4.04 Activités illégales dans le secteur des crypto-monnaies

Cette leçon s'appuie sur des informations tirées du "Crypto Crime Report" de 2022 publié par la plateforme de données sur la blockchain Chainalysis. Les auteurs du rapport fondent leurs estimations sur les données de la blockchain et, étant donné que les procédures de faillite et les procédures pénales liées à l'effondrement de certaines entreprises sont toujours en cours, leurs transactions ne sont pas incluses dans le "Crypto Crime Report" de cette année. Par conséquent, le rapport se concentre sur les activités illégales qui peuvent être suivies sur la chaîne.

 

Contenu

• Crypto-criminalité en 2022

• Sanctions

• Ransomware

• Blanchiment d'argent

• Fonds volés

• Marché du Darknet

• Escroquerie

• Tokens Pump n Dump

• Résumé des tendances de la criminalité liée aux crypto-monnaies en 2022

 

Criminalité liée aux crypto-monnaies en 2022

L'année dernière, les crypto-monnaies ont connu des turbulences inquiétantes sur les marchés. L'effondrement de sociétés de premier plan, telles que FTX, Celsius et Three Arrows Capital, entre autres, a suscité l'incertitude des investisseurs et attiré l'attention des régulateurs.

 

Malgré le ralentissement général du marché, le volume des transactions illégales a augmenté pour la deuxième année consécutive en 2022, atteignant le chiffre record de 20,6 milliards de dollars. Toutefois, les auteurs du rapport soulignent qu'il ne s'agit là que de l'estimation de la limite inférieure, car le volume des transactions illégales est susceptible d'augmenter avec la découverte de nouvelles adresses liées à des activités criminelles

 

Il convient de souligner que l'activité illégale dans le domaine des crypto-monnaies représente toujours une faible part du volume total des transactions en crypto-monnaies, soit moins de 1 %. Il convient également de noter que, malgré le bond de cette année, la part de la criminalité dans l'activité totale liée aux crypto-monnaies affiche une tendance à la baisse.

 

Sanctions

43 % du volume des transactions illégales en 2022 provenaient d'activités liées à des entités sanctionnées.

Plusieurs services liés aux crypto-monnaies ont été désignés comme entités sanctionnées par l'OFAC (Office of Foreign Assets Control) en 2022. Trois d'entre eux en particulier méritent d'être signalés car ils mettent en évidence les défis uniques que pose l'application des sanctions contre différents types d'entités liées aux crypto-monnaies.

Il s'agit de

• Hydra - place de marché du darknet (à un moment donné, la plus grande place de marché du darknet au monde basée en Russie, facilitant la vente de drogues et offrant des services de blanchiment d'argent),

• Garantex - Bourse de crypto-monnaies (une bourse de crypto-monnaies à haut risque basée en Russie qui a été sanctionnée pour des activités de blanchiment d'argent),

• Tornado Cash - mélangeur décentralisé (un service de mélange décentralisé sur la blockchain Ethereum qui a été sanctionné pour avoir facilité le blanchiment d'argent, principalement de fonds volés par des cybercriminels liés à la Corée du Nord).

Ventilation de la source des fonds provenant de chaque entité sanctionnée dans les 60 jours précédant l'imposition des sanctions à leur encontre :

• Hydra

Il présente de loin l'activité criminelle la plus élevée des trois services, avec 68,2 % de tous les fonds entrants provenant d'adresses illégales et 12,6 % d'adresses à risque.

• Garantex

6,1 % des entrées de fonds provenaient de sources illégales et 16,1 % d'adresses considérées comme risquées. Si 6,1 % peut sembler une faible part du total des entrées, c'est un chiffre élevé par rapport aux autres bourses centralisées, qui n'ont reçu en moyenne que 0,3 % de fonds provenant de sources illégales au cours de la même période.

• Tornado Cash

34 % des fonds envoyés à Tornado Cash provenaient de sources illégales.

