Du vol à la réintégration sur le marché — comment 292 millions de dollars ont-ils été « blanchis » ?

Auteur : @the_smart_ape ; Traduction : Peggy, BlockBeats

Le 18 avril, le Kelp DAO a été victime d’une attaque, avec environ 292 millions de dollars de fonds volés. Alors, dans un système entièrement public sur la blockchain, comment cet argent a-t-il été « lavé » étape par étape pour devenir un actif circulant ?

Cet article, en prenant cet incident comme point de départ, décompose un parcours de blanchiment d’argent cryptographique hautement industrialisé : depuis la préparation de l’infrastructure anonyme avant l’attaque, jusqu’à l’utilisation de Tornado Cash pour couper les liens sur la chaîne ; depuis le recours à Aave et Compound pour mettre en gage des « actifs toxiques » et en sortir des liquidités propres, jusqu’à l’amplification exponentielle de la difficulté de traçage via THORChain, ponts inter-chaînes et structure UTXO, pour finalement faire entrer ces fonds dans le système USDT sur Tron, puis les échanger en cash dans le monde réel via des réseaux OTC.

Dans ce processus, il n’y a pas d’opérations complexes en boîte noire, presque chaque étape étant « conforme aux règles ». C’est pourquoi ce parcours révèle non pas une faille ponctuelle, mais une tension structurelle dans le système DeFi sous l’ouverture, la composabilité et l’impossibilité d’audit — lorsque la conception même du protocole permet ces opérations, la « récupération des fonds » n’est plus une question technique, mais une question de limites du système.

L’incident du Kelp DAO n’est donc pas seulement un accident de sécurité, mais ressemble à un test de résistance de la logique opérationnelle du monde cryptographique : il montre comment un hacker peut transformer votre argent en le sien, et aussi pourquoi ce système, en principe, a du mal à empêcher que ce processus se produise.

Comme vous le savez, le 18 avril, un hacker nord-coréen a volé 292 millions de dollars du Kelp DAO. Cinq jours plus tard, plus de la moitié avait disparu, dispersée en fragments dans des milliers de portefeuilles, échangés via des protocoles impossibles à suspendre, et finalement transférés vers une destination très précise.

Ce qui est intéressant, c’est : comment faire en sorte que ces 292 millions de dollars de cryptoactifs volés, vérifiables, se transforment en cash dans la poche de Pyongyang, sans que personne ne puisse l’arrêter.

L’objectif de cet article est de révéler pourquoi le processus complet de blanchiment cryptographique moderne fonctionne, pourquoi il est structurellement impossible à arrêter, et ce que chaque dollar blanchi a réellement acheté.

Première étape : la préparation (quelques heures avant l’attaque)

L’attaquant ne commence pas par un vol direct. La méthode de Lazarus commence toujours par la préparation de l’infrastructure.

Environ 10 heures avant l’attaque, 8 nouveaux portefeuilles ont été préalablement approvisionnés via Tornado Cash — un mélangeur, capable de couper la relation entre la source et la destination des fonds.

Chaque portefeuille a reçu 0,1 ETH, pour payer tous les frais de Gas ultérieurs. Étant donné que ces fonds proviennent d’un mélangeur, sans KYC en échange ni historique de transactions, ils ne peuvent être liés à aucun acteur connu. Une ardoise propre.

Juste avant l’attaque, l’attaquant a effectué 3 transferts inter-chaînes depuis le réseau principal Ethereum vers Avalanche et Arbitrum — manifestement pour précharger du Gas sur ces deux L2, et tester le fonctionnement des ponts, afin d’assurer la fluidité lors de transf