Intérieur d'un casse du Bitcoin : hôtels cinq étoiles, enveloppes remplies de cash et fonds disparus
TechFlow SélectionTechFlow Sélection
Intérieur d'un casse du Bitcoin : hôtels cinq étoiles, enveloppes remplies de cash et fonds disparus
Un assassinat ciblé et précis visant un PDG du secteur minier.
Dédié à des analyses Web3 approfondiesRédaction : Joel Khalili
Traduction : Luffy, Foresight News
Les cas complexes de fraude liés aux cryptomonnaies continuent d'augmenter, mais peu d'entre eux sont aussi sophistiqués que celui subi plus tôt cette année par un cadre dirigeant du secteur minier du bitcoin.
Lorsque Kent Halliburton se tenait dans la salle de bains de l'hôtel The Rosewood au centre d'Amsterdam, à des milliers de kilomètres de chez lui, passant ses doigts sur une enveloppe remplie de billets neufs de 10 000 euros, il commença à se demander dans quel genre d'histoire il s'était embarqué.
Halliburton est cofondateur et PDG de Sazmining, une entreprise qui exploite du matériel minier de bitcoin pour ses clients selon un modèle appelé « mining as a service ». Basé au Pérou, Halliburton gère des installations minières réparties dans des centres de données tiers en Norvège, au Paraguay, en Éthiopie et aux États-Unis.
Selon Halliburton, il s'est envolé pour Amsterdam le 5 août afin de rencontrer Even et Maxim, deux individus se présentant comme les représentants d'une riche famille monégasque. Ce family office proposait d'acheter plusieurs centaines de machines minières de bitcoin à Sazmining pour environ 4 millions de dollars, équipements devant être installés dans une mine en construction en Éthiopie appartenant à Sazmining. Avant de finaliser l'accord, le family office exigeait une rencontre en personne avec Halliburton.
À son arrivée au Rosewood Hotel, Halliburton découvrit Even et Maxim déjà assis dans un box. Ils donnaient l'impression de parieurs flamboyants – particulièrement Maxim, vêtu d'un costume trois pièces marron clair soigneusement ajusté, les cheveux longs et foncés ramenés en arrière, une montre Rolex dépassant de sa manche.
Pendant un déjeuner à trois plats (ceviche garni de caviar, morue du Chili et gâteau aux cerises), ils discutèrent des modalités de la transaction et échangèrent des éléments biographiques. Even était bavard et plaisantait volontiers, racontant des fêtes somptueuses à Marrakech ; Maxim restait distant, fixant souvent Halliburton intensément, comme s'il l'évaluait.
Pour instaurer la confiance, Even proposa qu’Halliburton vende au family office environ 3 000 dollars de bitcoin contre espèces. Initialement hésitant, Halliburton considéra cela comme une curieuse « cérémonie de brisage de glace ». L’un des deux lui tendit une enveloppe remplie d’argent liquide et lui demanda de vérifier le montant seul dans la salle de bains. « C’était comme dans un film de James Bond », dit Halliburton, « quelque chose de complètement nouveau pour moi. »
Halliburton partit en taxi, troublé par la rencontre mais toujours plein d’espoir quant à la conclusion de l’accord avec le family office. Pour Sazmining, une société comptant environ 15 employés seulement, cette transaction pouvait tout changer.
Moins de deux semaines plus tard, Halliburton s’est fait escroquer plus de 200 000 dollars de bitcoin par Even et Maxim. Il ignore si Sazmining survivra à ce coup dur, ni comment les fraudeurs ont pu le piéger ainsi.
Après le déjeuner avec Even et Maxim, Halliburton s’envola directement pour la Lettonie afin d’assister à une conférence sur le bitcoin, puis se rendit en Éthiopie pour inspecter l’avancement des travaux du centre de données.
Pendant son séjour en Éthiopie, Halliburton reçut un message WhatsApp d’Even souhaitant faire avancer la transaction, mais à une condition : après l’achat initial de bitcoin en espèces au Rosewood, Sazmining devait vendre davantage de bitcoin au family office. Le montant convenu fut finalement de 400 000 dollars, soit un dixième de la valeur totale de la transaction.
Even exigea qu’Halliburton retourne à Amsterdam pour signer les contrats nécessaires. Halliburton, absent depuis plusieurs semaines, s’y opposa, mais Even insista : « Le travail à distance ne me convient pas, je ne fais plus affaire ainsi aujourd’hui. »
Dans l’après-midi du 16 août, Halliburton revint donc à Amsterdam. Ce soir-là, il devait rencontrer Maxim au restaurant teppanyaki de l’hôtel cinq étoiles Okura Hotel. L’intérieur du restaurant, décoré dans un style japonais traditionnel raffiné, comportait des panneaux de bois, des cloisons en papier, un jardin zen, et un escalier en colimaçon orné d’une guirlande de grues en origami.
