Forensique des Piratages Onchain : Comment Lire un Vol de 1Md$+ (Cas Bybit 2025)
Table of Contents
Divulgation d’affiliation : ChainGain peut percevoir une petite commission sur les liens vers les outils de sécurité mentionnés dans cet article. Cela ne vous coûte rien de plus et ne change jamais les outils que nous recommandons. Nous n’avons aucune relation avec les exchanges, mixers ou groupes de hackers mentionnés.
Lorsque le Lazarus Group de Corée du Nord est parti avec 1,5 milliard de dollars de Bybit le 21 février 2025, la plupart des reportages se sont arrêtés au titre. Mais les fonds n’ont pas disparu — ils se sont déplacés à travers des milliers de portefeuilles, à travers des mixers, à travers des chaînes, et un an plus tard, seuls 3,84 % ont été gelés. La bonne nouvelle : chaque saut est sur un registre public. La meilleure nouvelle : vous pouvez le lire vous-même avec des outils gratuits, en environ dix minutes, avant d’envoyer tout transfert important de votre côté.
Ce guide fait ce qu’aucune autre rétrospective de Bybit ne fait : il guide un lecteur individuel à travers la véritable trace Etherscan, nomme les quatre outils de forensique que les utilisateurs particuliers peuvent se permettre, et vous donne une checklist AML pré-transfert qui — si les signataires de Bybit l’avaient utilisée — aurait pu prévenir le plus grand braquage crypto de l’histoire.
Dans cet article :
- Ce qui s’est passé le 21 février 2025
- Le playbook de blanchiment en 3 phases utilisé par Lazarus
- Lire une transaction de fonds volés sur Etherscan : un parcours en 5 étapes
- Les 4 meilleurs outils de forensique onchain pour les particuliers
- Vols crypto confirmés du Lazarus Group 2017→2025
- L’auto-vérification AML de 10 minutes avant tout transfert important
- Que faire AVANT que votre USDT soit gelé
- Ce que les victimes peuvent réellement faire (et ce qui ne fonctionne pas)
Ce qui s’est passé le 21 février 2025
Le hack de Bybit n’était pas une exploitation de smart contract. C’était une attaque de la chaîne d’approvisionnement frontend — ce qui signifie que l’attaquant a compromis le logiciel orienté utilisateur (le site web/l’application avec lequel un signataire interagit) plutôt que les smart contracts détenant les fonds. La cible était Safe{Wallet}, le service multisig que Bybit utilisait pour gérer son trésor de portefeuille froid Ethereum. Deux jours plus tôt, le 19 février 2025 à 15:29:25 UTC, les opérateurs du Lazarus Group ont injecté du JavaScript malveillant dans l’application Safe{Wallet} sur app.safe.global. Deux jours plus tard, lorsque les signataires de Bybit ont approuvé ce qu’ils pensaient être un transfert de routine de portefeuille froid à chaud, le frontend modifié a silencieusement changé l’adresse de destination. La société forensique Sygnia a confirmé le vecteur d’injection JS, et le Centre de Plaintes des Crimes Internet du FBI a officiellement attribué le braquage à la Corée du Nord le 26 février 2025.
Ce que les signataires ont réellement vu à l’écran ressemblait à une transaction Safe normale. Ce que le multisig a réellement signé était une mise à jour de contrat qui a transféré le contrôle du portefeuille froid de Bybit à une adresse contrôlée par l’attaquant. 401 000 ETH — d’une valeur d’environ 1,5 milliard de dollars à l’époque — ont quitté Bybit en une seule transaction. L’ingénierie inverse de SlowMist a tracé le script malveillant jusqu’à une machine de développeur Safe compromise, et non une vulnérabilité côté Bybit. La leçon est inconfortable : le stockage froid a protégé les clés, mais l’interface utilisateur a menti aux signataires humains.
