Les enquêteurs spécialisés dans les cryptomonnaies tirent la sonnette d'alarme après le vol de 3,2 millions de dollars sur plusieurs portefeuilles Solana Les actifs volés ont été rapidement vendus sur la blockchain et transférés vers Ethereum avant qu'une partie ne soit blanchie via Tornado Cash .
Le 16 mai, Solana ont été vidées de leurs jetons, et les actifs ont ensuite été convertis en Ethereum via un pont avant qu'une partie ne soit déposée sur Tornado Cash .
Le chercheur en blockchain ZachXBT a publiquement signalé cette faille , établissant des parallèles avec des activités antérieures de Lazarus.
Des pirates informatiques ont transféré les fonds volés
Les enquêteurs de la blockchain ont donné l'alerte après avoir observé d'importants transferts depuis l'adresse « C4WY…e525 » sur Solana .
Ces transactions, liées au tristement célèbre groupe Lazarus, consistaient à faire transiter les jetons volés par un pont et à les convertir en Ethereum. ZachXBT a détecté l'attaque en surveillant l'activité du pont et tracles fonds qui ont finalement abouti dans un réseau de portefeuilles sur Ethereum.
Le 25 juin, puis le 27 juin, 400 ETH ont été transférés vers Tornado Cash en deux dépôts distincts. Ces transactions, d'un montant total d'environ 1,6 million de dollars, correspondent aux méthodes de blanchiment d'argent bien documentées du groupe Lazarus
Suite à des piratages très médiatisés comme celui de Bybit, où 1,5 milliard de dollars ont été volés en février 2025, et celui de 100 millions de dollars du pont Horizon de Harmony en 2022, parmi d'autres piratages notables, Lazarus a utilisé à plusieurs reprises Tornado Cash , ainsi que des échanges décentralisés et des ponts inter-chaînes, pour blanchir des fonds en obscurcissant les traces de transactions.
Environ 1,25 million de dollars sont toujours détenus sur une adresse de portefeuille Ethereum dent comme « 0xa5…d528 » , sous forme de DAI et d'ETH. Les analystes supposent que ces fonds pourraient être placés en vue d'un blanchiment ultérieur ou être volontairement dormants afin de limiter les risques de détection.
Le groupe Lazarus est actif depuis 2017
Le groupe Lazarus s'est forgé la réputation d'être l'organisation de cybercriminalité étatique la plus prolifique. Les sanctions imposées par la Corée du Nord le désignent comme une menace persistante avancée, liée aux unités d'élite du renseignement militaire nord-coréen. Depuis 2017, il a dérobé des milliards de dollars en cryptomonnaies.
Leur mode opératoire commence souvent par l'infiltration, via hameçonnage ou logiciel malveillant, de personnel clé, exploitant les failles destracintelligents ou les vulnérabilités des portefeuilles électroniques. Une fois les fonds obtenus, ils sont rapidement convertis en actifs liquides, répartis dans plusieurs portefeuilles et blanchis sur différentes blockchains à l'aide de services de mixage comme Tornado Cash et de services proposant des échanges instantanés sans vérification d'identité (KYC).
Tornado Cash demeure un élément central de la stratégie de blanchiment d'argent de Lazarus. Malgré les sanctions américaines imposées en 2022, l'hébergement décentralisé et l'immuabilité du service ont permis à ce dernier d'échapper à une fermeture définitive. En janvier 2025, une cour d'appel américaine a annulé ces sanctions, invoquant le droit à la liberté d'expression, malgré les preuves de plus en plus nombreuses liant Lazarus à l'utilisation continue de services de mixage.
Les autorités de régulation et les plateformes d'échange peuvent désormais prendre des mesures pour signaler les adresses concernées comme suspectes. Toutefois, compte tenu de la rapidité et de la complexité du système de blanchiment d'argent utilisé par Lazarus, les services de mixage restent suffisants pour dissimuler les mouvements de fonds détournés.