Au cours des 60 jours précédant les sanctions, Garantex et Hydra ont reçu des fonds provenant d'un large éventail d'entités illicites, y compris des sociétés de fraude ou des individus associés à des ransomwares.

Au cours de cette période, Hydra a reçu environ 176 000 dollars en crypto-monnaies provenant d'adresses liées à des ransomwares, ce qui représente 2,2 % de tous les fonds envoyés par de telles adresses. Garantex, quant à lui, a reçu 931 000 dollars d'adresses liées à des ransomwares, soit 11,6 % de l'ensemble des fonds envoyés par ces adresses. Ces chiffres montrent que ces services - en particulier Garantex - ont joué un rôle crucial dans les attaques par ransomware.

Tornado Cash était impliqué dans des activités illégales, se concentrant principalement sur deux types de cybercriminalité : le piratage et les escroqueries. 99,7 % de tous les fonds illégaux reçus par Tornado Cash dans les 60 jours précédant sa sanction étaient des fonds volés. Le piratage d'Harmony Bridge qui a eu lieu en juin 2022 (environ 45 jours avant que Tornado Cash ne soit sanctionné) a apporté environ 65,7 % du total des fonds volés au mixeur au cours de cette période.

Principales conclusions : L'impact des sanctions sur les crypto-monnaies dépend de la juridiction et des contraintes techniques.

• Premièrement, l'affaire Hydra montre que les sanctions peuvent être extrêmement efficaces à l'encontre d'entités ayant des opérations clés dans des juridictions coopérantes (les serveurs d'Hydra étaient situés en Allemagne - les services répressifs allemands se sont coordonnés avec les agences américaines et ont saisi les serveurs d'Hydra).

• Deuxièmement, le cas de Garantex illustre ce qui se passe lorsque la coopération internationale fait défaut. Il est difficile de sanctionner efficacement des entités dont les juridictions d'origine n'ont pas de canaux formels de coopération avec la juridiction sanctionnatrice.

• Troisièmement, les cas des services décentralisés (tels que Tornado Cash) sont plus compliqués. Les sanctions à l'encontre des services décentralisés servent davantage à décourager l'utilisation du service qu'à l'interrompre complètement.

 

Logiciels rançonneurs

Les revenus générés par les ransomwares diminuent car de plus en plus de victimes refusent de payer.

Les auteurs de ransomwares ont extorqué au moins 456,8 millions de dollars aux victimes en 2022, contre 765,6 millions de dollars l'année précédente. Les auteurs du rapport soulignent que les totaux réels sont plus élevés car certaines adresses de crypto-monnaies contrôlées par les auteurs de ransomwares n'ont pas encore été identifiées sur la blockchain

 

Bien que les données montrent une nette diminution des paiements de ransomware, cela ne signifie pas que ces attaques ont diminué dans la même mesure. Selon les experts, cette baisse peut être due au fait que de plus en plus d'organisations refusent de payer des rançons aux cybercriminels qui utilisent des attaques par ransomware.

Qu'est-ce qui explique ce changement ?

• Le paiement de rançons est devenu plus risqué sur le plan juridique (en ce qui concerne le paiement à des entités sanctionnées).

• Le point de vue des compagnies d'assurance cybernétique, qui remboursent généralement les victimes pour les paiements effectués à la suite d'un ransomware (de nos jours, les entreprises doivent respecter des mesures strictes en matière de cybersécurité et de sauvegarde pour être assurées contre les ransomwares). Bien qu'une solution de sauvegarde efficace n'arrête pas les attaques de ransomware et n'apporte aucune aide en cas de perte de données, elle offre aux victimes davantage d'options pour qu'elles ne soient pas obligées de payer la rançon.

D'après les données disponibles, la plupart des auteurs d'attaques par ransomware transfèrent l'argent qu'ils reçoivent vers des bourses importantes et centralisées.

• La part des fonds provenant de ransomwares versés aux principales bourses est passée de 39,3 % en 2021 à 48,3 % en 2022.