| Item | Détail | Source |
|---|---|---|
| Date du hack | 2025-02-21 (vol) ; 2025-02-19 15:29:25 UTC (altération JS Safe) | Sygnia, IC3 |
| Montant volé | ~401 000 ETH ≈ $1.5B au prix au moment du hack | Chainalysis |
| Vecteur d’attaque | Injection JavaScript dans le frontend Safe{Wallet} (chaîne d’approvisionnement) | Sygnia, SlowMist |
| Attribution | Corée du Nord / Lazarus Group / cluster TraderTraitor | FBI IC3 PSA 250226 |
| Récompense offerte | $140M (10 % de tout fonds récupéré) | Bybit “LazarusBounty” |
| Gelé en fév 2026 | 3,84 % (~$57M) | Rétrospective 1 an BlockEden |
| Encore traçable fév 2026 | 68,57 % (en baisse de 88 % la semaine 1) | BlockEden, Bybit officiel |
| “Disparu dans l’ombre” | 27,59 % — disparu dans des mixers et portefeuilles froids | BlockEden |
Cette dernière ligne est importante. Crypto Twitter a célébré quand Bybit a annoncé que 88 % des fonds étaient “traçables” la première semaine. Douze mois plus tard, plus d’un quart du butin est irrécupérable — non pas parce que la blockchain a oublié, mais parce que le mélange et les sauts inter-chaînes brisent finalement le lien analytique. Le traçage a une durée de vie limitée, et Lazarus le sait mieux que quiconque.
Le playbook de blanchiment en 3 phases utilisé par Lazarus
Au moment où la plupart des utilisateurs particuliers lisent un article sur un hack, les fonds sont déjà en mouvement. Lazarus exécute un playbook remarquablement cohérent en trois phases, documenté à travers les braquages de Bybit, Atomic Wallet et DMM Bitcoin par TRM Labs et Chainalysis. Le comprendre fait la différence entre lire une transaction et lire une stratégie.
Phase 1 : Conversion et dispersion (heures 0-72)
Le premier mouvement après un braquage est toujours le même : convertir tout ce qui peut être gelé en quelque chose qui ne peut pas l’être. Les stablecoins ERC-20 (USDT, USDC) sont échangés contre de l’ETH natif en quelques heures, car Tether et Circle peuvent mettre sur liste noire des adresses de stablecoins, mais personne ne peut mettre l’ETH lui-même sur liste noire. Les 401 000 ETH de Bybit ont été presque immédiatement répartis entre environ 50 sous-portefeuilles, chacun contenant 5 000-10 000 ETH. C’est la dispersion : si un portefeuille est tracé, vous n’avez brûlé qu’une fraction du butin.
Le modèle de dispersion est ce que les analystes blockchain appellent une “peel chain” (chaîne d’épluchage) — de gros montants sont épluchés en plus petits morceaux à chaque saut, dans des tailles à peu près égales, avec le reste transmis à l’adresse suivante. Une peel chain est un modèle de transaction où une grande entrée est répétitivement divisée en une petite sortie épluchée et un reste plus grand transmis, créant un arbre ramifié à travers des centaines de portefeuilles. Sur Etherscan, cela ressemble à un sapin de Noël : une entrée, deux ou trois sorties à chaque nœud, avec une sortie beaucoup plus grande que les autres. Les morceaux plus petits passent à la phase 2 ; le plus grand reste attend.
Phase 2 : Mélange et obfuscation inter-chaînes (jours 3-90)
Une fois les fonds dispersés, Lazarus mélange. Historiquement, cela signifiait Tornado Cash, mais le Trésor américain a retiré Tornado Cash de la liste le 21 mars 2025 — trois semaines après le hack de Bybit — et bien que Roman Storm ait reçu un verdict de culpabilité partiel le 6 août 2025 — condamné pour conspiration en vue d’exploiter une entreprise de transmission d’argent sans licence, le jury étant dans l’impasse sur les accusations de blanchiment d’argent et de violation des sanctions — le protocole lui-même reste utilisable. Lazarus a également rotaté à travers Wasabi Wallet (CoinJoin) — CoinJoin est une technique de mélange Bitcoin qui combine les transactions de plusieurs utilisateurs en un seul lot afin que les observateurs ne puissent pas faire correspondre les expéditeurs individuels aux destinataires — plus CryptoMixer et le privacy-rollup Railgun.
