Rapport sur l'écosystème des crypto-monnaies illicites
Un guide complet des risques de financement illicite dans les crypto-monnaies
Introduction
Contrairement aux attentes, l'effondrement des prix des crypto-monnaies depuis 2021 n'a pas eu d'impact significatif sur la valeur en dollars des crimes liés aux crypto-monnaies en 2022. En effet, les données de TRM révèlent qu'au moins 7,8 milliards d'USD ont été versés dans des systèmes de Ponzi ou pyramidaux, 1,5 milliard d'USD ont été dépensés sur les marchés du darknet spécialisés dans les drogues illégales, et 3,7 milliards d'USD ont été volés par le biais de hacks et d'exploits, sur la base des données de TRM Labs
Cette résilience peut notamment s'expliquer par le saut qualitatif de la crypto-monnaie, qui est passée de la domination du bitcoin à une nouvelle réalité multichaîne qui a donné naissance à de nouvelles menaces.
Par exemple, en 2022, environ 2 milliards d'USD ont été volés grâce à des attaques sur des ponts interchaînes, qui permettent à la crypto-monnaie de passer d'une blockchain à l'autre. Les criminels s'appuient également de plus en plus sur le saut de chaîne, ou le déplacement de fonds à travers différents réseaux de blockchain, dans le cadre de leurs stratégies de blanchiment d'argent pour masquer la source et la destination des gains mal acquis.
L'ère des chaînes multiples a eu un impact considérable sur la répartition du volume de crypto-monnaies illicites dans son ensemble, où la part du Bitcoin a chuté de 97 % en 2016 à 19 % en 2022. En 2016, les deux tiers du volume de piratage de crypto-monnaies concernaient le Bitcoin ; en 2022, il représentait un peu moins de 3 %, l'Ethereum (68 %) et la Smart Chain de Binance (19 %) dominant le terrain. Et alors que le bitcoin était la monnaie exclusive pour le financement du terrorisme en 2016, en 2022 il a été pratiquement remplacé par des actifs sur la blockchain TRON, avec 92%.
Pourtant, jusqu'à présent, il n'y a pas eu de tentative systématique de créer une vue d'ensemble de ce nouvel écosystème crypto illicite. Dans le premier guide de ce type, TRM Labs a identifié, étudié et classé plus de 40 types d'activités criminelles, de l'espionnage à l'échange de cartes SIM en passant par les systèmes de pompage et de déversement.
Ce rapport historique porte sur plus de 20 blockchains et couvre toutes les principales formes connues de financement illicite par crypto-médiation, ainsi que l'utilisation des crypto-monnaies pour blanchir les produits de la criminalité .
La première section décrit les activités criminelles qui génèrent des produits du crime en crypto-monnaie, notamment le commerce illicite, les paiements illicites, la fraude et le vol. La seconde section répertorie la manière dont l'écosystème des crypto-monnaies est utilisé pour blanchir les produits du crime, qu'il s'agisse de monnaie fiduciaire ou de crypto-monnaie.
Grâce à des recherches originales, des études de cas et une analyse des risques spécifiques, ce rapport offre un aperçu de la dynamique complexe de l'écosystème des crypto-monnaies illicites et contribue à une meilleure compréhension des défis auxquels sont confrontés les régulateurs, les organismes chargés de l'application de la loi et les parties prenantes du secteur.
Comprendre ces risques est crucial pour les forces de l'ordre afin de lutter contre les actes répréhensibles, pour les institutions financières et les entreprises afin de s'assurer que leurs plateformes ne sont pas utilisées pour blanchir des fonds illicites, et pour les décideurs politiques et les régulateurs afin d'évaluer, de répondre, d'atténuer et de prévenir toute la gamme des activités illicites médiatisées par la blockchain.
Crypto illicite
Rapport sur l'écosystème des crypto-monnaies illicites
Cette section présente une analyse des activités criminelles susceptibles de générer des recettes en crypto-monnaies. Si les monnaies fiduciaires, en particulier le dollar américain, dominent les transactions illicites, l'utilisation des crypto-monnaies dans le cadre d'activités illicites présente des avantages décisifs dans la lutte contre la criminalité financière. La nature transparente et traçable des transactions en crypto-monnaies facilite deux avantages uniques : (1) la mesure systématique de l'activité illicite, qui permet de mieux comprendre les réseaux criminels et les typologies, (2) la possibilité de "suivre l'argent" dans les enquêtes criminelles, ce qui est plus rapide et plus efficace que de suivre l'argent en espèces. En tirant parti de la transparence et de la traçabilité des transactions en crypto-monnaie, nous disposons non seulement d'outils précieux pour mesurer l'activité illicite et comprendre les réseaux criminels, mais nous contribuons également au développement d'un écosystème financier plus résilient et plus sûr.
1. Commerce illicite
Le commerce illicite implique l'échange de biens et de services illégaux. Alors que la grande majorité du commerce illicite continue d'utiliser des devises fiduciaires telles que le dollar américain, les crypto-monnaies sont le moyen d'échange préféré sur les places de marché du darknet, les forums de cybercriminalité et les sites de CSAM. Les marchés du darknet (DNM), qui se spécialisent dans la vente de drogues et proposent également des informations personnelles identifiables (PII), sont les principaux moteurs du commerce illicite utilisant les crypto-monnaies. Un sous-ensemble plus petit et plus insaisissable du commerce illicite concerne les matériels d'abus sexuels sur les enfants (CSAM).