• L'utilisation de services illégaux, tels que les places de marché du darknet, pour blanchir l'argent des ransomwares a également diminué, tandis que l'utilisation de mélangeurs a augmenté de 11,6 % à 15 %.

 

Évaluation de l'écosystème des ransomwares

Si la multiplicité des souches de ransomware existantes peut laisser penser que la concurrence est forte sur le marché, la réalité est tout autre : le nombre d'attaquants de ransomware est probablement assez faible.

La plupart des souches de ransomware fonctionnent selon un modèle de ransomware en tant que service, dans lequel les auteurs autorisent l'utilisation de leur logiciel par d'autres cybercriminels, appelés "affiliés", en échange d'un pourcentage des bénéfices. De nombreuses attaques sont menées par le même groupe d'affiliés, à l'aide de différentes souches de ransomware.

Dans le graphique Chainalysis Reactor ci-dessous, les auteurs du "Crypto Crime Report" ont montré un affilié dont le portefeuille a reçu des dépôts provenant des souches de ransomware Dharma, Conti et BlackCat à des moments différents, ce qui indique que l'affilié a mené des attaques pour les trois souches.

 

L'analyse des données relatives aux ransomwares permet de conclure que l'écosystème des ransomwares ne doit pas être considéré comme un ensemble de souches distinctes, mais plutôt comme un petit groupe de pirates qui changent fréquemment de "marque" (ce phénomène fait paraître le secteur des ransomwares plus vaste qu'il ne l'est en réalité).

Blanchiment d'argent

Les adresses illégales ont envoyé pour près de 23,8 milliards de dollars de crypto-monnaies en 2022, soit une hausse de 68 % par rapport à 2021.

L'objectif du blanchiment de crypto-monnaies est de dissimuler l'origine des fonds afin qu'il soit difficile de les relier à un crime. En fin de compte, le blanchiment d'argent implique la conversion de crypto-monnaies en monnaie fiduciaire et, dans la plupart des cas, cela se fait par le biais d'échanges de crypto-monnaies.

Le blanchiment d'argent en crypto-monnaie implique généralement deux types d'entités et de services sur la chaîne :

• Les services intermédiaires et les portefeuilles : Il peut s'agir de portefeuilles personnels (également appelés portefeuilles non hébergés), de mixeurs, de marchés du darknet et d'autres services à la fois légaux et illégaux. Les criminels spécialisés dans les crypto-monnaies utilisent généralement ces services pour, par exemple, stocker temporairement des fonds.

• Les bretelles d'accès à la monnaie fiduciaire : Il s'agit des services qui permettent d'échanger des crypto-monnaies contre de la monnaie fiduciaire. Il s'agit de la partie la plus importante du processus de blanchiment d'argent, car les fonds ne peuvent plus être suivis grâce à l'analyse de la blockchain. La plupart des voies de sortie des monnaies fiduciaires sont des échanges centralisés.

 

Les adresses illégales ont envoyé pour près de 23,8 milliards de dollars de crypto-monnaie en 2022, soit une hausse de 68 % par rapport à 2021. Dans la plupart des cas, les principaux échanges centralisés ont été les destinataires des transferts, recevant un peu moins de la moitié de tous les fonds envoyés à partir d'adresses illégales.

 

De plus en plus d'argent illicite est destiné aux protocoles DeFi, car ces derniers ont été la cible la plus fréquente des attaques en 2022. À la suite de ces attaques, les pirates se retrouvent généralement avec des jetons moins populaires (pour la plupart non cotés sur les principales bourses centralisées), qui nécessitent l'utilisation de bourses décentralisées (DEX) pour les échanger contre des crypto-monnaies plus populaires.