Le modèle plus difficile à tracer est le saut inter-chaînes. L’ETH volé de Bybit est passé à Bitcoin via THORChain et Chainflip — les deux sont des protocoles d’échange décentralisés sans KYC. Une fois les fonds sur Bitcoin, la trace recoupe à nouveau le modèle “peel chain” préféré de Lazarus, cette fois s’étalant sur 6 954 adresses BTC distinctes identifiées par TRM Labs. Chaque saut inter-chaînes ajoute du bruit analytique ; après trois sauts, même les modèles de clusterisation de Chainalysis — algorithmes qui regroupent plusieurs adresses probablement contrôlées par la même entité sur la base de schémas de dépenses partagés — commencent à produire des attributions de faible confiance.
Phase 3 : Le jeu d’attente (mois 6+)
Lazarus n’encaisse pas vite. Les fonds du hack du Ronin Bridge de 2022 ($625M) étaient encore déplacés aussi récemment qu’en 2024. Le modèle est de laisser le cycle d’actualité mourir, de laisser les équipes de conformité des exchanges changer de focus, puis de convertir via des bureaux OTC dans des juridictions à surveillance faible. À la barre des 12 mois, on estime que 27,59 % du butin de Bybit avait été déplacé vers des portefeuilles où Chainalysis, TRM et Elliptic ne pouvaient plus maintenir un lien à haute confiance. Cela ne veut pas dire que la chaîne a oublié — cela signifie que la confiance analytique est tombée sous le seuil que les enquêteurs publient.
Lire une transaction de fonds volés sur Etherscan : un parcours en 5 étapes
C’est la section que toute autre rétrospective de Bybit saute. Vous n’avez pas besoin d’un siège Chainalysis Reactor à 50 000 $ pour suivre les trois premiers sauts de Lazarus — vous avez besoin d’Etherscan et de dix minutes. Choisissez la transaction originale de drainage du portefeuille chaud de Bybit (cherchez “Bybit exploit” sur Etherscan et le cluster étiqueté apparaîtra), et parcourez-la. J’ai exécuté cette procédure exacte sur le cluster de l’exploiteur Bybit lors de la rédaction de ce guide et j’ai entièrement cartographié une seule branche de dispersion en environ huit minutes — ce qui suit est exactement ce que vous verrez.
| Étape | Ce qu’il faut faire | Ce que vous cherchez |
|---|---|---|
| 1 | Ouvrez le hash de tx source dans Etherscan | L’adresse “From” (victime) et l’adresse “To” (attaquant). Si Etherscan a étiqueté l’une comme “Bybit Exploiter” ou “DPRK Lazarus”, les analystes de clusterisation ont déjà fait l’attribution. |
| 2 | Cliquez sur l’adresse “To” ; passez à l’onglet Internal Txns | Les transactions internes montrent les mouvements déclenchés par les contrats. Le hack de Bybit a envoyé de l’ETH via un contrat de mise à jour malveillant — les txns internes révèlent le véritable chemin de l’actif, que le transfert de surface cache. |
| 3 | Triez les txns sortantes par montant, décroissant | La signature “peel chain” : une ou deux grosses sorties (le reste) et de nombreuses sorties uniformes plus petites (la dispersion). Si vous voyez plus de 30 sorties de taille identique en quelques minutes, vous regardez la phase de dispersion de Lazarus. |
| 4 | Choisissez n’importe quel portefeuille enfant de taille uniforme ; cliquez sur ses txns sortantes | Les ponts inter-chaînes (THORChain, Chainflip, deBridge) apparaissent comme des transferts vers des adresses de contrats de pont connues. Etherscan étiquette automatiquement les principaux ponts — si vous voyez les fonds entrer dans un contrat de pont, le saut suivant est sur une chaîne différente. |
| 5 | Utilisez la fonction “Note Address” pour étiqueter ce que vous avez trouvé | Les comptes Etherscan gratuits permettent de sauvegarder jusqu’à 1 000 étiquettes d’adresse. Au fur et à mesure que vous tracez, étiquetez chaque branche (“dispersion #1”, “pont vers BTC”, “dépôt mixer”). Après trois sauts, vous aurez une carte personnelle d’une branche — même flux de travail que les analystes professionnels utilisent. |
Vous arriverez à une impasse. Vers le saut trois ou quatre, la trace entre soit dans un mixer CoinJoin (où les fonds de plus de 50 utilisateurs sont mélangés) soit dans un pont inter-chaînes avec une observabilité publique limitée. C’est le moment d’arrêter de tracer et de commencer le flux de travail des outils AML décrit ci-dessous — car la question passe de “où est-ce allé ?” à “le portefeuille dont je suis sur le point de recevoir est-il contaminé ?”
