Le pirate de Coinbase Commerce se réveille et transfère 5,4 millions de dollars vers Tornado CashLe portefeuille lié au piratage de Coinbase Commerce (2024) a été réactivé après près de deux ans d'inactivité. Les données de la blockchain montrent que l'attaquant a commencé à transférer des fonds en janvier 2026. Lors de ces derniers transferts, il a déposé l'équivalent de 5,4 millions de dollars d' Ethereum dans Tornado Cash .
Avant les dépôts, l'adresse liée au vol a transféré environ 5,8 millions de dollars en DAI vers un nouveau portefeuille. Ces DAI ont ensuite été convertis en Ether. L'ETH a été fractionné en plusieurs dépôts, et l'activité de Tornado Cash a clairement suivi un schéma de traitement par lots. L'attaquant a effectué vingt dépôts de 100 ETH, puis des montants plus faibles, notamment 10 ETH, 1 ETH et des transferts fractionnés. Cependant, un autre portefeuille lié à l'attaquant détient toujours environ 4,6 millions de dollars en DAI.
Cette situation survient alors que le marché mondial des cryptomonnaies subit une forte pression à la vente. Ethereum a chuté de près de 10 % ces sept derniers jours. En avril 2024, au moment de l'incident, son cours oscillait entre 3 100 et 3 700 dollars. Actuellement, l'Ether se négocie à un prix moyen de 2 890 dollars.
Exploitation de faille dans Coinbase Commerce
L'dent tracà avril 2024. L'enquêteur on-chain ZachXBT avait alors signalé des sorties de fonds suspectes d'untracCoinbase Commerce. Le 21 avril 2024, cetraca enregistré plus de 1 700 sorties de USDC sur une période de 16 heures sur Polygon, pour un montant total de 15,97 millions de dollars.
Le schéma observé indiquait qu'un commerçant utilisant Coinbase Commerce avait été victime d'une arnaque. Les fonds ont été retirés par transferts répétés. Les USDC volés ont ensuite été transférés de Polygon vers Ethereum, puis échangés contre de l'Ether et répartis entre trois portefeuilles.
L’attaquant a repris ses activités après près de deux ans d’inactivité et dépose désormais les fonds volés dans Tornado Cash.
Un montant total de 5,4 millions de dollars a été déposé jusqu'à présent.
Avant cela, l'adresse utilisée pour le vol a transféré 5,8 millions de dollars DAI vers un nouveau portefeuille, qui a ensuite été échangé contre… https://t.co/6hZWByeuRQ pic.twitter.com/67vx2CLk6U
— Specter (@SpecterAnalyst) 26 janvier 2026
Peu après le vol, un individu malveillant utilisant le pseudonyme « Excite » a commencé à évoquer les fonds dans des conversations privées. ZachXBT a établi un lien entre ces affirmations et des adresses liées aux sorties de fonds. Il a indiqué qu'en mai 2024, un utilisateur de Telegram, sous le pseudonyme « tezedasads12 », avait effectué une transaction de 1 DAI. Ce transfert a permis de prouver le contrôle d'un portefeuille contenant environ 6 millions de dollars provenant du vol.
Le même acteur a revendiqué la propriété du nom d'utilisateur Instagram « Excite ». Il a également tenté d'acheter un nom d'utilisateur Telegram identique, sans succès. Le compte Instagram était initialement privé, avant d'être rendu public. On y voyait des montres de luxe et d'autres objets de grande valeur.
ZachXBT a indiqué que des renseignements provenant de sources ouvertes suggéraient que l'individu pourrait être basé au Danemark. Cette information n'a pas été confirmée de manière indépendantedentAprès la phase initiale de blanchiment, la plupart des fonds ont cessé de circuler. Les portefeuilles liés à la faille sont devenus inactifs. Parallèlement, une plus petite partie des fonds a ensuite transité par des plateformes d'échange décentralisées et de staking. Ces transactions ont servi à transférer des actifs vers de nouveaux portefeuilles.
Une adresse de dépôt présentait une forte exposition à des infrastructures connues pour détourner des fonds. Les enquêteurs ont considéré cela comme un signal d'alarme. de Tornado Cash constituent la première activité majeure liée à cette exploitation depuis près de deux ans.
Piratage de Coinbase en 2025
Cette affaire s'ajoute à une série d'dentde sécurité liés à Coinbase. En mai 2025, Coinbase a révélé avoir subi une autre cyberattaque. L'entreprise a indiqué que cetdent pourrait lui coûter jusqu'à 400 millions de dollars. Dans ce cas précis, les attaquants ont obtenu des données clients limitées en rémunérant des soustracet des employés. Ces données ont ensuite été utilisées pour usurper l'identité de Coinbase et tromper les utilisateurs.
Coinbase a indiqué que moins de 1 % de ses clients étaient concernés. Les pirates ont exigé 20 millions de dollars, somme que Coinbase a refusé de payer. Les clés privées n'ont pas été compromises. L'entreprise a toutefois précisé qu'elle rembourserait les utilisateurs touchés.