Utilisation de mélangeurs

Les mixeurs sont des services populaires utilisés par les criminels en crypto-monnaies, recevant 8 % de tous les fonds envoyés depuis des adresses illégales en 2022. L'année dernière, l'OFAC a sanctionné pour la première fois des mixeurs, d'abord Blender.io puis Tornado Cash, pour leur rôle dans le blanchiment de crypto-monnaies volées par le Lazarus Group de Corée du Nord.

La sanction de mixeurs connus peut avoir contribué à deux tendances observées en 2022 :

• le montant total de crypto-monnaie envoyé aux mixeurs a considérablement diminué,

• les fonds envoyés aux mixeurs étaient plus susceptibles de provenir de sources illégales.

Les mixeurs ont traité un total de 7,8 milliards de dollars en 2022, dont 24 % provenaient d'adresses illégales.

Il convient également de noter que la grande majorité des fonds illégaux traités par les mixeurs sont des fonds volés, dont une grande partie a été volée par des pirates informatiques liés à la Corée du Nord.

Concentration du blanchiment d'argent dans les services d'échange de monnaie fiduciaire

Les services d'échange de monnaies fiduciaires, tels que les bourses, permettent aux criminels de convertir les crypto-monnaies en monnaies fiduciaires, ce qui est probablement leur principale cible pour le blanchiment d'argent. D'autre part, ces services sont parmi les plus réglementés et leurs équipes de conformité jouent un rôle important dans la détection des activités illégales, la prévention des flux de fonds illicites et leur conversion en espèces.

En 2022, on a dénombré 915 bretelles d'accès uniques aux devises fiduciaires recevant des crypto-monnaies illégales (contre 1 124 en 2021). Parmi les fonds illégaux reçus par les bourses, 67,9 % sont allés à cinq services seulement, qui sont tous des bourses centralisées.

"Les services clandestins de blanchiment d'argent sont de plus en plus préoccupants”

Une autre tendance en matière de blanchiment d'argent, observée par Chainalysis, est la croissance des services clandestins qui ne sont pas aussi accessibles au public ou aussi connus que les mélangeurs standard (généralement accessibles via le navigateur TOR et dont la plupart ne sont annoncés que sur les forums du darknet). Ces services déplacent généralement des crypto-monnaies vers des bourses pour le compte de cybercriminels, les échangent contre des devises fiduciaires ou des crypto-monnaies "propres", puis les renvoient aux cybercriminels.

 

Fonds volés

2022, la plus grande année de l'histoire pour les vols de crypto-monnaies avec une valeur totale de 3,8 milliards de dollars. 

 

Les protocoles DeFi sont les plus grandes victimes du piratage

Au cours de l'année écoulée, 82,1 % du montant total volé par les pirates provenait des protocoles DeFi, soit 3,1 milliards de dollars (une augmentation de 73,3 % par rapport à 2021). Les auteurs du rapport soulignent que 64 % de ces fonds volés provenaient de protocoles de ponts inter-chaînes. Les ponts sont des cibles attrayantes pour les pirates car les contrats intelligents deviennent de puissantes collections centralisées de fonds soutenant des actifs qui ont été "pontés" vers une nouvelle chaîne.

Comment rendre la DeFi plus sûre ?

Solutions recommandées :

• Audit du code DeFi par des fournisseurs tiers 

• Tester les protocoles à l'aide d'attaques simulées

• La surveillance étroite du mempool pour détecter toute activité suspecte sur les contrats intelligents.

Le rapport indique que les régulateurs peuvent également jouer un rôle important à cet égard et contribuer à rendre la DeFi plus sûre en fixant des normes de sécurité minimales que les développeurs de protocoles devraient respecter.

Pirates informatiques liés à la Corée du Nord

Les pirates informatiques liés à la Corée du Nord (comme ceux du Lazarus Group) ont battu leurs propres records en 2022, en dérobant des crypto-monnaies d'une valeur estimée à 1,7 milliard de dollars. La plupart des experts s'accordent à dire que le gouvernement nord-coréen utilise ces fonds volés pour financer ses programmes d'armement nucléaire.