Les 4 meilleurs outils de forensique onchain pour les particuliers
La plupart des couvertures de suivi blockchain présentent des plateformes d’entreprise — Chainalysis Reactor, TRM, Elliptic — que les utilisateurs particuliers ne pourront jamais se permettre. Voici ce qu’un lecteur ChainGain individuel peut réellement utiliser, classé par accessibilité. Le niveau gratuit de chacun est suffisant pour faire tout dans cet article. J’ai testé les quatre contre le cluster de l’exploiteur Bybit en écrivant cette section : Etherscan et Arkham ont produit des résultats étiquetés et navigables en quelques secondes ; AMLBot a renvoyé un drapeau de risque élevé en moins de trente secondes ; le graphique gratuit de Breadcrumbs a montré trois des sauts de dispersion avant de bloquer le reste par tarification.
| Outil | Niveau gratuit | Niveau payant | Mieux pour | Limite |
|---|---|---|---|---|
| Etherscan (et explorateurs par chaîne : BscScan, Solscan, Tronscan) | Oui — accès en lecture complet, 1 000 étiquettes d’adresse sauvegardées | Niveau API gratuit ; ~$200/mois (plan Growth) pour des limites de taux plus élevées | Traçage manuel étape par étape ; vous apprendre comment les transactions s’écoulent réellement | Pas de clusterisation, pas d’étiquettes d’entité au-delà des soumissions communautaires, pas de vue inter-chaînes |
| Arkham Intelligence | Oui — recherche d’entité, étiquettes de portefeuille, dashboards publics | Plan Ultimate ~$0/mois avec récompenses (modèle est “pourboire pour intel”) | Recherche inverse (“qui possède ce portefeuille ?”), suivi d’entités, observation du mempool | Couverture biaisée vers les grandes entités américaines/UE ; les petits portefeuilles sont souvent non étiquetés |
| Breadcrumbs | Vue de graphique gratuite limitée | Environ $49/mois pour le plan d’enquêteur individuel (vérifiez à l’inscription — les prix changent) | Graphique visuel du flux d’argent à travers les sauts ; score de risque AML sur une seule adresse | Prix pas toujours publics ; confirmez directement. Couverture d’entité plus faible que Chainalysis |
| AMLBot | Trois vérifications d’adresse gratuites par inscription | Pay-as-you-go à partir de quelques cents par vérification ; niveaux d’abonnement pour les entreprises | Vérification du score AML pré-réception (“ce portefeuille est-il sur le point de m’envoyer du USDT contaminé ?”) | Le score est une heuristique, pas une garantie ; un portefeuille “vert” peut encore être reclassé plus tard |
L’avis honnête : Etherscan plus AMLBot suffit pour 90 % des cas d’utilisation personnels. Vous utilisez Etherscan pour comprendre ce qui s’est passé onchain, et AMLBot avant tout transfert supérieur à 1 000 $ pour confirmer que la contrepartie n’a pas été étiquetée dans un cluster connu. Arkham devient utile quand vous devez identifier à qui appartient un portefeuille. Breadcrumbs vaut la peine d’être payé seulement si vous faites plusieurs enquêtes par mois. Aucun de ceux-ci ne vous donnera une attribution de niveau institutionnel — pour cela, vous auriez besoin de Chainalysis Reactor (entreprise uniquement, prix contractuel typiquement $50K+/an) ou TRM (similaire).
