Les pirates nord-coréens ont toujours accès à l’argent qu’ils ont volé à Axie Infinity
Le gang, que le département du Trésor a identifié comme le groupe Lazarus, également connu pour le piratage de Sony Pictures en 2014, a jusqu’à présent blanchi près de 100 millions de dollars – environ 17% – de la crypto volée, selon la société d’analyse de blockchain Elliptic. Ils ont déplacé leur butin au-delà de la portée immédiate des autorités américaines en le convertissant en la crypto-monnaie Ethereum, qui, contrairement à la crypto-monnaie qu’ils ont volée, ne peut pas être entravée à distance. Depuis lors, le gang s’est efforcé d’obscurcir les origines de la cryptographie principalement en envoyant des versements via un programme appelé Tornado Cash, un service connu sous le nom de mélangeur qui regroupe des actifs numériques pour cacher leurs propriétaires.
Les autorités et les principaux acteurs de l’industrie de la cryptographie se bousculent pour suivre le rythme. Le Trésor a sanctionné trois autres adresses associées au gang vendredi, alors que Binance, un grand échange crypto international, annoncé il avait gelé 5,8 millions de dollars de crypto que les pirates avaient transférés sur sa plate-forme.
Le jeu du chat et de la souris entre les forces de l’ordre et les pirates nord-coréens est un autre exemple de la façon dont les criminels ont appris à cibler les points faibles de l’économie croissante de la cryptographie. Ils exploitent le code défectueux dans les plates-formes cryptographiques décentralisées, utilisent des outils qui les aident à cacher leurs traces, telles que la conversion d’actifs en crypto-monnaies améliorant la confidentialité comme Monero, et profitent d’une coordination inégale des forces de l’ordre à travers les frontières internationales.
L’affaire nord-coréenne met également en lumière une industrie de la cryptographie désireuse de démontrer sa fiabilité aux régulateurs, aux investisseurs et aux clients, tout en conservant l’esprit de roue libre de la cryptographie. Certaines des plus grandes entreprises du secteur se disent favorables à la surveillance gouvernementale et vantent leurs investissements dans des programmes de conformité internes.
Pourtant, un examen par le Washington Post des comptes cryptographiques sanctionnés par le département du Trésor au cours de la dernière année et demie a trouvé quatre portefeuilles qui sont restés libres d’effectuer des transactions des mois après avoir été placés sur la liste noire de l’administration. Les défaillances apparentes sont dues à des programmes de conformité défectueux ou incomplets de Tether and Center Consortium, une paire de sociétés impliquées dans l’émission de soi-disant stablecoins, un type de crypto-monnaie dont la valeur est liée à un actif externe, généralement le dollar.
« Nous sommes à un moment particulièrement important : tout le monde est encore en train d’apprendre ce qui est possible et comment les attaques peuvent se produire, et la nature sans frontières de la cryptographie rend difficile l’application des normes à l’échelle mondiale », a déclaré Chris DePow, responsable de la conformité chez Elliptic. «Ce sont des gens qui agissent partout dans le monde. Même si vous appliquez très bien dans une juridiction, s’il y a d’autres juridictions avec une application plus faible, vous allez toujours vous retrouver avec un problème.
Les voleurs numériques sont sur la bonne voie pour une année record. Ils ont volé pour 1,3 milliard de dollars de crypto-monnaie au cours des trois premiers mois de l’année, après avoir saisi 3,2 milliards de dollars en 2021, selon la société de données blockchain Chainalysis. Les pirates en ont réussi un autre braquage majeur dimanche dernier, voler environ 76 millions de dollars d’actifs numériques à un projet de cryptographie appelé Beanstalk, selon les données d’Etherscan.
Alors que les succès des cybercriminels augmentent, l’urgence pour les autorités américaines augmente également, qui en sont venues à considérer les attaques comme des menaces à la sécurité nationale. Le groupe Lazarus, pour sa part, est une source de financement importante pour les programmes de missiles nucléaires et balistiques de la Corée du Nord, selon les enquêteurs des Nations Unies. Et au printemps dernier, des pirates informatiques russes ont temporairement entravé les opérations d’un pipeline de carburant américain critique et du plus grand fournisseur de viande au monde, ne cédant qu’après avoir collecté des rançons de plusieurs millions de dollars en crypto-monnaie. (Une grande partie de la rançon du Colonial Pipeline a ensuite été récupérée.)
L’invasion russe de l’Ukraine a aiguisé l’attention des décideurs politiques sur la question. Certains législateurs craignent que le gouvernement russe et les oligarques puissent utiliser la cryptographie pour échapper aux sanctions internationales étouffant leur accès aux canaux financiers traditionnels.
Jusqu’à présent, ils ne l’ont pas fait. « Il est difficile d’imaginer que cela se produise en utilisant la cryptographie », a déclaré jeudi la secrétaire au Trésor Janet Yellen. Mais le ministère signale également qu’il ne prend pas de risques. Il a imposé mercredi des sanctions contre la société russe de crypto-minage Bitriver et 10 de ses filiales, expliquant dans un communiqué que l’administration Biden « s’engage à garantir qu’aucun actif, aussi complexe soit-il, ne devienne un mécanisme permettant au régime de Poutine de compenser l’impact de les sanctions. »
Les autorités américaines continuent également de cibler les cybercriminels russes et les plateformes cryptographiques sur lesquelles ils s’appuient pour permettre leurs attaques. Plus tôt ce mois-ci, les forces de l’ordre américaines ont annoncé la fermeture du marché russe Hydra Market, un marché du dark net qui vendrait des informations personnelles piratées, des médicaments et des services de piratage.