Sur ce total, 1,1 milliard de dollars ont été volés par le biais de piratages des protocoles DeFi. La raison pour laquelle les pirates liés à la Corée du Nord ont tendance à envoyer une grande partie de ce qu'ils volent à d'autres protocoles DeFi est que, lors de leurs attaques, ils acquièrent de grandes quantités de jetons non liquides qui ne sont pas cotés sur des bourses centralisées. Les pirates doivent donc se tourner vers d'autres protocoles DeFi (généralement DEX) pour les échanger contre des actifs plus liquides.

Les pirates liés à la Corée du Nord représentent une menace sérieuse pour l'écosystème des crypto-monnaies. Toutefois, les services répressifs sont en mesure de les combattre de plus en plus efficacement. La saisie de 30 millions de dollars de fonds volés par des pirates nord-coréens qui ont mené une attaque sur le pont Axie Infinity Ronin en est un exemple. Il s'agit du premier incident de ce type dans l'histoire, ce qui montre que les services répressifs disposent de moyens de plus en plus importants pour lutter contre la criminalité liée aux crypto-monnaies.

 

Marchés du darknet

En 2022, les revenus des marchés du darknet ont diminué par rapport à l'année précédente.

En 2022, les revenus du marché du darknet se sont élevés à 1,5 milliard de dollars, contre 3,1 milliards de dollars en 2021.

 

Hydra Market est arrivé en tête des marchés du darknet les plus lucratifs en 2022, bien qu'il ait été sanctionné par l'OFAC et fermé dans le cadre d'une opération combinée américano-allemande en avril - aucun autre marché n'a surpassé son avantage en termes de revenus.

Le rapport, préparé par Chainalysis, explique qu'Hydra offrait à ses clients des services légitimes de type commercial, en fournissant des commodités et un service clientèle. Par exemple, Hydra proposait un service permettant aux utilisateurs de vérifier la pureté des médicaments. En outre, Hydra fournissait un robot Telegram qui pouvait aider les utilisateurs en cas d'overdose, et aidait également les vendeurs à contacter des avocats.

La fermeture d'Hydra a entraîné une baisse des revenus des marchés du darknet dans l'ensemble du secteur : le revenu quotidien moyen pour tous les marchés est passé de 4,2 millions de dollars à 447 000 dollars immédiatement après la fermeture d'Hydra.

Escroqueries

Les revenus des escroqueries liées aux crypto-monnaies ont chuté de 46 % en 2022.

Bien que les escroqueries restent la forme la plus importante de criminalité basée sur les crypto-monnaies, les revenus de ce domaine ont chuté de manière significative, passant de 10,9 milliards de dollars en 2021 à 5,9 milliards de dollars en 2022. Il convient à nouveau de souligner que les chiffres indiqués représentent la partie inférieure des estimations et sont susceptibles de changer à mesure que Chainalysis identifie davantage d'adresses liées à ces activités.

Bien que les revenus de cette catégorie aient diminué en 2022, plusieurs escroqueries très "réussies" ont été observées. La plus importante étant Hyperverse, qui a rapporté près de 1,3 milliard de dollars de revenus. En 2022, la fraude à l'investissement a dominé en tant que catégorie majeure et a généré le plus de revenus parmi toutes les activités illégales dans ce domaine.

Voici un bref aperçu des catégories d'escroqueries suivies par Chainalysis :

• Les escroqueries par cadeaux - les escrocs se font passer pour des célébrités et promettent plus de crypto-monnaies en échange de l'envoi de fonds.

• Les escroqueries par usurpation d'identité - les fraudeurs se font passer pour des personnes en position d'autorité et disent aux victimes qu'elles doivent leur envoyer des fonds pour résoudre un problème ou éviter des ennuis.

• Les escroqueries à l'investissement - les escrocs font la promotion d'une fausse société d'investissement en promettant d'énormes profits.