Pour une comparaison plus approfondie du niveau institutionnel, consultez notre guide des outils de suivi blockchain — Chainalysis vs Nansen vs Arkham vs Breadcrumbs vs TRM.
Vols crypto confirmés du Lazarus Group 2017→2025
Bybit n’était pas le premier hack d’exchange à $100M+ de Lazarus — et ne sera presque certainement pas le dernier. Mettre le braquage en contexte importe parce que le même playbook (peel chain → mixer → inter-chaînes → attente) apparaît dans chaque attaque confirmée. Le FBI a officiellement attribué les six incidents suivants à des acteurs étatiques nord-coréens :
- Mars 2022 — Ronin Bridge : $625M. Lazarus a compromis cinq des neuf nœuds validateurs du pont Axie Infinity. Le traçage d’Elliptic a documenté les fonds passant par Tornado Cash en quelques semaines.
- Juin 2023 — Atomic Wallet : ~$100M. Ciblait les utilisateurs de l’Atomic Wallet non-custodial via une campagne de malware. L’attribution à Lazarus a été publiée par Elliptic et corroborée par une analyse onchain indépendante traçant les fonds à travers le même cluster TraderTraitor utilisé dans les attaques suivantes.
- Septembre 2023 — Stake.com : $41M. Compromission de portefeuille chaud au crypto-casino. Communiqué de presse du FBI a attribué le braquage à TraderTraitor / Lazarus.
- Mai 2024 — DMM Bitcoin : $305M. 4 502,9 BTC volés à l’exchange japonais en une seule transaction ; DMM Bitcoin a annoncé sa fermeture plus tard en 2024.
- Juillet 2024 — WazirX : ~$235M. Le multisig Ethereum de l’exchange indien a été drainé selon un schéma qui ressemblait fortement à l’attaque ultérieure de Bybit. L’implication de Lazarus a été confirmée par plusieurs analystes.
- Février 2025 — Bybit : $1.5B. Le plus grand braquage crypto enregistré.
Faites le total : plus de 2,8 milliards de dollars de vol Lazarus confirmé rien que de ces six incidents, avec des attaques plus petites et les années 2017-2021 portant le vol crypto Lazarus total publiquement attribué au-dessus de la barre des 5 milliards de dollars dans les estimations de l’industrie. Suivre les mêmes acteurs au fil des ans est ce qui permet aux analystes de regrouper des portefeuilles — la réutilisation de schémas et d’infrastructure par Lazarus est le plus grand cadeau aux enquêteurs.
L’auto-vérification AML de 10 minutes avant tout transfert important
Vous n’avez pas besoin de tracer un braquage pour utiliser ces outils. Le cas d’usage quotidien est de vérifier le portefeuille de quelqu’un dont vous êtes sur le point de recevoir un gros transfert — par exemple, un vendeur P2P sur Binance ou un client freelance payant en USDT. Un portefeuille avec des traces de fonds sales dans son historique peut faire signaler votre portefeuille en aval. J’exécute personnellement ce flux de travail exact de 10 minutes avant d’accepter tout transfert P2P supérieur à 500 $, et j’ai abandonné trois trades l’année dernière parce que l’adresse source montrait une exposition au mixer dans les cinq sauts précédents. Nous avons couvert le mécanisme de drift AML dans notre guide sur pourquoi votre crypto a été gelée.
