Colin Thierry
Publié le : 23 août 2022
Les acteurs de la menace derrière l’attaque du pont Ronin en mars ont utilisé des outils de confidentialité pour convertir les fonds Ethereum (ETH) volés en Bitcoin (BTC), avant de les transférer via des services de mixage cryptographiques sanctionnés.
Les pirates ont utilisé renBTC (un protocole de transfert inter-chaîne ouvert et piloté par la communauté), ainsi que les services de mixage Bitcoin Blender et ChipMixer pour traiter la majorité des fonds volés du piratage de 625 millions de dollars.
Le parcours des fonds volés a été analysé par ₿liteZero, un enquêteur qui travaille pour la société de sécurité blockchain SlowMist depuis l’incident de Ronin le 23 mars.
Les pirates ont d’abord converti la plupart des actifs volés en ETH, puis ont utilisé le mélangeur crypto maintenant sanctionné Tornado Cash pour couvrir leurs traces.
D’après ₿liteZero rapport la semaine dernière, les acteurs de la menace ont initialement transféré une partie des fonds volés (6 249 ETH) vers des bourses centralisées (CEX) cinq jours après l’attaque. Ensuite, ils ont converti l’ETH en BTC avant de canaliser environ 20,5 millions de dollars d’actifs cryptographiques vers l’outil de confidentialité Bitcoin Blender.
La plupart des fonds volés (175 000 ETH) ont ensuite été progressivement injectés dans Tornado Cash entre le 4 avril et le 19 mai. Les pirates ont utilisé les plateformes d’échange décentralisées (DEX) 1inch et Uniswap pour échanger près de 113 000 ETH contre renBTC.
Ensuite, les acteurs de la menace ont utilisé les capacités inter-chaînes de renBTC pour transférer les fonds volés vers le réseau Bitcoin et convertir les jetons en BTC. Enfin, ils ont ensuite dispersé environ 6 631 BTC via une variété de plates-formes et de protocoles DEX et CEX.
₿liteZero a dit que l’enquête sur le piratage de Ronin est toujours en cours. “Je travaille sur l’analyse des hackers Ronin, et le prochain travail sera plus complexe”, a-t-il ajouté.
Les chercheurs pensent que les membres du tristement célèbre gang nord-coréen de cybercriminalité Lazarus Group sont les principaux suspects derrière l’attaque du pont Ronin. Selon un annonce publié sur le compte Twitter officiel de Ronin, le FBI a également “attribué le groupe Lazarus basé en Corée du Nord à la violation de la sécurité du validateur de Ronin”.
