Des pirates informatiques notoires blanchissent les fonds DAO Kelp volés, dissimulant une trace de 220 millions de dollars dans les anonymiseurs de crypto-monnaie

Les cybercriminels associés à l'opération TraderTraitor en Corée du Nord ont réussi à laver la quasi-totalité des 220 millions de dollars de crypto-monnaie accessible volés lors de la faille de sécurité Kelp DAO en avril 2026. Selon les données de renseignement blockchain d'Arkham Intelligence, seulement 1,7 millions de dollars peuvent encore être retracés jusqu'aux portefeuilles de crypto-monnaie d'origine des attaquants. Selon The Defiant, les données de suivi en chaîne montrent que les pirates derrière l'exploit du pont Kelp DAO, identifiés comme le groupe de menace nord-coréen TraderTraitor, ont blanchi… pic.twitter.com/UlCj44BTa4 — Wu Blockchain (@WuBlockchain) 2 juin 2026 La compromission de sécurité a eu lieu en avril Le 18 décembre 2026, des acteurs malveillants ont extrait 116 500 jetons rsETH en exploitant une faiblesse de la configuration du pont LayerZero de Kelp DAO. Les pertes combinées se sont élevées à environ 292 à 293 millions de dollars, contribuant aux 630 millions de dollars d’incidents de vol de cryptomonnaie enregistrés en avril. Le processus de blanchiment d’argent s’est déroulé en deux phases principales. Initialement, les auteurs ont converti les actifs volés en Bitcoin à l'aide du service de tumbling Wasabi CoinJoin, puis les ont reconvertis en Ethereum avant de les acheminer via Tornado Cash. THORChain a connu des volumes de transactions anormalement élevés tout au long de cette période. La cryptomonnaie volée transitait également par Umbra, un protocole conçu pour les transactions anonymes. Cette approche à plusieurs niveaux combinant les outils d’obscurcissement Bitcoin avec les mécanismes de confidentialité Ethereum a créé des obstacles substantiels pour les enquêteurs légistes qui tentaient de suivre la piste de l’argent. L'analyse médico-légale de la blockchain révèle que les auteurs ont rapidement transféré plus de 75 000 ETH dans des portefeuilles fraîchement générés immédiatement après la faille de sécurité. Par la suite, ces avoirs ont été fragmentés et répartis sur de nombreux réseaux blockchain et services d’anonymisation. Les chercheurs en cybersécurité ont attribué l'attaque à TraderTraitor, également identifié comme UNC4899. Cet acteur menaçant parrainé par l’État nord-coréen a été impliqué dans de nombreux braquages ​​​​de crypto-monnaie très médiatisés ces dernières années. LayerZero a publié une déclaration le 20 avril précisant que la vulnérabilité provenait des choix de mise en œuvre spécifiques de Kelp DAO. Le protocole avait configuré un seul DVN LayerZero comme voie de vérification exclusive, contredisant les recommandations de sécurité établies contre de telles configurations. L'ensemble de l'opération de blanchiment s'est achevée en six semaines environ. Les analystes en sécurité indiquent que la possibilité de récupérer les fonds accessibles a pratiquement expiré. Le Conseil de sécurité d'Arbitrum a mis en œuvre un gel d'urgence sur environ 71 millions de dollars en ETH le 21 avril. Une directive du tribunal fédéral et un vote sur la gouvernance communautaire ont autorisé le transfert de ces actifs vers un portefeuille multi-signature géré par Aave et destiné à l'indemnisation des victimes rsETH. Néanmoins, les familles détenant des condamnations judiciaires contre la Corée du Nord pour des affaires liées au terrorisme ont déposé des plaintes concurrentes contre ces avoirs gelés. Une audience judiciaire visant à déterminer la propriété légitime était prévue vendredi à New York. La résolution de ces procédures judiciaires reste incertaine. Les 71 millions de dollars de crypto-monnaie gelée constituent désormais la seule voie viable pour récupérer directement des fonds. Les statistiques de vol de crypto-monnaie ont montré une amélioration spectaculaire en mai, chutant à 68,3 millions de dollars, ce qui représente une réduction de près de 90 % par rapport aux chiffres d'avril, selon les données CertiK. Environ 9,4 millions de dollars ont été récupérés ou restitués volontairement tout au long du mois de mai. Malgré cette amélioration, la violation de Kelp DAO a déclenché une réévaluation généralisée de la sécurité dans l’ensemble de l’écosystème DeFi. Dans les trois semaines suivant l'exploit, Solv Protocol et Tydro ont terminé la migration vers Chainlink CCIP. Kelp DAO a également transféré ses opérations de pontage rsETH vers Chainlink CCIP, abandonnant LayerZero. Kelp DAO a terminé avec succès son programme de rémunération des utilisateurs. La distribution finale de 20 373,7 jetons rsETH a été transmise au contrat intelligent LayerZero dans le cadre d'une initiative de restitution de cinq semaines, comme l'a documenté Cointelegraph. Cependant, la crypto-monnaie volée elle-même a principalement disparu dans une infrastructure sophistiquée de blanchiment d’argent entre chaînes que les enquêteurs qualifient d’extrêmement difficile à pénétrer.