Trafic de drogues illicites
Le commerce de drogues illicites via les crypto-médias se déroule principalement sur les DNM - des plateformes de commerce mondial illicite en ligne multifournisseurs situées sur le "darknet", une section cryptée d'internet qui n'est ni accessible à partir des navigateurs internet standard ni indexée par les moteurs de recherche.
Forme établie de criminalité organisée transnationale, les DNM combinent des réseaux d'anonymisation et des crypto-monnaies avec des technologies de cryptage. Ils se distinguent des boutiques indépendantes à fournisseur unique qui vendent également des drogues illicites, et d'autres types de magasins de fraude.
1,49 milliard USD ont été dépensés pour les DNM en 2022, selon TRM Labs TRM Labs. Plus de 80 % de cette somme a été dépensée pour des DNM en langue russe. En revanche, le plus grand DNM occidental en bitcoins existant actuellement - ASAP Market - représentait moins de 10 % de la part du marché mondial des DNM. La plupart des MNP en langue russe ne prennent en charge que le bitcoin, et ne proposent pas d'options de pièces de monnaie privées. Cela peut s'expliquer par le fait qu'ils perçoivent moins le risque d'être démantelés par les autorités. En revanche, les DNM occidentaux emploient davantage de mesures de sécurité opérationnelle sur la chaîne et proposent soit uniquement Monero, soit Monero avec Bitcoin.
Magasins des vendeurs
Également connues sous le nom de marchés à fournisseur unique, les boutiques de vente sont des plateformes en ligne qui hébergent des ventes de drogues illicites réservées à un fournisseur particulier. Ces vendeurs indépendants utilisent toute une série de services en ligne, depuis les sites web du darknet tels que les sites en oignon sur le réseau Tor et les sites eepSites sur le réseau I2P, jusqu'aux robots Telegram, en passant par les interactions directes sur les applications de communication cryptées et les services de courrier électronique crypté. De nombreux propriétaires de boutiques de vente négocient également simultanément sur des DNM.
Proposant généralement une gamme limitée de produits, parfois seulement un ou deux types de drogues, les boutiques de vente ont commencé à se faire connaître dans le sillage de l'opération Onymous en 2014. Cette action internationale de répression a entraîné la fermeture de plusieurs grands DNM, ce qui a poussé les clients à chercher d'autres sources d'approvisionnement. TRM Labs indiquent qu'en 2022, les boutiques de vente ont reçu plus de 230 millions USD.
Le fait de traiter directement avec des boutiques de vente comporte plus de risques pour les clients que de traiter avec des vendeurs sur des DNM en raison de l'absence d'un tiers neutre qui fournit le service de dépôt fiduciaire, gère les transactions et sert de médiateur en cas de litige.
Services de lutte contre la cybercriminalité
Les formes de commerce illicite décrites dans la section 1 sont souvent facilitées par les forums de cybercriminalité. Également appelés "dark web" ou "darknet", ces forums sont des plateformes où les cybercriminels discutent, vendent et promeuvent des activités illicites de manière anonyme. Ce faisant, ces forums jouent un rôle important dans la connexion et le développement de la cybercriminalité. Les forums cybercriminels tirent leurs revenus des frais d'inscription, de la publicité, des services de dépôt fiduciaire et des mises à niveau du statut des comptes.
Deux exemples marquants de ces forums étudiés par TRM Labs sont Exploit.in et Cracked.io. Exploit est un forum russe sur la cybercriminalité créé en 2005. Les discussions sur le forum se concentrent sur le partage des exploits et des vulnérabilités de divers systèmes informatiques. Exploit est également un marché pour les accès initiaux, les biens numériques, les logiciels malveillants et les vulnérabilités dites "zero-day" - des failles de sécurité dans une application logicielle ou un système qui sont inconnues du vendeur ou du développeur et pour lesquelles aucun patch ou correctif n'a été publié.
Cracked est un forum de piratage anglophone bien connu, qui compte plus de 3,5 millions d'utilisateurs et 22,6 millions de messages sur le piratage, le cracking, les fuites et d'autres sujets connexes. Cracked comprend également une place de marché pour les produits illicites. Cette plateforme change périodiquement ses portefeuilles de crypto-monnaies.
Hébergement à l'épreuve des balles
Les services d'hébergement à l'épreuve des balles (BPHS) facilitent les menaces illicites telles que les réseaux de zombies, les logiciels malveillants, les contenus CSAM, les forums de cybercriminalité et le Rançonlogiciel , tout en fournissant un hébergement anonyme sécurisé pour les contenus et les activités malveillants. Tous les BPHS ne sont pas illicites : de nombreux services de protection DDOS utilisent également le terme "bulletproof" dans leurs publicités. TRM Labs ne suit que les entités qui autorisent l'hébergement de menaces ou de contenus illicites et qui ignorent les demandes d'abus.
Les hébergeurs à l'épreuve des balles peuvent ignorer les demandes d'abus et d'autres demandes légales parce qu'ils sont souvent basés dans des pays qui n'ont pas de réglementation stricte en matière d'internet. En outre, ces fournisseurs peuvent prendre des mesures pour protéger l'anonymat de leurs clients et empêcher que leur identité ne soit révélée. Certains hébergeurs à toute épreuve peuvent également ne demander que peu ou pas d'informations d'identification à leurs clients, ce qui rend difficile pour les autorités de retrouver les propriétaires de sites web illicites. Ces services sont également essentiels pour les acteurs illicites qui superposent leurs identités en ligne afin de dissimuler leurs activités illicites.