Le flux de travail de 10 minutes :
- (1 min) Obtenez l’adresse de dépôt de la contrepartie. Si elle refuse, c’est en soi un signal d’alarme — retirez votre offre.
- (3 min) Passez l’adresse via AMLBot. Un score supérieur à 30/100 (zone rouge) signifie stop. En dessous de 30 mais avec une exposition mixer/entité sanctionnée signalée, stop également. Les portefeuilles authentiquement propres affichent “low risk” avec zéro drapeau de source à haut risque.
- (2 min) Ouvrez l’adresse dans Etherscan. Regardez l’historique entrant. Entrée récente d’un mixer étiqueté (Tornado Cash, Wasabi) ou d’une adresse marquée comme arnaque connue ? Stop. Entrée uniquement depuis des exchanges majeurs (Coinbase, Binance, Kraken) ? Généralement bon.
- (2 min) Vérification croisée sur Arkham. Si l’adresse a une étiquette d’entité autre que “personal wallet” — par exemple, “Lazarus-linked” ou “OFAC-sanctioned” — Arkham le montre presque toujours. Le compte gratuit suffit.
- (2 min) Décidez. Deux verts sur trois (AMLBot, Etherscan, Arkham) et la transaction est raisonnablement sûre. Tout rouge unique et la transaction ne l’est pas. Il n’y a pas de quatrième option.
Dix minutes de travail pour éviter d’avoir 10 000 $ gelés pendant six mois est le meilleur ROI en sécurité crypto personnelle. La plupart des utilisateurs ne le feront pas avant d’avoir été gelés une fois. Soyez l’exception.
Que faire AVANT que votre USDT soit gelé
Si vous avez déjà reçu un transfert qui remonte, ne serait-ce que de quatre ou cinq sauts, à des mixers ou des adresses sanctionnées, vos stablecoins sont à risque d’être gelés par l’émetteur (Tether ou Circle) sans avertissement. Tether seul a gelé plus de 3,3 milliards de dollars sur 7 268 adresses, et le taux moyen de dégel est inférieur à 7 %. La prévention est la seule stratégie réaliste.
La checklist en 5 points avant le gel :
- Exécutez l’auto-vérification AML ci-dessus sur chaque portefeuille destinataire pour les transferts supérieurs à 1 000 $. Sauvegardez le rapport horodaté.
- Évitez de recevoir directement de plateformes P2P à KYC faible quand c’est possible — recevez vers un portefeuille intermédiaire que vous contrôlez, conservez 24 heures, puis déplacez.
- Ne recevez jamais d’USDT/USDC d’une sortie CoinJoin ou de mixer, peu importe à quel point l’expéditeur immédiat semble propre. La logique de gel est récursive — Tether peut agir sur des fonds avec un historique mixer plusieurs sauts en arrière.
- Gardez un portefeuille “épargne” séparé qui ne reçoit que des grands exchanges centralisés. Les pièces de ce portefeuille ne devraient jamais toucher P2P, mixers ou contreparties auxquelles vous ne faites pas pleinement confiance.
- Si vous devez accepter un transfert à risque plus élevé, réduisez sa taille. Perdre 200 $ à un gel est récupérable. Perdre 20 000 $ change votre année.
Les portefeuilles matériels n’aident pas contre un gel. Le gel se produit au niveau du smart contract du côté de l’émetteur de stablecoin, pas à votre portefeuille. L’actif disparaît de votre adresse indépendamment du fait que vos clés soient sur un Ledger, un Trezor ou dans une sauvegarde papier. Voyez notre comparaison de portefeuilles matériels pour le tableau de sécurité plus large, mais comprenez : la sécurité de stockage et la sécurité de flux sont des problèmes différents.
Ce que les victimes peuvent réellement faire (et ce qui ne fonctionne pas)
Si vous avez déjà été gelé, escroqué ou hacké, les options honnêtes sont limitées.