• Les escroqueries au NFT - les fraudeurs incitent les victimes à acheter de faux NFT qui sont censés ressembler à des collections notables.

• Les escroqueries à la romance - les escrocs prétendent établir une relation amoureuse avec la victime pour la convaincre de leur envoyer de l'argent. Il peut également s'agir d'escroqueries au "dépeçage de porc", qui combinent des éléments de romance et de fraude à l'investissement.

 

Le dépôt moyen des victimes d'escroquerie à la romance s'élevait à près de 16 000 dollars, soit près du triple de la catégorie la plus proche.

Les revenus tirés des escroqueries sont généralement en corrélation avec le cours du bitcoin, mais tous les types de délits ne suivent pas le même schéma. Par exemple, les escroqueries à la romance visent davantage à établir une relation personnelle avec la victime. L'objectif principal de la victime n'est pas de s'enrichir rapidement, mais plutôt d'aider une personne qu'elle considère comme un partenaire potentiel.

Jetons "Pump 'n Dump

24 % des nouveaux jetons lancés en 2022 présentaient des caractéristiques de type "pump and dump".

Dans le monde des crypto-monnaies, l'utilisation de systèmes de "pump and dump" (augmentation artificielle du prix pour attirer les investisseurs, suivie de la vente des jetons par leurs créateurs, ce qui entraîne une forte baisse de la valeur et des pertes pour les investisseurs) est devenue courante. Cela s'explique par la facilité avec laquelle les fraudeurs peuvent lancer un nouveau jeton sur le marché et gonfler artificiellement son prix et sa capitalisation boursière en contrôlant le volume des échanges et l'offre du jeton. De nombreux projets et jetons sont lancés par des équipes anonymes, ce qui permet aux criminels de réaliser de nombreuses escroqueries de ce type.

L'année dernière, plus de 1,1 million de nouveaux jetons ont été lancés sur le marché. Cependant, la plupart d'entre eux n'ont pas réussi à gagner en popularité auprès de la communauté des crypto-monnaies, ce qui a été mesuré par le nombre d'échanges effectués sur les bourses.

Sur les 1,1 million de jetons lancés en 2022, les créateurs du rapport ont identifié, sur la base de critères spécifiques, 40 521 jetons qui ont gagné suffisamment de popularité sur les DEX pour être analysés. Il s'est avéré que 9 902 d'entre eux, soit 24 %, ont vu leur prix chuter au cours de la première semaine suivant leur lancement, ce qui indique qu'ils ont été créés pour escroquer les autres (en utilisant un système de "pump and dump").

Les créateurs du rapport ont constaté que 445 individus ou groupes étaient responsables de près de 10 000 jetons suspects lancés en 2022. Le créateur de jetons soupçonnés de pump-and-dump le plus actif identifié a lancé 264 jetons en 2022.

Résumé des tendances de la criminalité liée aux crypto-monnaies en 2022

• Le volume des transactions illégales a atteint un niveau record de 20,6 milliards de dollars.

• 43 % du volume des transactions illégales provenaient d'activités liées à des entités sanctionnées.

• Les revenus provenant des ransomwares ont baissé car de plus en plus de victimes ont refusé de payer.

• Les adresses illégales ont envoyé pour près de 23,8 milliards de dollars de crypto-monnaies, soit une hausse de 68 % par rapport à l'année précédente.

• 2022 a été l'année la plus importante en termes de vols de crypto-monnaies, avec une valeur totale de 3,8 milliards de dollars.

• Les revenus des marchés du darknet ont diminué par rapport à l'année précédente.

• Les revenus tirés des escroqueries sur les crypto-monnaies ont chuté de 46 %.

• 24 % des nouveaux jetons lancés présentaient des caractéristiques d'escroquerie de type "pump and dump".

Les activités criminelles liées aux crypto-monnaies représentent moins de 1 % du volume total des transactions en crypto-monnaies et, malgré le pic de cette année, leur part dans le total des activités liées aux crypto-monnaies est en baisse.