Key Takeaways:
Des pirates informatiques liés au groupe Lazarus de Corée du Nord blanchissent activement 290 millions de dollars en cryptomonnaies volés au protocole DeFi KelpDAO, déplaçant les fonds sur les réseaux Ethereum et Bitcoin.
Les données on-chain d'analystes, dont ZachXBT et des sociétés comme Arkham et PeckShield, ont confirmé les mouvements de fonds, qui ont débuté mardi pendant les heures européennes.
Le blanchiment implique deux transferts importants de 117 millions et 58 millions de dollars sur Ethereum, avec au moins 1,5 million de dollars transférés vers Bitcoin via THORChain et des montants plus faibles acheminés via le protocole de confidentialité Umbra, selon les enquêteurs blockchain.
L'exploitation, l'une des plus importantes de 2026, souligne les risques de sécurité persistants dans la DeFi et a entraîné un gel partiel des fonds, mettant la pression sur les attaquants pour déplacer les 175 millions de dollars restants avant qu'ils ne soient sécurisés.
L'incident a commencé le 18 avril lorsque des attaquants ont exploité le protocole de liquid restaking KelpDAO, drainant 116 500 jetons rsETH d'une valeur d'environ 290 millions de dollars. Le vecteur d'attaque consistait à compromettre des serveurs du protocole de messagerie LayerZero, que KelpDAO utilisait pour la communication cross-chain. En injectant des messages falsifiés, les pirates ont autorisé le transfert illicite. Un différend public a éclaté depuis, LayerZero blâmant la configuration de sécurité spécifique « single-DVN » de KelpDAO, une caractérisation que KelpDAO a contestée.
À la suite du vol, les attaquants ont entamé une opération de blanchiment sophistiquée. Les techniques — utilisation de ponts cross-chain comme THORChain et d'outils de confidentialité comme Umbra — sont cohérentes avec les méthodes précédemment attribuées au groupe Lazarus. L'opération consiste à diviser les fonds et à les déplacer via de multiples canaux pour masquer leur origine.
Lors d'une intervention significative, le Conseil de sécurité d'Arbitrum, agissant sur la base d'informations fournies par les forces de l'ordre, a gelé 30 766 ETH (d'une valeur de plus de 71 millions de dollars) liés à l'exploitation avant qu'ils ne puissent être transférés hors de son réseau. Cette action, bien que saluée par certains pour avoir récupéré une partie substantielle des fonds, a également suscité un débat sur le niveau de centralisation et les pouvoirs d'urgence au sein des écosystèmes de couche 2.
Le gel partiel semble avoir forcé la main des attaquants, accélérant leurs efforts pour blanchir les 175 millions de dollars restants. Les données on-chain montrent que les fonds sont activement acheminés d'Ethereum vers Bitcoin, suggérant une course pour déplacer les actifs hors de portée des gels centralisés.
Les enquêteurs suivent de près le flux de fonds vers des portefeuilles associés au sous-groupe du groupe Lazarus connu sous le nom de TraderTraitor. L'ampleur du piratage et les techniques de blanchiment sophistiquées sont susceptibles de déclencher une réaction forte de la part des régulateurs, qui pourraient accroître la surveillance des ponts cross-chain et des mélangeurs de confidentialité comme canaux clés pour les flux de fonds illicites. L'incident constitue un test critique tant pour les capacités de traçage on-chain des forces de l'ordre que pour la capacité de la communauté DeFi à répondre et à atténuer les violations de sécurité à grande échelle.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
