Au cœur de l'outil de blanchiment de Crypto préféré de la Corée du Nord : THORChain

John-Paul Thorbjornsen, ancien pilote de l'armée de l'air australienne devenu entrepreneur en Crypto , a passé ces dernières semaines à promouvoir son nouveau portefeuille de Crypto , « Vultisig ». Basé sur THORChain , une blockchain qu'il a fondée pour permettre les échanges de Crypto sans intermédiaires, le principal argument de vente de ce portefeuille est sa plus grande difficulté à pirater que des applications similaires.

Récemment, Vultisig — ainsi que le réseau THORChain lui-même — a connu une pic d'activité, mais les experts en sécurité ont attribué cette croissance à une source inquiétante : le groupe de pirates informatiques nord-coréen Lazarus.

Après févrierUn piratage informatique de 1,4 milliard de dollars de la plateforme d'échange de Crypto Bybit — le plus grand cyberbraquage de l'histoire — THORChain s'est révélé être au cœur des opérations de blanchiment d'argent de la Corée du Nord. Les chercheurs ont suivi près de 1,2 milliard de dollars — soit 85 % — des fonds volés via le réseau, qui est devenu le principal outil du régime de Kim pour déplacer des Crypto entre les blockchains.

Contrairement à d'autres services blockchain, les opérateurs de THORChain ont refusé de bloquer les transactions liées au vol Bybit, malgré les demandes du FBI et d'autres agences gouvernementales. Les portefeuilles THORChain comme Asgardex et Vultisig, outils que la plupart des utilisateurs utilisent pour effectuer des transactions sur le réseau, n'ont T bougé non plus.

Selon les estimations des chercheurs en sécurité de la blockchain qui ont parlé à CoinDesk, les principaux développeurs et validateurs de portefeuilles de THORChain - dont beaucoup sont publiquement identifiés et basés dans des juridictions dotées de réglementations strictes en matière de lutte contre le blanchiment d'argent, y compris les États-Unis - ont gagné plus de 12 millions de dollars en frais liés au braquage.

Thorbjornsen, connu publiquement sous le nom de JP Thor, insiste sur le fait qu'il n'est plus impliqué dans les opérations quotidiennes de THORChain, tout en restant son principal défenseur. « Le protocole continue de fonctionner et d'échanger malgré le chaos », a-t-il déclaré à CoinDesk. « Il se porte très bien, en fait. »

L'Office of Foreign Assets Control (OFAC) des États-Unis a déjà sanctionné des services de blockchain utilisés dans le cadre du blanchiment d'argent, tels que l'application de mixage Tornado Cash (qui a depuis étéradiéaprès undécision de justice) et Bitzlato, un échange. Les procureurs ont également inculpé des opérateurs derrière des plateformes similaires.

Pour les experts juridiques et la communauté Crypto , la question de savoir si THORChain — une blockchain de couche 1 — doit être traitée différemment de ces autres services relance un débat fondamental auquel sont confrontées pratiquement toutes les plateformes Crypto : le réseau est-il vraiment décentralisé ?

Les critiques affirment que ce n'est T le cas, du moins en comparaison avec des blockchains populaires comme Bitcoin et Ethereum, moins surveillées pour avoir facilité des transactions illicites. Les partisans de THORChain « prétendent qu'il est décentralisé lorsque cela est pratique, mais ils profitent de ce [piratage de Bybit] », a déclaré Taylor Monahan, chercheur en sécurité blockchain. « C'est une très mauvaise image. »

Les frais de transaction de THORChain, notamment ceux perçus par ses applications de portefeuille, gérées par de petites équipes de développeurs, compliquent encore davantage sa défense. Selon un ancien fonctionnaire du Trésor américain, « Quiconque tire profit des frais liés au mouvement de fonds piratés, déjà publiquement attribués à Lazarus et à la Corée du Nord, est potentiellement confronté à un problème avec l'OFAC. »

Même certains des plus fervents partisans de THORChain s'inquiètent. « Lorsque l'immense majorité de vos flux seront des fonds volés à la Corée du Nord pour le plus grand braquage de l'histoire de Human , cela deviendra un enjeu de sécurité nationale », a averti un développeur de THORChain connu sous le nom de « TCB » sur Twitter. X« Ce T plus un jeu. »

Le plus grand piratage informatique de l'histoire

Le piratage de Bybit, une importante plateforme d'échange de Crypto basée à Dubaï, en février, était d'une ampleur considérable, même selon les normes du groupe Lazarus, l'unité cybernétique d'élite nord-coréenne à l'origine de la plupart des attaques. les plus gros braquages ​​de Cryptode la dernière décennie.