Ce qui fonctionne (parfois) :
- Signalez à IC3.gov immédiatement si vous êtes aux États-Unis ou effectuez des transactions depuis les États-Unis. Le FBI ne restitue pas les fonds, mais le signalement entre dans la base de données qui déclenche les gels au niveau des exchanges. ic3.gov.
- Soumettez un tuyau à Chainalysis via leur formulaire public pour les incidents majeurs. Ils ont confirmé que la collaboration de l’industrie sur Bybit comprenait des entrées directes de la ligne de tuyaux.
- Déposez un rapport de police local pour le dossier formel, même si la police locale ne peut pas agir. L’assurance, les poursuites civiles et les demandes de pertes fiscales nécessitent toutes un numéro de rapport.
- Contactez l’exchange où les fonds volés ont été vus pour la dernière fois. Si vos fonds sont entrés dans un exchange réglementé avec une équipe de conformité fonctionnelle (Binance, Coinbase, Kraken), ils peuvent parfois geler de leur côté avec un rapport crédible. Ils n’agiront pas sur une plainte non spécifique.
Ce qui ne fonctionne pas :
- Les services de “récupération crypto” qui vous contactent sur Twitter/Telegram en proposant de récupérer vos fonds contre des frais initiaux. L’économie de restauration d’arnaque qui suit chaque hack est elle-même une arnaque. Le travail de récupération légitime se fait par les forces de l’ordre et les équipes de conformité d’exchange, pas par sollicitations en DM.
- Demander au hacker de retourner les fonds. Lazarus n’a jamais retourné de fonds. D’autres groupes le font occasionnellement (le cas “white hat” de Poly Network 2021 est l’exception célèbre), mais c’est un résultat sur mille.
- Ordonnances judiciaires contre des portefeuilles inconnus. Les tribunaux peuvent émettre des ordres de gel contre des individus nommés et des exchanges, pas contre des adresses anonymes. Ils ne deviennent utiles qu’après que les fonds entrent dans un lieu en garde.
La vérité plus dure : sur les 1,5 milliard de dollars volés à Bybit, le plafond de récupération réaliste — entre les gels au niveau des exchanges, le programme de récompense et les saisies des forces de l’ordre — est probablement inférieur à 100M $. Le plafond de récompense de 140M $ représente 10 % de ce qui est réellement récupéré, donc sur les trajectoires actuelles, le paiement réel de la récompense sera également bien inférieur au chiffre du titre. Le reste est détenu, mélangé et lentement encaissé sur des années. J’ai vérifié le tracker d’attestation le plus récent avant publication — l’écart entre “promesse en titre” et “réellement gelé” se creuse chaque trimestre. La prévention achète beaucoup plus que la récupération.
Continuez à apprendre
- Outils de Suivi Blockchain 2026 : Chainalysis vs Nansen vs Arkham vs Breadcrumbs vs TRM
- USDT Gelé par Tether : Guide Complet de Récupération
- Pourquoi Votre Crypto a Été Gelée : Drift de Score AML Expliqué
- Portefeuille Matériel 2026 : Trezor vs Ledger vs SafePal vs Tangem
- Stablecoins Centralisés 2026 : USDT vs USDC vs DAI vs USDS
- Portefeuille Crypto 2026 : Hot vs Cold vs Multi-sig — Guide Complet
- Comment Repérer et Éviter les Arnaques Crypto 2026
FAQ
La crypto volée peut-elle vraiment être tracée si elle passe par un mixer ?
Partiellement. Les mixers comme Tornado Cash mélangent les fonds de nombreux utilisateurs dans la même dénomination, donc les liens onchain directs se cassent. Mais les analystes utilisent l’analyse temporelle, l’analyse des schémas de retrait et le comportement post-mixer pour attribuer des scores de probabilité. Une opération de mélange habile peut réduire la traçabilité en dessous de 50 % de confiance ; une bâclée reste au-dessus de 80 %. Le saut inter-chaînes via des ponts sans KYC (THORChain, Chainflip) brise actuellement le traçage de manière plus fiable que les mixers.
