Blanchiment cross-chain de cryptomonnaies par les hackers de la RPDC

En février 2025, un seul vol de cryptomonnaies a dépassé tous les précédents : 1,5 milliard de dollars ont été dérobés à l’échange Bybit. Ce n’était pas un hacker amateur. Ce n’était pas un gang de crypto-crime ordinaire. C’était le travail d’une unité secrète de l’armée nord-coréenne, opérant depuis un bunker à Pyongyang, avec une précision militaire et une patience de long terme. Leur méthode ? Le blanchiment cross-chain - une technique qui fait passer les fonds volés d’une blockchain à une autre, en les transformant, en les fractionnant, en les masquant, jusqu’à ce qu’ils disparaissent complètement.

Qui sont les véritables auteurs ?

Derrière ces attaques se cache le groupe Lazarus, un ensemble d’unités cybernétiques directement liées au 3^e Bureau du Bureau général du renseignement de la République populaire démocratique de Corée (RPDC). Ce n’est pas une organisation criminelle comme les autres. C’est une branche de l’État nord-coréen, financée par le régime, entraînée comme une unité d’espionnage, et équipée comme une force d’élite. Leur mission ? Générer des devises étrangères pour financer les programmes nucléaires et balistiques de la Corée du Nord. Les Nations Unies ont confirmé que près de la moitié des revenus extérieurs de la RPDC proviennent aujourd’hui de cyberattaques. Et la cryptomonnaie est devenue leur principale cible.

Comment fonctionne le blanchiment cross-chain ?

Avant 2022, les hackers nord-coréens utilisaient des services de mélange comme Tornado Cash ou Wasabi Wallet pour cacher les traces de leurs vols. Mais ces outils ont été bloqués, sanctionnés, fermés. Alors, ils ont changé de stratégie. Ils sont passés au cross-chain : faire sauter les fonds d’une blockchain à une autre, comme un joueur de billard qui envoie une bille d’une table à une autre pour échapper au suivi.

Le processus est systématique :

1. Un vol est commis sur une plateforme - souvent un échange centralisé comme Bybit, ou un portefeuille individuel via un phishing ciblé.
2. Les fonds volés, généralement en Ethereum, Tron ou Bitcoin, sont immédiatement transférés vers des ponts cross-chain comme Ren Bridge ou Avalanche Bridge.
3. À l’autre extrémité, les actifs sont convertis en Bitcoin ou en autres cryptos moins traçables.
4. Les fonds passent ensuite par plusieurs couches de swaps sur des échanges décentralisés (DEX) comme Uniswap ou PancakeSwap, transformant des tokens ERC-20 en ETH, puis en TRC-20, puis en BTTC, puis en BTC.
5. Enfin, les bitcoins sont stockés sur des adresses inactives, pendant des mois, voire des années, en attente d’un moment propice pour les convertir en argent réel via des réseaux OTC (Over-the-Counter) non régulés.

La clé ? La vitesse et la complexité. Les hackers envoient des milliers de transactions en quelques minutes, sur cinq ou six blockchains différentes. C’est ce qu’on appelle la technique du flood the zone - inonder le système pour saturer les équipes de traçage. Les analystes de TRM Labs disent qu’ils ont vu des opérations où 9 500 BTC ont été transférés en moins de 72 heures via un seul pont. C’est une avalanche de données, et les outils de traçage, même les plus avancés, ont du mal à suivre.

Les blockchains les plus utilisées pour le blanchiment

Les hackers ne s’embêtent pas avec les blockchains les plus connues. Ils cherchent celles où le suivi est faible, où les outils d’analyse sont rares, où les échanges sont peu régulés. Voici les réseaux les plus exploités :

Blockchains les plus utilisées pour le blanchiment par la RPDC

Blockchain	Utilisation	Avantage pour les hackers
Bitcoin	Destination finale de 70 % des fonds	Difficile à tracer à grande échelle, accepté dans les OTC
Tron (TRC-20)	Transfert intermédiaire rapide	Frais minimes, transactions rapides, peu de surveillance
BTTC (BitTorrent Chain)	Passerelle entre Ethereum et Tron	Peu connu, peu analysé, très peu de traceurs
Avalanche	Point de sortie pour les BTC	Nombreux ponts vers Bitcoin, faible régulation
Solana	Transfert temporaire	Très rapide, mais en déclin comme outil de blanchiment depuis 2024

Les hackers ont aussi commencé à créer leurs propres tokens, sans valeur réelle, juste pour faire passer les fonds. Un token nommé "XRT-20" peut être émis sur une blockchain obscure, transféré 12 fois, puis brûlé - laissant derrière lui une trace cryptographique, mais aucune piste concrète.