La plupart des grandes entités de BPHS exigent une configuration manuelle, y compris, par exemple, un balayage de masse d'un réseau. Certaines entités font également la publicité de leurs offres sur leurs sites web, permettant aux utilisateurs de choisir la configuration de leur serveur dans un catalogue et de payer en crypto à la caisse. Les sites web de BPHS de ce type utilisent souvent des processeurs de paiement.
Carte de crédit (CC) Checkers
Les vérificateurs de cartes de crédit sont des services illicites du darknet utilisés pour valider des cartes de paiement compromises en effectuant des micro-transactions non autorisées dans des magasins en ligne spécifiques. Ils sont également utilisés pour vérifier si un numéro de carte de crédit est valide conformément aux règles applicables à ce type de carte, et si la date d'expiration et le code CVV correspondent aux informations détenues par la banque émettrice. Certains vérificateurs de cartes de crédit peuvent également fournir des informations supplémentaires sur la carte, telles que le type de carte et le nom de la banque émettrice.
Les CC checkers sont entièrement automatisés en termes d'acceptation des paiements. Ils disposent généralement de leur propre site web et de leurs propres robots télégraphiques, et peuvent également fonctionner en tant que vérificateurs intégrés dans les boutiques de carding, en fournissant leur API (interface de programmation d'applications) à la boutique de carding. Contrairement aux forums de cybercriminalité ou aux BPHS, les CC checkers n'ont pas de frais généraux fixes, ce qui maximise leurs marges bénéficiaires.
4check, un éminent vérificateur de CC, a levé 2,8 millions USD de crypto-monnaie auprès de 16 boutiques de carding/PII (informations personnelles identifiables) entre janvier 2016 et octobre 2022. Une enquête menée sur la chaîne a révélé que les magasins de carding utilisaient probablement 4check comme vérificateur de CC intégré. Deux boutiques de carding, Bypass et Ferum, étaient les plus gros clients de 4check, ayant payé un total de 1,2 million USD chacune.
%20Checkers_Body%402x.png)
Trafic illicite de marchandises volées
Les crypto-monnaies sont depuis longtemps liées à la réception et au trafic de biens volés. Le darkweb regorge de places de marché illicites qui acceptent les crypto-monnaies en échange de données de cartes de crédit volées, d'informations personnelles identifiables (PII), de produits contrefaits et d'autres produits. On a également signalé des cas de commerce illicite sur le darknet impliquant des antiquités et d'autres artefacts culturels importants.
Cartes et informations personnelles identifiables (IPI)
Les boutiques de cartes et d'informations nominatives sont des entités associées à l'achat, à la vente ou à la distribution de données de cartes de paiement et d'informations nominatives à l'aide de crypto-monnaies. Elles vont des plateformes de marché illicites qui agissent comme des courtiers mettant en relation les acheteurs et les vendeurs de cartes de paiement compromises et de données PII, aux boutiques de vendeurs individuels qui vendent des données de cartes de paiement et de PII.
Atteintes à la propriété intellectuelle
Selon les estimations d'Europol, les produits contrefaits représentent entre 1,5 % et 2,5 % de l'ensemble des inscriptions sur les DNM. Il s'agit principalement de faux billets de banque et de fausses cartes d'identité. Parmi les autres produits disponibles sur le darknet qui portent atteinte aux droits de propriété intellectuelle, on peut citer
- Vêtements, textiles et accessoires
- Produits électroniques, y compris les téléphones portables
- Bijoux
- Logiciels piratés
- Livres électroniques piratés
- Produits pharmaceutiques (en particulier les médicaments liés au mode de vie, les stéroïdes et les hormones)
- Abonnements à des chaînes de télévision, à des plateformes musicales et à des comptes de jeux en ligne
- Montres
Traite des êtres humains et trafic de migrants
Malgré les affirmations selon lesquelles les crypto-monnaies sont utilisées comme moyen de paiement pour la traite des êtres humains, les recherches de TRM suggèrent que le lien le plus important entre les crypto-monnaies et la traite des êtres humains est l'utilisation de la traite des êtres humains pour soutenir les escroqueries et les fraudes liées aux crypto-monnaies.
Par exemple, on a découvert que des victimes de la traite des êtres humains travaillaient dans des centres d'appel illégaux gérés par des syndicats criminels chinois qui organisent des escroqueries pig butchering en crypto-monnaie. Ces escroqueries s'appuient sur la manipulation psychologique pour anéantir les économies de toute une vie des victimes en leur promettant des retours sur investissement importants. Selon le FBI, les personnes attirées par de fausses offres d'emploi proposant des rémunérations lucratives se voient ensuite confisquer leur passeport et sont contraintes de commettre des fraudes aux crypto-monnaies. Plus récemment, les autorités philippines ont sauvé des victimes qui auraient été victimes de la traite des êtres humains pour travailler dans un centre d'appel de crypto escroquerie basé au Cambodge.
Matériel relatif aux abus sexuels et à l'exploitation des enfants (CSAM)
La violence sexuelle à l'égard des enfants comprend les images ou les vidéos montrant un enfant se livrant à une activité sexuelle explicite ou présenté comme tel.
TRM a analysé plus de 3 millions de dollars envoyés à des adresses de crypto-monnaies impliquées dans des activités de CSAM en ligne en 2022. Plus des deux tiers de ces paiements semblent avoir été effectués à des escrocs de CSAM, qui tentent de convaincre les acheteurs potentiels d'images de CSAM de payer pour des images ou un accès VIP à des galeries qui s'avèrent ne pas exister.