Le piratage a eu lieu après que le fondateur de Bybit a été piégé et amené à interagir avec un site web compromis par Lazarus. Cette erreur a permis aux pirates d'accéder à certains des principaux portefeuilles Ethereum de Bybit. Ils ont dérobé 1,4 milliard de dollars en jetons Ethereum (ETH) à la plateforme d'échange.

Les blanchisseurs nord-coréens, bien rodés après des années de vols de Crypto à gros budget, ont immédiatement commencé à répartir leur butin record sur une série de nouveaux portefeuilles de Crypto - la première étape d'un voyage complexe conçu pour convertir les Crypto sales en argent propre.

« La RPDC utilise des technologies de pointe pour blanchir les Cryptomonnaie», explique Andrew Fierman, responsable du renseignement de sécurité nationale chez Chainalysis. Après avoir transféré les fonds « via un grand nombre de portefeuilles intermédiaires », les blanchisseurs utilisent des « passerelles inter-chaînes » pour transférer les fonds volés vers différents actifs, tels que Bitcoin, Ethereum, TRON, Solana et autres.

THORChain s'est avéré essentiel à l'étape de transition, servant d'intermédiaire pour l'échange de jetons entre les blockchains - souvent à plusieurs reprises, pour égarer les enquêteurs sur leur piste.

« Avant l'existence de THORChain , il n'y avait aucun moyen de passer d' Ethereum à Bitcoin sans être gelé », explique Monahan, chercheur en sécurité chez MetaMask.

Les services d'échange centralisés, notamment les plateformes d'échange de Crypto comme Coinbase et Binance, exigent que les utilisateurs enregistrent leurs comptes, sous peine de voir leurs fonds illicites saisis. La plupart des services décentralisés, quant à eux, manquent de liquidités pour prendre en charge des transactions de l'ampleur de celles du groupe Lazarus.

Mettre en demeure

Le lendemain du piratage de Bybit, le volume d'échange quotidien de THORChain a dépassé les 529 millions de dollars – sa plus forte journée de trading historique, selon les données de DeFiLlama. Les volumes ont continué à grimper pendant les jours suivants, générant des millions de dollars de frais pour les validateurs, les fournisseurs de liquidités et les services de portefeuille de THORChain.

Le 27 février, le FBI a diffusé une liste d'adresses blockchain liées à la RPDC et a exhorté « les entités du secteur privé, y compris les opérateurs de nœuds RPC, les échanges, les ponts, les sociétés d'analyse de blockchain, les services DeFi et d'autres fournisseurs de services d'actifs virtuels à bloquer les transactions avec ou dérivées de [eux] ».

À ce stade, de nombreux autres outils de Crypto utilisés par les blanchisseurs nord-coréens avaient déjà commencé à bloquer les activités liées aux braquages.

Tether, le plus grand opérateur de stablecoin, finira par 9 millions de dollars geléslié au braquage, et Mantle, unblockchain de couche 2 connecté à Ethereum, gelé 41 millions de dollars de plus. Une plateforme — un échange décentralisé exploité par la société OKX — a complètement suspendu ses services.

Pendant un instant, THORChain a semblé sur le point de Réseaux sociaux le mouvement. En réponse à l'avis du FBI, un groupe de validateurs de THORChain s'est coordonné pour stopper les échanges Ethereum sur le protocole, une mesure destinée à ralentir la fuite de fonds illicites. Mais cette interruption n'a duré que 30 minutes avant d'être annulée suite à la réaction de la communauté.

« Il n'y a aucune preuve, et il ne peut y en avoir, qu'une transaction signée et propagée provienne d'un emplacement géographique spécifique », a déclaré Thorbjornsen à CoinDesk, affirmant que tout lien entre THORChain et la Corée du Nord est « présumé » puisque les utilisateurs du réseau ne sont pas obligés de s'enregistrer.

L'inversion de la pause s'est avérée être un point de rupture pour certains membres de la communauté THORChain . « À compter d'aujourd'hui, je ne contribuerai plus à THORChain», a écrit le développeur principal du protocole, connu sous le nom de « Pluto », dans un communiqué. X post.

Théâtre de la décentralisation ?

Thorbjornsen et d'autres soutiennent que THORChain devrait être traité comme un protocole décentralisé comme Bitcoin ou Ethereum, qui n'ont pas bloqué les transactions après le braquage de Bybit.

Ils soulignent sa communauté de plus de 100 validateurs – des ordinateurs qui vérifient les transactions – comme preuve qu’aucune entité unique ne contrôle le système.

Le modèle de gouvernance de THORChain repose sur ces validateurs qui utilisent le jeton RUNE natif du réseau pour participer au consensus et obtenir des récompenses. En théorie, les décisions majeures du protocole nécessitent l'approbation d'une majorité qualifiée de ces validateurs, créant ainsi une structure de pouvoir décentralisée et résistante au contrôle centralisé.

