Le casse crypto au cœur d’un procès
Le 18 avril 2024, un exploit sophistiqué a frappé le protocole DeFi Aave via le bridge rsETH de Kelp DAO, permettant à un attaquant de drainer environ 230 millions de dollars en créant des tokens rsET
Des développeurs liés à la blockchain Arbitrum sont parvenus à intercepter ces fonds avant qu’ils ne soient blanchis ou transférés hors d’atteinte, offrant ainsi une rare opportunité aux autorités et aux victimes de tenter de récupérer une partie du butin.
La question centrale aujourd’hui n’est plus seulement technique : elle est devenue éminemment juridique et politique. Plusieurs cabinets d’avocats représentant des victimes du terrorisme nord-coréen ont déposé un mémoire d’opposition de 30 pages auprès du tribunal fédéral du district sud de New York, arguant que ces fonds doivent leur revenir au titre du Terrorism Risk Insurance Act (TRIA).
Le fonds DeFi United, auquel participe Aave, a levé 327,95 millions de dollars au 4 juin 2024.
La piste nord-coréenne se précise
L’attribution de l’attaque au groupe Lazarus, infâme groupe cybercriminel lié à la Corée du Nord, s’est rapidement imposée. Les sociétés spécialisées Chainalysis et TRM Labs ont toutes deux identifié des schémas caractéristiques des opérations Lazarus dans le déroulé de l’exploit et dans les tentatives ultérieures de blanchiment. Ce lien avec Pyongyang donne à l’affaire une dimension géopolitique rare dans l’écosystème crypto.
L’enjeu dépasse donc la simple restitution : il s’agit aussi d’assécher les flux financiers qui alimentent les programmes illicites nord-coréens.
Les avocats des victimes invoquent le TRIA, loi fédérale adoptée après le 11 septembre, qui permet aux victimes d’actes terroristes commandités par des États – ici la Corée du Nord – de saisir des avoirs détenus sur le sol américain. Une audience cruciale est programmée ce mercredi 6 mai au tribunal fédéral de Manhattan pour trancher cette question inédite dans le contexte crypto.
Aave et Kelp DAO face à LayerZero
Au-delà des enjeux judiciaires, la responsabilité technique fait l’objet d’un vif débat entre Kelp DAO et LayerZero. Selon decrypt.co, KelpDAO accuse LayerZero d’avoir validé pendant plus de deux ans la configuration « 1-of-1 verifier » désormais pointée comme responsable directe du hack. Des échanges Telegram publiés par Kelp montrent que LayerZero aurait eu connaissance du risque sans jamais alerter sur sa gravité ; cependant, ces captures n’ont pas pu être authentifiées indépendamment.
LayerZero rétorque que son modèle recommande explicitement l’utilisation d’un réseau multi-vérificateurs (DVN), mais reconnaît que près de la moitié des utilisateurs LayerZero optaient encore pour ce paramètre unique par défaut lors du hack selon Dune Analytics. Après l’incident, LayerZero a annoncé qu’il ne traiterait plus les messages cross-chain issus d’applications utilisant un seul vérificateur et qu’il migrerait ces protocoles vers une architecture multi-DVN.
Pour tourner la page, Kelp DAO a décidé de migrer son token rsETH vers le Cross-Chain Interoperability Protocol (CCIP) développé par Chainlink, abandonnant ainsi le standard OFT proposé par LayerZero. Ce choix marque une rupture nette qui peut peser sur d’autres projets DeFi confrontés aux mêmes dilemmes techniques et sécuritaires.
Voir Aussi
71 millions gelés, l’enjeu judiciaire
Sur les quelque 292 millions de dollars siphonnés lors du hack initial – dont 116 500 tokens rsETH –, seuls 71 millions ont pu être gelés grâce à l’intervention rapide des développeurs Arbitrum. Ces fonds constituent aujourd’hui le cœur du contentieux devant la justice new-yorkaise : fraude ou vol ? La qualification choisie déterminera si le TRIA peut s’appliquer ou non.
Les avocats insistent sur la notion de fraude plutôt que celle de vol pur afin d’optimiser leurs chances devant le juge fédéral. Si leur argumentation prévaut, cela ouvrirait potentiellement la voie à la saisie systématique d’actifs cryptos liés à des États sponsors du terrorisme lorsqu’ils transitent par des plateformes américaines ou y sont gelés.
Pourquoi ça compte
L’issue judiciaire autour des 71 millions gelés sur Arbitrum pourrait faire jurisprudence pour tout l’écosystème crypto : jamais auparavant autant d’argent issu d’un hack attribué à un État hostile n’avait été bloqué puis revendiqué via le TRIA.
Le récap
- •71 millions de dollars issus du hack Aave/rsETH du 18 avril ont été gelés par des développeurs liés à Arbitrum.
- •L’attaque est attribuée au groupe Lazarus de Corée du Nord, selon Chainalysis et TRM Labs.
- •Une audience sur la saisie des fonds, invoquant le TRIA, est prévue le 6 mai 2024 à Manhattan.
Les facteurs à surveiller
L’audience prévue le mercredi 6 mai au tribunal fédéral de Manhattan déterminera si les 71 millions de dollars gelés sur Arbitrum pourront être saisis par les victimes du terrorisme nord-coréen ; l’issue immédiate dépendra de la décision du juge sur l’application du Terrorism Risk Insurance Act (TRIA) à ces fonds, ce qui reste incertain à ce stade.