_Body%402x.png)
La part disproportionnée des fonds reçus par les escrocs du CSAM, qui font une large publicité sur le darknet et traitent presque exclusivement en crypto-monnaies, peut s'expliquer au moins en partie par le fait que les véritables vendeurs de CSAM font rarement la promotion publique de leur activité et continuent de privilégier les canaux de financement traditionnels.
En étudiant les propriétés et les comportements des acteurs du CSAM, l'blockchain intelligence peut permettre aux enquêteurs d'identifier les réseaux internationaux de CSAM, de dresser le profil des clients persistants du CSAM et d'exposer les fournisseurs qui se font passer pour des escrocs afin d'échapper à l'attention des forces de l'ordre en se cachant au vu et au su de tous.
Meurtres à louer
Ces dernières années, on a assisté à une augmentation des tentatives d'utilisation de crypto-monnaies pour payer des meurtres à façon. Il convient de noter qu'au moment de la publication de ce rapport, il n'y a pas eu d'exemples publiquement documentés de meurtres commandités payés en crypto-monnaies. Toutefois, il existe des preuves de la demande pour de tels services, comme le montrent les poursuites engagées contre plusieurs personnes qui ont tenté de payer des meurtres à forfait avec des crypto-monnaies.
En 2022, un homme de Los Angeles a plaidé coupable à une accusation fédérale de meurtre par personne interposée après avoir envoyé pour 13 000 USD de bitcoins sur un site web du darknet afin d'engager un tueur à gages pour tuer une femme qui avait repoussé ses avances.
D'autres cas de personnes accusées d'avoir utilisé des crypto-monnaies pour payer des tueurs à gages ont été signalés ailleurs. En 2022, une habitante du Mississippi a été condamnée à dix ans de prison pour avoir tenté de faire tuer son mari contre une somme de 10 000 USD en bitcoins.
De tels événements ne se sont pas limités aux États-Unis. En 2021, Europol et la police italienne ont collaboré à l'arrestation d' un homme soupçonné d'avoir payé 10 000 euros en bitcoins pour engager un assassin afin de tuer son ex-petite amie. Dans ce cas, le fournisseur de services d'actifs virtuels (VASP) impliqué dans le transfert des bitcoins au tueur en puissance a coopéré avec les autorités en fournissant des détails sur le suspect.
2. Paiements illicites
Les crypto-monnaies ont été utilisées pour échapper aux contrôles des capitaux et effectuer des paiements illicites à des groupes terroristes, à des fonctionnaires corrompus ou à des juridictions et individus sanctionnés. "Une plus grande utilisation des crypto-monnaies est empiriquement associée à une corruption perçue plus élevée et à des contrôles de capitaux plus intensifs", indique un document de travail de 2022 du Fonds monétaire international. Il a constaté que "les pays où le contrôle de la corruption est plus faible (plus de corruption) et où le degré d'ouverture des capitaux est plus faible (plus de contrôles des capitaux) ont tendance à avoir une plus grande part d'adoption des crypto-monnaies, ce qui suggère que les crypto-monnaies peuvent être utilisées pour transférer les produits de la corruption ou contourner les contrôles des capitaux".
Financement du terrorisme
Le financement du terrorisme fait référence à la fourniture d'un soutien financier aux organisations terroristes et aux individus impliqués dans des activités terroristes. Les crypto-monnaies ont été utilisées pour le financement du terrorisme en raison notamment de leur anonymat perçu et de la facilité des transferts transfrontaliers.
Les campagnes de collecte de fonds pour les familles de l'ISIS détenues dans des camps d'internement dans le nord-est de la Syrie ont été un moteur important de l'utilisation des crypto-monnaies par l'ISIS et ses partisans. TRM Labs a identifié des dizaines de campagnes de collecte de fonds qui acceptaient les crypto-monnaies en 2022 et qui ont permis de récolter entre quelques dollars et des dizaines de milliers.
TRM Labs a également identifié de nombreux groupes pro-ISIS au Pakistan et au Tadjikistan qui collectent des dizaines de milliers de dollars en crypto-monnaie pour diffuser de la propagande et recruter des combattants. Au cours de l'année 2022, TRM Labs a observé une augmentation significative de l'utilisation de la blockchain TRON parmi les groupes terroristes et les campagnes de collecte de fonds associées, certains l'utilisant exclusivement. L'écrasante majorité de ces acteurs collectaient des dons en stablecoin Tether (USDT). Parmi les entités de financement du terrorisme suivies par TRM Labs en 2022, l'utilisation du Tether a augmenté de 240 % d'une année sur l'autre, alors que celle du bitcoin n'a augmenté que de 78 %.
En 2022, de nombreuses entités de financement du terrorisme, y compris des bourses de crypto-monnaies basées en Syrie et impliquées dans des campagnes de financement du terrorisme, ont commencé à expérimenter des bourses décentralisées. Les bourses décentralisées (DEX) sont des places de marché peer-to-peer où les individus peuvent échanger des crypto-monnaies de manière non privative de liberté.
Pots-de-vin et corruption
Plusieurs affaires de corruption avérée ou présumée impliquant des crypto-monnaies ont défrayé la chronique. En 2021, le fondateur de FTX, Sam Bankman-Fried, aurait versé un pot-de-vin de 40 millions USD en crypto-monnaies à des fonctionnaires chinois en échange du déblocage de comptes d'entreprise contenant plus d'un milliard USD de crypto-monnaies.