Le changement de cible : de l’entreprise à la personne

En 2023, les attaques visaient surtout les échanges centraux. En 2025, c’est différent. Les hackers ont compris que les entreprises ont des systèmes de sécurité robustes, mais les particuliers - surtout les dirigeants de startups crypto, les investisseurs privés, les détenteurs de portefeuilles de plus de 100 000 $ - sont souvent vulnérables. Ils reçoivent un message sur LinkedIn : "Offre d’emploi exclusive pour expert en sécurité blockchain". Un lien. Un faux portefeuille. Un mot de passe. Et voilà - le portefeuille est vidé. Elliptic le dit clairement : "Le point faible n’est plus technologique. C’est humain."

Les attaques par phishing ciblé ont augmenté de 300 % en 2024. Les hackers utilisent des IA pour créer des messages parfaitement personnalisés, imitant les e-mails de Coinbase, de Binance, ou même de l’ONU. Ils se font passer pour des recruteurs, des auditeurs, des membres de la communauté crypto. Une fois qu’ils ont la clé privée, ils n’ont plus besoin de pirater une blockchain. Ils volent directement.

La course aux armes du blanchiment

Les analystes de blockchain ne restent pas les bras croisés. TRM Labs a lancé TRM Phoenix en 2022, un outil capable de suivre un fonds à travers 15 blockchains différentes en quelques secondes. Chainalysis, Elliptic, Bitdefender - tous ont amélioré leurs algorithmes. Mais la RPDC réagit plus vite. Chaque fois qu’un pont est bloqué, ils en trouvent un autre. Chaque fois qu’un outil est déployé, ils créent une nouvelle méthode.

Le résultat ? Une course aux armes. Et pour l’instant, la Corée du Nord gagne. En 2023, ils ont volé 660 millions de dollars. En 2024, 1,34 milliard. En 2025, ils ont déjà dépassé les 2 milliards. Le vol de Bybit seul a dépassé tous les vols de 2023 réunis. Et ce n’est pas fini. Les experts estiment que le régime nord-coréen a maintenant plus de 500 adresses Bitcoin actives, contenant des milliards de dollars en cryptos, prêtes à être libérées au moment opportun.

Les conséquences : plus qu’un vol de crypto

Ce n’est pas juste une affaire de crypto. C’est une menace pour la sécurité mondiale. Chaque dollar volé peut financer un missile balistique, un sous-marin, une tête nucléaire. La RPDC n’est pas un gang de hackers. C’est un État qui utilise la technologie comme une arme. Et il n’a pas peur de la répression. Il n’a pas de banques à fermer, pas d’actifs à saisir. Il opère depuis un pays isolé, avec une armée de hackers bien formés, bien financés, et bien protégés.

Les gouvernements occidentaux ont commencé à réagir. En août 2023, le FBI a publié une liste de 147 adresses Bitcoin liées au groupe Lazarus. Des échanges comme Binance et Kraken ont commencé à bloquer les transactions. Mais ce n’est pas suffisant. Les fonds volés ne restent pas sur les échanges. Ils passent par des ponts, des OTC, des réseaux sombres. Et une fois qu’ils sont en Bitcoin, ils sont presque impossibles à récupérer.

Que faire ?

Pour les échanges : renforcer les contrôles sur les ponts cross-chain, bloquer les adresses connues, surveiller les flux massifs vers Bitcoin. Pour les particuliers : ne jamais cliquer sur un lien inconnu, activer l’authentification à deux facteurs, utiliser des portefeuilles matériels, ne jamais partager ses clés privées. Pour les régulateurs : créer des normes internationales pour les ponts cross-chain, exiger des audits transparents, sanctionner les plateformes qui ignorent les alertes de traçage.

Le blanchiment cross-chain n’est pas une technologie. C’est une stratégie. Et la Corée du Nord la maîtrise mieux que quiconque. Leur objectif n’est pas de rester anonymes. C’est de rendre la traque impossible. Et pour l’instant, ils y parviennent.