Les critiques, cependant, affirment que le réseau n'est pas aussi décentralisé qu'on le prétend. En janvier, un seul développeurmis le réseau en pauselors d’une crise de liquidité — une action qui aurait dû nécessiter le consensus des validateurs si le système était plus décentralisé.

Lorsque THORChain était impliqué dans de précédentes opérations de blanchiment en Corée du Nord, « on nous avait dit qu'ils ne pouvaient rien faire contre les fonds illicites », a déclaré Monahan. « Pendant toute cette période, JP disposait d'une clé privée unique qui contrôlait l'ensemble du système. »

Thorbjornsen admet que la chaîne a été interrompue par un détenteur de clé administrative à un moment où THORChain était confronté à une menace « existentielle ».

La pause a été annoncée par un développeur sous le pseudonyme « Leena ». Thorbjornsen a créé le compte Leena au début du développement de THORChain et l'a initialement utilisé pour dissimuler sa véritable identité.

Il affirme désormais que le compte Leena n'est plus sous son contrôle exclusif et que quelqu'un d'autre a interrompu la chaîne conformément aux procédures de sécurité en vigueur. « La clé a été utilisée par un détenteur de clé – et il n'existe aucun registre des détenteurs de clés », a-t-il déclaré.

Pour Thorbjornsen, le débat sur qui contrôlait la clé d’administration passe à côté de l’essentiel.

« Au cours des deux premières années d'existence de Bitcoin , on aurait facilement pu affirmer que Bitcoin était complètement centralisé », a-t-il déclaré à CoinDesk, soulignant un exemple en 2010 oùSatoshi a mis à niveau la blockchain d'origine pour corriger un bug majeur.

« La décentralisation se mérite, et elle se mérite après des années d'expérience et de démonstration », a déclaré Thorbjornsen. « Toutes ces choses, comme la pause et la reprise… font partie du parcours de la décentralisation. »

Les affaires continuent comme d'habitude

Le 1er mars, le jour de trading le plus important de THORChain après le braquage de Bybit, le réseau a enregistré plus d'un milliard de dollars de swaps, soit plus que ce qu'il traite habituellement en un mois entier.

Cette activité a été une aubaine pour les fournisseurs d’infrastructure de THORChain — les services de portefeuille et les validateurs qui prennent une part de chaque transaction sur le réseau.

Selon Chainalysis, société d'analyse forensique de la blockchain, les opérateurs de nœuds THORChain ont perçu au moins 12 millions de dollars de commissions liées au vol de Bybit. Chainalysis a qualifié son estimation de « prudente ».

Selon des experts juridiques, ces frais pourraient, à terme, mettre les opérateurs de THORChain en difficulté. Un ancien fonctionnaire du Trésor américain a averti dans une interview accordée à CoinDesk que « tout cela se résume en grande partie à la question de savoir qui gagne de l'argent : s'agit-il d'un groupe concentré de personnes, et est-il relativement certain que [les fonds] proviennent d'acteurs malveillants ? »

Les applications de portefeuille comme Vultisig et Asgardex ont fait l'objet d'un examen particulier de la part des experts juridiques et de sécurité, car les applications « front-end » utilisées pour interagir avec les blockchains sont généralement considérées comme plus centralisées que les blockchains elles-mêmes.

Asgardex, ONEun des portefeuilles THORChain les plus populaires, a généré 1 million de dollars grâce aux transactions liées à Bybit, selon Monahan. « L'intérêt d'utiliser Asgardex » plutôt que les autres portefeuilles THORChain « est que vous T souhaitez T de suivi, ni de filtrage, ni quoi que ce soit », explique Thorbjornsen, qui a contribué au développement du programme.

Thorbjornsen affirme ne plus détenir de participation opérationnelle ou financière dans Asgardex, une plateforme open source qui peut techniquement être reprogrammée par ses utilisateurs pour fonctionner sans frais. Cependant, il a récemment activement promu VultiSig, son nouveau portefeuille THORChain résistant au piratage.

Le 20 mars, Thorbjornsen s'est vanté dans unX post Plus de personnes que jamais utilisaient l'application : « Les échanges Vultisig ont généré 200 000 $ de revenus jusqu'à présent ! » ZachXBT, un expert en Crypto connu pour ses enquêtes sur les cyberopérations de la Corée du Nord, a réagi en soulignant qu'« une bonne partie de ces revenus provient du piratage de Bybit ».

« Vultisig n'est pas une chaîne », a déclaré ZachXBT. «T exploitent une interface centralisée permettant aux utilisateurs d'interagir avec les protocoles moyennant des frais. »

Le 16 avril, Vultisig lance son jeton Crypto officiel : VULT. Ce jeton sera distribué gratuitement à certains des utilisateurs les plus fidèles du portefeuille.