En 2022, le Department of Justice américain Department of Justice a accusé deux officiers de renseignement chinois d'avoir tenté de soudoyer un employé du gouvernement américain avec 61 000 USD en bitcoins pour voler des documents liés à une enquête sur le géant chinois de la technologie Huawei.
Les crypto-monnaies peuvent également être utilisées pour influencer les électeurs lors des campagnes électorales. En 2019, un candidat au poste de gouverneur à Saint-Pétersbourg, en Russie, a distribué des jetons de crypto-monnaie aux électeurs lors de sa campagne.
Espionnage
Les activités d'espionnage peuvent impliquer le transfert secret de fonds pour soutenir la collecte de renseignements ou d'autres opérations secrètes. Les crypto-monnaies peuvent constituer un moyen discret et sécurisé de transférer des fonds, ce qui en fait une option intéressante pour les acteurs étatiques ou non étatiques engagés dans l'espionnage.
En novembre 2022, l'ingénieur nucléaire américain Jonathan Toebbe et son épouse Diana ont été condamnés respectivement à 18 et 21 ans de prison pour avoir tenté de transmettre une technologie secrète de propulsion nucléaire à un pays tiers. Dans leurs échanges avec des agents du FBI se faisant passer pour des fonctionnaires étrangers, le couple a demandé à être payé en monnaie privée Monero.
L'utilisation de crypto-monnaies axées sur la protection de la vie privée ou de services de mixeur peut encore renforcer l'anonymat des transactions, ce qui rend plus difficile pour les autorités de retrouver la source ou la destination des fonds. En décembre 2022, l 'Iran a exécuté quatre espions israéliens prés umés accusés d'avoir été payés en crypto-monnaies. La même année, la Corée du Sud a arrêté deux de ses ressortissants accusés d'avoir accepté des crypto-monnaies pour espionner au nom de la Corée du Nord.
Evasion des contrôles à l'exportation
La fraude au contrôle des exportations consiste à utiliser des crypto-monnaies pour contourner les contrôles des capitaux des États et les restrictions à l'exportation de certains biens ou technologies. Les individus peuvent utiliser des actifs numériques pour faciliter le paiement d'articles interdits, en contournant les systèmes financiers traditionnels qui pourraient signaler ou bloquer de telles transactions.
Une étude réalisée en 2019 par des chercheurs de l'université chinoise de Hong Kong, de l'université Deakin et de l'université de technologie de Sydney a révélé que les crypto-monnaies étaient largement utilisées par les négociants en Chine pour contourner les contrôles des capitaux.
Évasion des sanctions
Les autorités américaines avertissent depuis longtemps que la Corée du Nord, l'Iran et la Russie pourraient utiliser les crypto-monnaies pour échapper aux sanctions. L'Union européenne a également pris des mesures pour empêcher la Russie d'utiliser les crypto-monnaies pour échapper aux sanctions internationales imposées après son invasion de l'Ukraine en 2022.
L'analyse en chaîne n'a pas encore montré que cela se produisait de manière significative aujourd'hui. Les experts estiment que cela est probablement dû au manque actuel de liquidité des crypto-monnaies par rapport à l'économie d'un pays.
Néanmoins, la Russie, l'Iran et la Corée du Nord ont été observés en train d'utiliser les crypto-monnaies pour compenser l'impact des sanctions internationales en menant des cyberattaques et en minant du bitcoin : ces deux pratiques génèrent des revenus qui aident à compenser les pertes en matière de commerce et d'investissement. En 2022, l'Office of Foreign Assets Control (OFAC) du département du Trésor américain a sanctionné une société russe de minage de crypto-monnaies afin d'éviter que le minage ne devienne un "mécanisme permettant au régime de Poutine de compenser l'impact des sanctions".
L'OFAC a également sanctionné des adresses de crypto-monnaies liées à des facilitateurs de la prolifération d'armes nord-coréennes et à des groupes paramilitaires russes. En outre, le Trésor américain a utilisé des sanctions pour cibler le blanchiment d'argent lié à l'évasion des sanctions. Par exemple, en 2022, l'OFAC a sanctionné le service de mixeur basé sur Ethereum, Tornado Cash, pour son implication dans le blanchiment de fonds piratés et volés par la Corée du Nord.
Financement de la prolifération
Le financement de la prolifération implique l'utilisation de crypto-monnaies pour financer le développement ou l'acquisition d'armes de destruction massive (ADM) ou de matériaux connexes. En utilisant des actifs numériques, les parties impliquées dans des activités de prolifération peuvent éviter la surveillance des systèmes financiers traditionnels et se soustraire aux régimes internationaux de non-prolifération.
En avril 2023, les États-Unis, le Japon et la Corée du Sud ont accusé Pyongyang de financer son programme d'armes de destruction massive à l'aide de crypto-monnaies volées.
3. Fraude et escroquerie
Les fraudes et escroqueries liées aux crypto-monnaies comprennent les fraudes à l'investissement telles que les systèmes pyramidaux, les délits d'initiés, les attaques de phishing visant à voler les clés privées et les identifiants d'échange, le pig butchering et les escroqueries basées sur l'usurpation d'identité telles que la compromission des courriels d'entreprise (BEC). Les escrocs ont également recours à des tentatives de chantage, dans lesquelles ils prétendent détenir des informations sensibles ou préjudiciables et exigent un paiement en crypto-monnaie pour les restituer ou les supprimer.
