalité des quelque 220 millions de dollars de fonds non gelés liés à l'exploit du pont d'avril, selon les données de suivi en chaîne citées par The Defiant. Les analystes rapportent qu'il ne reste qu'environ 1,7 million de dollars dans les portefeuilles d'origine des exploiteurs. Le mouvement des fonds via plusieurs services axés sur la confidentialité a réduit la possibilité de retracer les transactions individuelles. Même si certains avoirs restent gelés, la majeure partie des fonds dégelés va désormais au-delà des efforts directs de recouvrement. Le Kelp DAO Hacker a commencé à transférer des fonds peu de temps après que le Conseil de sécurité d'Arbitrum ait gelé une partie des actifs volés le 20 avril. Selon les données d'Arkham Intelligence, l'attaquant a transféré 75 701 ETH, d'une valeur d'environ 175 millions de dollars, vers des adresses Ethereum nouvellement créées le 21 avril. Les transferts ont été répartis sur trois portefeuilles. Environ 50 700 ETH ont été transférés vers deux adresses, tandis que 25 000 ETH supplémentaires ont été envoyés vers un troisième portefeuille. Ces transferts ont marqué le début d’une opération de blanchiment plus large. L'enquêteur en chaîne ZachXBT a signalé les premières transactions inter-chaînes le même jour. Ses conclusions ont montré trois transferts THORChain totalisant environ 1,5 million de dollars. Il a également identifié un transfert distinct d'une valeur d'environ 78 000 $ via le protocole de confidentialité Ethereum Umbra. À mesure que l’activité s’accélérait, THORChain a connu une augmentation inhabituelle du volume des transactions. Le volume quotidien des swaps a atteint environ 394 millions de dollars, soit plus de dix fois son niveau normal. Les sociétés de sécurité PeckShield et Cyvers ont estimé qu'environ 176 millions de dollars ont transité par un réseau impliquant THORChain, Umbra et BitTorrent au cours de la phase initiale. Le modèle de blanchiment est ensuite devenu plus clair grâce à un suivi supplémentaire. L'analyste en chaîne Spectre a décrit un processus qui a déplacé Ether vers Bitcoin à l'aide de Wasabi CoinJoin. Les fonds ont ensuite été renvoyés vers Ethereum via les cycles de dépôt et de retrait Tornado Cash. Cyvers a également noté que les frais de transaction de l’attaquant étaient préparés à l’avance. Le portefeuille de l'exploiteur a reçu un financement via Tornado Cash environ dix heures avant l'attaque du pont. Les enquêteurs ont identifié cette configuration comme une méthode précédemment associée au groupe TraderTraitor lié à la Corée du Nord. Les actifs récupérables restants du Kelp DAO Hacker sont en grande partie liés aux 30 766 ETH gelés par Arbitrum. Ces avoirs sont évalués à environ 71 millions de dollars et restent soumis à des poursuites judiciaires. Le 1er mai, le tribunal de district américain du district sud de New York a rendu une ordonnance d'interdiction concernant les avoirs gelés. Cette ordonnance fait suite à une demande de confiscation déposée par des familles détenant des jugements antiterroristes impayés contre la Corée du Nord pour un montant total de plus de 877 millions de dollars. Par ailleurs, les efforts de remédiation des utilisateurs ont progressé grâce à des mesures au niveau du protocole. Kelp a restauré la fonctionnalité rsETH après avoir mis en œuvre un plan de récupération avec le consortium DeFi United. Les participants comprenaient Aave, Karak, EigenLayer et Kelp. Le programme de récupération a restauré environ 116 000 rsETH pour les utilisateurs concernés. Pendant ce temps, les quelque 190 millions de dollars de créances irrécouvrables créées par l’utilisation par l’attaquant de la garantie rsETH volée ont été largement absorbées par le module de sécurité d’Aave. Le rapport d'incident de LayerZero, publié le 18 mai avec le soutien de Mandiant, CrowdStrike et zeroShadow, attribue l'exploit à TraderTraitor. Le groupe, également connu sous le nom d'UNC4899, est lié au groupe Lazarus au sens large. Alors que presque tous les fonds dégelés ont désormais été blanchis, le reste du redressement se concentre sur les avoirs gelés et les mesures coercitives plutôt que sur la recherche directe des portefeuilles.