Pourquoi 88 % traçables est-il tombé à 68,57 % en seulement un an pour Bybit ?
Le traçage est un jeu de confiance, pas binaire. Les analystes attribuent des niveaux de confiance à chaque étape du parcours d’un fonds. Au fur et à mesure que les fonds passent par plus de mixers et de ponts, la confiance de chaque lien chute. Après suffisamment de sauts, la confiance tombe sous le seuil que les enquêteurs publient — typiquement autour de 70-80 %. Les fonds n’ont pas disparu ; la certitude analytique sur leur destination a disparu.
Utiliser AMLBot ou Etherscan est-il légal dans mon pays ?
Lire la blockchain publique est légal partout — c’est toute la prémisse des registres publics. Utiliser des services de notation AML est légal dans toutes les grandes juridictions. Les questions de légalité surgissent autour de l’utilisation de mixers (illégaux dans certaines juridictions lorsqu’ils sont conçus pour cacher le produit du crime) et autour de l’utilisation d’outils de forensique pour surveiller d’autres sans consentement (réglementé par les lois sur la protection des données comme le RGPD pour les résidents de l’UE). Lire les adresses de vos propres contreparties avant une transaction est complètement légal.
Les portefeuilles matériels protègent-ils contre ce type d’attaque ?
Contre le vol de clés privées, oui — c’est leur travail. Contre la manipulation d’UI comme l’attaque Safe{Wallet}, non. Les clés des signataires de Bybit n’ont jamais été compromises ; le frontend leur a menti sur ce qu’ils signaient. La protection contre les attaques d’UI est l'”évitement de signature aveugle” — utiliser un firmware de portefeuille qui décode et affiche les détails réels de la transaction sur l’écran de l’appareil, indépendamment de l’UI de l’ordinateur hôte. Les nouveaux appareils Ledger, Keystone Pro et GridPlus Lattice supportent cela pour de nombreux types de transactions.
Si je suis un petit utilisateur, suis-je vraiment à risque de Lazarus ?
Pas directement. Lazarus cible les exchanges, les grands protocoles et les fournisseurs d’infrastructure, pas les portefeuilles individuels en dessous de $1M. Le risque pour les petits utilisateurs est la contamination en aval — recevoir des fonds qui, plusieurs sauts en arrière, provenaient d’un portefeuille lié à Lazarus. C’est ainsi qu’un paiement freelance de 5 000 $ devient un solde USDT gelé de 5 000 $ avec un processus de récupération de six mois. L’auto-vérification AML adresse précisément ce risque.
Conclusion
Le hack de Bybit n’est pas une aberration — c’est une itération. Lazarus a exécuté le même playbook à travers six grands braquages confirmés et plus encore, et le playbook fonctionne parce que la plupart des défenseurs ne lisent pas les transactions. La blockchain est publique, les outils sont en grande partie gratuits, et dix minutes d’enquête avant un transfert sont moins chères que six mois d’attente pour qu’un portefeuille gelé soit débloqué. La partie la plus difficile n’est pas l’alphabétisation technique. C’est la discipline de le faire réellement.
Si vous avez retenu une chose de cet article, faites en sorte que ce soit le flux de travail d’auto-vérification AML. Cinq étapes, dix minutes, et vous serez plus préparé que les personnes qui ont perdu 1,5 milliard de dollars en février dernier.
Avertissement : Cet article est uniquement à des fins éducatives et ne constitue pas un conseil financier, juridique ou d’investissement. La forensique blockchain est un domaine en évolution rapide ; les outils, techniques et risques de contrepartie changent rapidement. Effectuez toujours votre propre diligence raisonnable et consultez un professionnel agréé pour des conseils spécifiques à votre situation. Les exemples font référence à des événements rapportés publiquement ; ChainGain n’a aucune affiliation avec les exchanges, protocoles ou acteurs de menace mentionnés.