Bien que les termes "fraude" et "escroquerie" soient souvent utilisés de manière interchangeable, la communauté des crypto-monnaies fait généralement référence aux "escroqueries". En général, ce concept fait référence à des personnes trompées qui envoient des crypto-monnaies et d'autres actifs numériques (ou qui cliquent sur quelque chose qui permet le transfert) à un endroit où elles ne l'auraient pas fait si elles avaient connu la vérité.
Plusieurs types de fraude peuvent coexister au sein d'un même système. Par exemple, un système de pig butchering peut impliquer une escroquerie à la romance, une escroquerie à l'investissement, une escroquerie aux frais d'avance et une escroquerie la récupération d'actifs. De même, un système d'investissement fonctionnant autour d'un nouveau jeton peut impliquer une manipulation du marché, un système pyramidal et une escroquerie de sortie.
TRM Labs a identifié environ 9,04 milliards de dollars envoyés à différents types de fraude en 2022, la grande majorité allant à des schémas de Ponzi et/ou pyramidaux apparents.
Fraude à l'investissement
La fraude à l'investissement est centrée sur la sollicitation de fonds pour des investissements ou des projets frauduleux. Dans le domaine des crypto-monnaies, il s'agit souvent de fausses offres initiales de pièces de monnaie (ICO), de titres non enregistrés ou de plateformes d'investissement frauduleuses. La fraude à l'investissement impliquant des crypto-monnaies a augmenté de près de 200 %, passant de 907 millions USD en 2021 à 2,57 milliards USD en 2022, selon le rapport annuel du FBIsur la criminalité sur Internet.
Systèmes de pyramide et de Ponzi
Les systèmes pyramidaux et de Ponzi sont des systèmes d'investissement frauduleux qui reposent sur le recrutement constant de nouveaux investisseurs ou investissements afin de générer des bénéfices pour les investisseurs précédents. Ces systèmes s'effondrent souvent lorsqu'il devient impossible de recruter suffisamment de nouveaux investisseurs ou d'investissements pour maintenir les paiements.
TRM Labs a identifié au moins 7,78 milliards de dollars en volume entrant en 2022 liés à ces types de schémas. Dix des plus grands schémas représentaient environ 54 % du montant total. Un peu moins de 40 % du volume total entrant pour tous les schémas de fraude à l'investissement actifs en 2022 était sur TRON, principalement via USDT, soit plus du double des 17 % observés en 2021.
Plusieurs grandes pyramides de Ponzi basées sur les crypto-monnaies ont fait l'objet de poursuites en 2022. Deux des plus importantes étaient Forsage et Trade Coin Club, tandis que le fondateur de Bitconnect a été inculpé par le Department of Justice américainDOJ à la suite d'accusations portées par la Securities and Exchange Commission (SEC) en 2021.
Selon la SEC, Forsage était un système de Ponzi et de pyramide basé sur des crypto-monnaies qui a attiré les investisseurs avec des promesses de rendements élevés par le biais de plusieurs contrats intelligents sur Ethereum et BNB Chain dans ce que l'on appelle les "smart contracts" (contrats intelligents). TRM Labs appelle un système de fraude à l'investissement décentralisé. TRM Labs ont révélé que le système a reçu près de 400 millions de dollars depuis 2020. Le successeur apparent de Forsage, Meta Force, a reçu environ 574 millions de dollars en 2022.
Le Trade Coin Club était un système de Ponzi qui prétendait offrir des rendements élevés par le biais d'une plateforme d'échange de crypto-monnaies. Les opérateurs de la plateforme utilisaient les fonds des nouveaux investisseurs pour payer les rendements aux investisseurs précédents, et le système s'est finalement effondré, entraînant des pertes importantes pour de nombreux participants. Le Trade Coin Club a levé plus de 82 000 BTC - évalués à 295 millions USD à l'époque - auprès de plus de 100 000 investisseurs entre 2016 et 2018, selon les accusations déposées par la SEC en novembre 2022.
Pig Butchering
Les escroqueries au dépeçage Pig butchering reposent sur la manipulation psychologique et l'ingénierie sociale pour anéantir les économies de toute une vie des victimes en leur promettant un retour sur investissement important. Ces escroqueries se caractérisent souvent par l'utilisation généralisée de Tether par les escrocs, une interconnexion importante entre les escroqueries au pig butchering et des liens avec des groupes criminels organisés transnationaux. Comme les victimes ne signalent pas suffisamment les escroqueries en général, il est difficile de quantifier l'ampleur du pig butchering à l'échelle mondiale.
Une fois que la crypto-monnaie atteint le portefeuille d'un escroc, elle est généralement transférée d'un portefeuille à l'autre dans un réseau complexe de transactions entre les escrocs et les blanchisseurs d'argent (parfois les mêmes personnes), chaque portefeuille accumulant en cours de route des fonds provenant d'autres victimes. Les fonds circulent souvent de manière détournée, ce qui rend difficile pour les enquêteurs de suivre l'argent et de séparer les fonds des victimes des autres jetons.
TRM Labs indiquent que les portefeuilles de crypto-monnaies qui reçoivent des fonds de victimes d'escroqueries au pig butchering sont également souvent associés à d'autres escroqueries. Plus de la moitié des escroqueries au pig butchering de pig butchering étudiées par TRM Labs jusqu'en décembre 2022 présentaient des liens apparents avec de grands groupes criminels organisés transnationaux.