Il trouva Maxim assis sur un canapé dans la zone d’attente extérieure, portant un costume argenté tape-à-l’œil. En attendant d’être installés, Maxim demanda à Halliburton de prouver que Sazmining disposait bien de suffisamment de bitcoin pour mener à bien la transaction supplémentaire proposée par Even. Il souhaitait qu’Halliburton transfère la moitié du montant convenu (environ 220 000 dollars) vers une application de portefeuille bitcoin que le family office jugeait fiable. Les fonds resteraient sous contrôle d’Halliburton, mais le family office pourrait vérifier leur existence via les données publiques de la blockchain.
Il ouvrit son iPhone. L’application, nommée Atomic Wallet, avait des milliers d’avis positifs et était disponible depuis des années sur l’App Store d’Apple. Sous le regard de Maxim, Halliburton téléchargea l’application et créa un nouveau portefeuille. « Je voulais gagner sa confiance », dit Halliburton, « après tout, il s’agissait d’un contrat de 4 millions de dollars. »
Le dîner se déroula sans heurt. Maxim semblait moins méfiant cette fois-ci, parlant de sa passion pour les montres de luxe et de sa recherche d’opportunités commerciales pour le family office. Halliburton, fatigué par ses déplacements successifs, n’aspirait qu’à rentrer.
Au moment des adieux, ils convinrent que Maxim remettrait le contrat signé au family office pour exécution, tandis qu’Halliburton transférerait les 220 000 dollars en bitcoin vers la nouvelle adresse du portefeuille.
De retour dans sa chambre d’hôtel, Halliburton effectua une petite transaction test via la nouvelle adresse Atomic Wallet, puis réinitialisa le portefeuille à l’aide de la clé privée (phrase de récupération) générée lors du premier téléchargement, afin de s’assurer que tout fonctionnait correctement. « Il faut prendre certaines mesures de sécurité, maintenant c’est presque prêt. Merci pour votre patience », écrivit-il à Even sur WhatsApp. Even répondit : « Pas de problème, prenez votre temps. »
À 22h45, après avoir confirmé que le test fonctionnait, Halliburton ordonna à un collègue de transférer 220 000 dollars en bitcoin vers l’adresse Atomic Wallet. Une fois les fonds reçus, il envoya à Even une capture d’écran du solde mis à jour. Une minute plus tard, Even répondit : « Merci. »
Il envoya ensuite un autre message à Even concernant le contrat, mais celui qui répondait auparavant rapidement resta désormais silencieux. En rouvrant l’application Atomic Wallet, Halliburton sentit un malaise grandir – les bitcoins avaient disparu.
Une nausée brutale l’envahit, assis sur son lit, au bord de vomir. « Comme un coup violent au ventre », dit-il, « un mélange de choc et d’incrédulité. »
Il essaya désespérément de comprendre comment il avait pu être dupé. À 23h30, il envoya un message à Even : « C’est la fraude la plus élaborée que j’aie jamais vécue. Je sais que vous vous en fichez probablement, mais mon entreprise risque de faire faillite. J’ai passé quatre ans à la construire. »
Even répondit en niant toute mauvaise conduite, mais ce fut le dernier message qu’Halliburton reçut. Il a fourni à WIRED le compte Telegram utilisé par Even, dont la dernière activité remonte au jour du vol. Even n’a pas répondu à la demande de commentaire.
Des analyses menées par les sociétés spécialisées dans la blockchain Chainalysis et CertiK montrent que les fonds du portefeuille d’Halliburton ont été divisés en quelques heures, transférés via plusieurs adresses différentes, puis convertis en monnaie fiduciaire sur des plateformes tierces.
Une partie des bitcoins a été fractionnée sur plusieurs plateformes d’échange instantané, tandis que la majorité a été envoyée vers une seule adresse, où elle s’est mêlée à des fonds marqués par Chainalysis comme provenant de « transactions frauduleuses ». Ces « transactions frauduleuses » désignent des escroqueries où des fraudeurs se font passer pour des investisseurs afin de dérober des cryptomonnaies à des startups.
« Les services utilisés par les fraudeurs ne sont pas illégaux en soi », explique Margaux Eckle, enquêtrice senior chez Chainalysis, « mais les adresses d’agrégation utilisées sont étroitement liées à des activités frauduleuses connues, ce qui indique un groupe organisé. »
Une partie des bitcoins ayant transité par cette adresse d’agrégation a été déposée sur une exchange de cryptomonnaies, très probablement convertie en monnaie fiduciaire ; le reste a été transformé en stablecoin, puis transféré via un pont cross-chain vers la blockchain Tron. Selon les chercheurs, cette blockchain héberge plusieurs services OTC facilitant le cash-out de grandes quantités de cryptomonnaies.
Le but de multiples transferts, divisions, conversions et opérations cross-chain est de rendre le suivi de l’origine des fonds plus difficile, permettant ainsi leur conversion en espèces sans suspicion. « Le fraudeur est très expérimenté », dit Eckle, « même si nous pouvons suivre les flux après le passage sur une autre chaîne, cela ralentit considérablement les enquêteurs. »
Finalement, la piste offerte par les données publiques de la blockchain s’interrompt. Pour identifier les responsables, les forces de l’ordre doivent assigner les plateformes de cash-out, qui sont généralement tenues de collecter des informations utilisateur.