Dans le cadre de la répression, le Trésor a également sanctionné Garantex, un échange cryptographique russe qui, selon le département, avait traité plus de 100 millions de dollars de transactions illégales, dont 2,6 millions de dollars associés à Hydra. Le Trésor a déclaré que cette décision s’appuyait sur les sanctions qu’il avait promulguées l’année dernière contre deux autres échanges cryptographiques russes, Suex et Chatex, qui opéraient tous à partir de la même tour de bureaux dans le quartier financier de Moscou.
Les désignations signifient que toute société de cryptographie interagissant avec le système financier américain devrait bloquer les transactions avec les entités sanctionnées, a déclaré DePow d’Elliptic. Pourtant, l’examen de The Post a révélé que ni Tether ni Center Consortium n’ont bloqué toutes les transactions impliquant des adresses sanctionnées.
Tether continue d’autoriser les transactions avec des comptes cryptographiques qui appartiendraient à Chatex, dont plus de la moitié des activités étaient liées à des activités illicites ou à haut risque, y compris des attaques de ransomwares, selon le Trésor. Une adresse Tether a reçu puis envoyé environ 15 000 $ aussi récemment que le 19 avril, selon un examen Post des données de la blockchain d’Etherscan. Un autre a reçu, puis envoyé, près de 42 000 dollars au cours des six derniers mois.
Dans un communiqué, Tether a déclaré qu’il « effectue une surveillance constante du marché pour s’assurer qu’il n’y a pas de mouvements irréguliers ou de mesures qui pourraient contrevenir aux sanctions internationales applicables ». Chatex n’a pas répondu aux demandes de commentaires.
Toutes les transactions impliquant des adresses sanctionnées ne sont pas néfastes : parfois, les échanges traditionnels regroupent des fonds détenus dans des comptes sanctionnés qui ne profitent plus aux pirates accusés qui les possédaient auparavant. Et parfois, le Trésor approuve des transactions individuelles avec des comptes sanctionnés
Par ailleurs, Center Consortium – une joint-venture entre les sociétés de cryptographie américaines Coinbase et Circle qui émet USD Coin, le deuxième plus grand stablecoin – n’a pas réussi à geler trois portefeuilles appartenant à des pirates informatiques russes jusqu’à des mois après que le Trésor les ait sanctionnés. Deux des comptes, mis sur liste noire en septembre 2020, appartiennent à Artem Lifshits et Anton Andreyev, employés du groupe de piratage russe qui a dirigé l’ingérence du pays dans l’élection présidentielle américaine de 2016. Un troisième était associé à Yevgeniy Polyanin, que le Trésor a sanctionné en novembre pour avoir mené des attaques de ransomware dans le cadre du gang cybercriminel REvil.
Center n’a gelé ces portefeuilles que le 29 mars, lorsqu’un porte-parole a déclaré que la société avait procédé à un examen des comptes sanctionnés et découvert qu’elle « n’avait tout simplement pas détecté ces adresses ». Les portefeuilles n’ont pas effectué de transactions pendant cette période.
« Nous examinons constamment ce que nous faisons pour nous assurer que nous sommes à la pointe de la technologie en matière de conformité », a déclaré le porte-parole du Centre. « Grâce à cet examen, nous avons identifié trois adresses qui avaient été manquées et nous avons agi immédiatement. »
Le Trésor exige que les entreprises américaines gèlent les comptes sanctionnés dès qu’il les met sur liste noire et signale qu’elles l’ont fait dans les 10 jours, a déclaré John Smith, ancien directeur du Bureau du contrôle des actifs étrangers du département et maintenant associé chez Morrison & Foerster. Le département peut appliquer des sanctions sévères aux contrevenants même s’ils ne savaient pas qu’ils n’étaient pas conformes, a-t-il déclaré, bien qu’il ait tendance à se concentrer sur des cas plus graves.
« Ils poursuivent des entités ou des individus qui, selon eux, ont intentionnellement ou imprudemment violé les sanctions », a déclaré Smith.
Un porte-parole du Trésor n’a pas répondu à une demande de commentaire.
Tornado non plus, lorsqu’il a été approché par l’intermédiaire d’un fondateur. Ce mélangeur est la façon dont celui qui a volé 75 millions de dollars au projet Beanstalk a également blanchi leur produit. Cela a contrarié l’investisseur AJ Pikul, qui dit il a perdu environ 150 000 $ dans le piratage. « Je ne suis pas du tout très heureux de pouvoir blanchir des fonds via la cryptographie, pour être honnête », a-t-il déclaré à The Post par e-mail.
« J’ai l’impression que nous sommes dans une course aux armements numériques entre les bons et les méchants », a-t-il déclaré.