Le graphique ci-dessous, d'un schéma de pig butchering étudié par TRM Labsmontre de multiples escroqueries interconnectées opérées par les acteurs illicites, soit successivement, soit simultanément. En outre, les escrocs semblent s'être appuyés sur un seul réseau de blanchiment d'argent, les mêmes adresses apparaissant dans plusieurs cas.
Contrats intelligents trompeurs
Les contrats intelligents trompeurs sont intentionnellement conçus pour inciter les utilisateurs à transférer des fonds ou à leur accorder des autorisations. L'exemple le plus notable est le drainware - des contrats intelligents qui, lors de l'interaction, accordent à l'attaquant la permission de déplacer des fonds du portefeuille de la victime. Les faux jetons sont une autre forme de contrats intelligents trompeurs.
Articles d'égouttage
Le Drainware est un type de smart contract malveillant qui a été qualifié de "draineur", "balayeur" et "draineur de portefeuille". Les attaques par drainware fonctionnent en drainant la crypto-monnaie et les NFT (jetons non fongibles) directement du portefeuille d'un utilisateur après qu'il ait signé à son insu une transaction pour acheter et monnayer un NFT, ou qu'il ait interagi avec un site web d'hameçonnage.
Jusqu'à ce que son créateur le ferme en 2023, Monkey Drainer était l'un des derniers grands drainwares ciblant massivement le secteur de la cryptographie. Le contrat malveillant ne demandait aux utilisateurs que d'approuver et de signer les transactions, ce qui le rendait plus simple que de nombreuses méthodes d'attaque traditionnelles. La plupart des crypto-monnaies volées par Monkey Drainer ont été blanchies par l'intermédiaire de Tornado Cash. Dans certains cas, les fraudeurs ont utilisé des portefeuilles intermédiaires avant de tenter d'encaisser les fonds volés auprès de trois bourses centralisées. Depuis la disparition de Monkey Drainer, d'autres, comme Venom Drainer, ont pris la relève.
Cette augmentation spectaculaire des attaques par drainware a même conduit à l'émergence de Drainer Templates as a Service (DTaaS), qui fournissent des modèles préconstruits prêts à être lancés et permettent aux attaquants de lancer des contrats malveillants à grande échelle, comme on l'a vu lors du boom des NFT en 2021. Certains draineurs tentent également d'escroquerie leurs utilisateurs criminels, par exemple en envoyant des NFT ou des jetons de grande valeur au créateur initial du contrat malveillant et des jetons de moindre valeur à l'acteur qui manie le draineur. Cela a conduit à l'essor de toute une industrie de "lescroquerie", offrant des packages malveillants complets avec un site web d'hameçonnage, un bot de serveur discord et un smart contract.
Spoof Tokens
Les tokens spoof sont des jetons cryptographiques - qu'il s'agisse de nouvelles pièces ou de NFT - mis en place par des escrocs qui manipulent le jeton pour faire croire qu'ils ont été envoyés à partir d'adresses associées à des célébrités, à des influenceurs de haut niveau, à des entreprises ou à des projets spécifiques. Croyant qu'ils sont populaires et potentiellement lucratifs, les investisseurs sont trompés et achètent ces jetons alors qu'ils n'ont en réalité aucune valeur.
Pour fabriquer des jetons usurpés, les escrocs créent un nouveau smart contract jeton et lui donnent un nom en rapport avec ce qu'ils usurpent. Ils peuvent également modifier le code du smart contract pour permettre à l'escroc d'envoyer le jeton au nom d'autres adresses, en faisant croire que ce sont ces adresses qui sont à l'origine du transfert.
Un exemple récent de jeton usurpé est le jeton "Peaceful World", qui prétendait être un jeton largué par le gouvernement ukrainien.
Escroqueries à la sortie
Les escroqueries à la sortie, également connues sous le nom de "rugpulls", se produisent lorsque les opérateurs d'un projet - souvent lié à des investissements ou à un nouveau jeton - cessent de développer le projet et retirent les fonds des utilisateurs pour eux-mêmes. Ces escroqueries peuvent se produire de manière abrupte, lorsque les développeurs du projet et les fonds disparaissent soudainement, ou de manière plus lente, lorsque l'argent est siphonné petit à petit et que les développeurs deviennent de moins en moins actifs. Parfois, les projets sont qualifiés de "rugpulls" par la communauté lorsqu'ils promettent trop et ne tiennent pas leurs promesses, bien qu'il soit plus difficile de les qualifier de frauduleux.
Ils ciblent souvent les projets de finance décentraliséeDeFi. Dans le cas d'un nouveau jeton, les créateurs du projet peuvent retirer les liquidités du pool d'échange, ce qui fait chuter la valeur des jetons associés. Les investisseurs se retrouvent avec des jetons sans valeur et sans aucun moyen de récupérer leurs fonds. De nombreux systèmes pyramidaux et de Ponzi se terminent par un comportement de type "escroquerie", où les paiements cessent d'être effectués aux investisseurs et où les créateurs du système s'emparent des fonds restants et disparaissent.
En juin 2022, le Department of Justice américain Department of Justice a inculpé un ressortissant vietnamien d'un chef d'accusation de complot en vue de commettre une fraude électronique et d'un chef d'accusation de complot en vue de commettre un blanchiment d'argent international. Le Ahn Tuan avait créé un projet de NFT appelé Baller Ape Club, qui vendait des NFT de singes de dessins animés. Selon l'acte d'accusation, une fois que Tuan et ses complices ont collecté quelque 2,6 millions de dollars auprès des investisseurs, ils ont procédé à un détournement de fonds, mettant fin au prétendu projet d'investissement, supprimant son site web et dérobant l'argent des investisseurs.
