Du vol à la réintégration sur le marché, comment 292 millions de dollars ont-ils été « blanchis » ?

Titre original : where did the kelp $292m go? anatomy of a $292m laundering.
Auteur original : @the_smart_ape
Traducteur : Peggy, BlockBeats

Auteur original : BlockBeats

Source originale :

Reproduction : Mars Finance

Préface : Le 18 avril, le DAO Kelp a été victime d’une attaque, avec environ 292 millions de dollars de fonds volés.
Alors, dans un système entièrement transparent sur la blockchain, comment cet argent a-t-il été étape par étape « lavé » pour devenir un actif circulant ?

Cet article, en prenant cet incident comme point de départ, décompose un parcours de blanchiment d’argent cryptographique hautement industrialisé :
de la préparation d’infrastructures anonymes avant l’attaque, à l’utilisation de Tornado Cash pour couper les liens sur la chaîne ;
de l’emprunt via Aave et Compound pour échanger des « actifs toxiques » contre de la liquidité propre, jusqu’à l’amplification exponentielle de la difficulté de traçage via THORChain, ponts inter-chaînes et structure UTXO, pour finalement faire entrer ces fonds dans le système USDT sur Tron, puis les échanger contre de l’argent liquide dans le monde réel.

Dans ce processus, il n’y a pas d’opérations complexes en boîte noire, presque chaque étape se fait « selon les règles ».
C’est pourquoi ce parcours ne révèle pas une faille ponctuelle, mais une tension structurelle dans le système DeFi sous l’ouverture, la composabilité et l’impossibilité d’audit — lorsque la conception même du protocole permet ces opérations, la « récupération des fonds » n’est plus une question technique, mais une question de limites du système.

L’incident du DAO Kelp n’est donc pas seulement un accident de sécurité, mais ressemble à un test de résistance à la logique opérationnelle du monde cryptographique :
il montre comment un hacker peut transformer votre argent en le sien, et aussi pourquoi, en principe, il est très difficile d’empêcher ce processus de se produire dans ce système.

Comme vous le savez, le 18 avril, un hacker nord-coréen a volé 292 millions de dollars à Kelp DAO.
Cinq jours plus tard, plus de la moitié de ces fonds avaient disparu, dispersés en fragments dans des milliers de portefeuilles, échangés via des protocoles impossibles à suspendre, et finalement dirigés vers une destination très précise.

Ce qui est intéressant, c’est : comment faire en sorte que ces actifs cryptographiques volés, vérifiés à 292 millions de dollars, se transforment en cash dans la poche de Pyongyang, sans que personne ne puisse l’empêcher ?

L’objectif de cet article est de révéler pourquoi le processus complet de blanchiment cryptographique moderne fonctionne, pourquoi il est structurellement impossible à arrêter, et ce que chaque dollar blanchi a réellement acheté.

Première étape : la préparation (quelques heures avant l’attaque)

Les attaquants ne commencent pas par un vol direct. La méthode de Lazarus commence toujours par la préparation des infrastructures.

Environ 10 heures avant l’attaque, 8 nouveaux portefeuilles ont été préalablement approvisionnés via Tornado Cash — un mélangeur, capable de couper le lien entre la source et la destination des fonds.

Chaque portefeuille a reçu 0,1 ETH, pour payer tous les frais de gaz ultérieurs.
Étant donné que ces fonds proviennent d’un mélangeur, sans KYC en échange ni historique de transactions, ils ne peuvent être liés à aucun acteur connu.
Une ardoise propre.

La veille de l’attaque, l’attaquant a effectué 3 transferts inter-chaînes depuis le réseau principal Ethereum vers Avalanche et Arbitrum — clairement pour précharger du gaz sur ces deux L2, et tester le fonctionnement des ponts, afin d’assurer la fluidité lors de transferts importants.

Deuxième étape : le vol

Un portefeuille d’attaque indépendant (0x4966…575e) a appelé la fonction lzReceive du