Les données de transaction ne permettent pas de déterminer précisément comment les fraudeurs ont accédé et transféré les fonds sans autorisation d’Halliburton, mais les détails de leurs interactions fournissent des indices.
Au départ, Halliburton a soupçonné un lien avec une attaque perpétrée en 2023 par un groupe de hackers lié au gouvernement nord-coréen, lorsqu’environ 100 millions de dollars de fonds d’utilisateurs d’Atomic Wallet avaient été volés (Atomic Wallet n’a pas répondu à la demande de commentaire).
Mais les chercheurs en sécurité interrogés par WIRED pensent qu’Halliburton a été victime d’une attaque ciblée par surveillance. « Un cadre dirigeant publiquement connu comme détenteur important de cryptomonnaies est une cible très attractive », explique Guanxing Wen, responsable de la recherche sécurité chez CertiK.
Les chercheurs estiment que le dîner en face à face, les vêtements coûteux, les grosses sommes d’argent liquide et autres démonstrations de richesse visaient à relâcher la vigilance d’Halliburton. « C’est une technique classique de construction de confiance dans les escroqueries de haute valeur », dit Guanxing Wen, « plus la victime passe de temps dans un environnement détendu avec l’attaquant, moins elle remet en question les demandes techniques ultérieures. »
Pour réussir le vol, les fraudeurs devaient obtenir la phrase de récupération (mnémonique) du portefeuille Atomic Wallet nouvellement créé par Halliburton – car quiconque possède cette phrase peut accéder librement aux bitcoins contenus dans le portefeuille.
Une hypothèse est que les fraudeurs ont piraté ou falsifié le réseau WiFi de l’hôtel pour intercepter les informations depuis le téléphone d’Halliburton. « Ce type d’appareil s’achète facilement en ligne, très pratique, on peut le transporter dans deux ou trois valises », dit Adrian Cheek, chercheur principal chez Coeus. Mais Halliburton affirme catégoriquement que son téléphone ne l’a jamais quitté, et qu’il a téléchargé l’application Atomic Wallet via les données mobiles, non via un WiFi public.
Guanxing Wen pense que l’explication la plus plausible est que les fraudeurs ont pu, grâce à un complice proche ou à une caméra munie d’un téléobjectif, capturer la phrase de récupération affichée sur l’écran du téléphone d’Halliburton au moment où il l’a notée – probablement pendant qu’ils étaient assis sur le canapé de l’hôtel Okura.
Il ajoute que les fraudeurs avaient probablement déjà configuré un « script de nettoyage » avant même qu’Halliburton n’envoie les 220 000 dollars en bitcoin vers l’adresse Atomic Wallet. Ce programme automatisé transfère immédiatement les fonds dès qu’un changement important du solde est détecté.
Dans ce type d’affaires, les personnes rencontrées en personne (comme Even et Maxim) sont rarement les bénéficiaires finaux. Elles sont souvent des « mercenaires » recrutés par un réseau d’escroquerie, dont les membres principaux peuvent se trouver à l’autre bout du monde.
« Ils sont généralement recrutés via des forums souterrains ou des groupes de messagerie chiffrés », dit Cheek, « il suffit de savoir où chercher pour voir ces annonces de recrutement continuelles. »
Pendant plusieurs jours, la survie de Sazmining face à ce choc financier a été incertaine. Les fonds volés représentaient six semaines de chiffre d’affaires. « J’ai tout fait pour maintenir l’entreprise à flot et faire face à cette pénurie soudaine de liquidités », dit Halliburton. La société a finalement préservé sa solvabilité en reportant les paiements aux fournisseurs et en prolongeant les échéances de prêts impayés.
Cette semaine-là, un membre du conseil d’administration de Sazmining a porté plainte auprès des autorités néerlandaises, britanniques et américaines. Seuls le groupe anti-fraude britannique et le Cyber Fraud Task Force du Service secret américain ont confirmé avoir reçu la plainte – le premier indiquant ne pas agir immédiatement, le second ne répondant pas à la demande de commentaire.
Le nombre de fraudes liées aux cryptomonnaies est stupéfiant, et les forces de l’ordre ne peuvent pas enquêter sur chaque vol. « L’échelle de ces menaces et de ces activités criminelles atteint des niveaux sans précédent », dit Eckle.
Elle précise que l’espoir le plus grand pour les victimes de telles fraudes de récupérer leurs fonds réside dans la démolition complète du réseau escroc par les autorités. Dans ce cas, les fonds récupérés sont généralement redistribués aux victimes ayant porté plainte.
Jusque-là, Halliburton doit accepter la perte. « C’est encore douloureux », dit-il, « mais ce n’est pas un coup fatal. »
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@WIRED