Frosties NFT était un autre projet NFT qui promettait de l'art numérique et des objets de collection exclusifs. Cependant, peu après le lancement du projet, les deux créateurs âgés de 20 ans ont fermé le site web et les serveurs Discord, supprimé la liquidité du pool d'échange et disparu avec 1,1 million de dollars des fonds des investisseurs. Selon la plainte duDOJ , le duo a transféré le produit de la fraude vers divers portefeuilles de crypto-monnaies qu'il contrôlait, dans le cadre de multiples transactions destinées à dissimuler la source initiale des fonds. Ils ont ensuite été arrêtés et accusés de fraude électronique et de complot en vue de commettre un blanchiment d'argent.
Hameçonnage
Le phishing implique l'utilisation de courriels, de sites web ou de messages frauduleux pour inciter les utilisateurs à révéler des informations sensibles, telles que des clés privées ou des identifiants de connexion. Dans le domaine des crypto-monnaies, les attaques de phishing peuvent cibler les utilisateurs de portefeuilles numériques ou d'échanges, entraînant le vol de fonds.
Les attaques d'hameçonnage liées aux cryptomonnaies ont pris de l'ampleur pendant le boom des ICO (Initial Coin Offering) en 2017. Les victimes visées par ces attaques de phishing ne perdaient que le montant de crypto-monnaie qu'elles envoyaient par erreur à la mauvaise adresse. Lorsque les NFT sont devenues monnaie courante, les attaquants ont commencé à cibler les investisseurs novices en NFT en exploitant la "FOMO" - la peur de manquer - et le battage médiatique entourant le monde des NFT.
TRM Labs a observé des centaines d'attaques de phishing au cours de l'année dernière ciblant des projets NFT, où la messagerie en temps réel sur de multiples plateformes a permis aux attaquants de cibler les investisseurs NFT en publiant rapidement des liens vers des sites web de phishing.
L'"empoisonnement d'adresses", un type d'hameçonnage relativement nouveau, a pris de l'ampleur en 2022. L'escroc crée une adresse qui ressemble à celle à laquelle la victime a déjà envoyé des fonds. L'escroc envoie ensuite une petite quantité de crypto-monnaie à la cible dans l'espoir qu'elle effectuera à son insu un futur paiement à cette adresse d'escroquerie à la place du destinataire prévu.
Escroqueries à l'usurpation d'identité
Liées au phishing, les escroqueries par usurpation d'identité impliquent que des criminels se fassent passer pour des personnes ou des organisations bien connues afin de tromper les victimes et les inciter à envoyer des fonds ou à révéler des informations sensibles. Dans le domaine des crypto-monnaies, les escroqueries par usurpation d'identité peuvent impliquer des criminels qui se font passer pour des représentants d'échanges, de fournisseurs de portefeuilles ou de célébrités pour inciter les utilisateurs à envoyer des crypto-monnaies à des adresses frauduleuses ou à divulguer des informations sensibles.
Les escrocs peuvent créer de faux sites web ou comptes de médias sociaux qui ressemblent à des bourses de crypto-monnaies ou à des fournisseurs de portefeuilles légitimes. Ils se font passer pour des agents du service clientèle et contactent des utilisateurs peu méfiants en leur proposant de les aider à résoudre des problèmes techniques ou des problèmes de compte. Les utilisateurs sont persuadés de partager leurs identifiants de connexion, leurs clés privées ou des informations sensibles, ce qui permet aux escrocs de voler leurs fonds.
De même, les escrocs créent des sites web, des comptes de médias sociaux ou des campagnes de courrier électronique frauduleux pour se faire passer pour des projets cryptographiques légitimes. Les utilisateurs peu méfiants envoient leurs crypto-monnaies, mais les escrocs disparaissent avec les fonds, laissant les investisseurs sans rien.
Compromission du courrier électronique des entreprises
La compromission des courriers électroniques professionnels (BEC) est un type d'escroquerie dans lequel des criminels se font passer pour une entreprise ou une organisation légitime afin d'inciter des employés ou des partenaires à transférer des fonds ou à révéler des informations sensibles.
Les escroqueries BEC peuvent impliquer la compromission de comptes de messagerie appartenant à des employés d'échanges, de fournisseurs de portefeuilles ou d'autres organisations, conduisant au vol de fonds ou de données sensibles. En 2022, les BEC ont représenté 2,7 milliards de dollars (crypto et fiat) de pertes signalées par les victimes au Centre de plaintes pour les crimes sur Internet (IC3) du FBI.
Escroqueries au commerce illicite
Pour presque chaque type de commerce ou d'activité illicite dans l'espace cryptographique, il existe une version escroquerie , que l'on trouve parfois sur le dark web. TRM Labs a trouvé des services de blanchiment d'argent escroquerie , des ateliers de cardage, des vendeurs de drogue, des fournisseurs de services de meurtre, des vendeurs d'armes, des vendeurs de CSAM, des services de piratage, des services de manipulation de marché, des fournisseurs d'escroquerie et des vendeurs de Rançonlogiciel .
Escroqueries par chantage
Les escroqueries par chantage impliquent généralement que l'escroc envoie des courriels menaçants à des destinataires aléatoires, affirmant avoir connaissance d'infidélité, d'utilisation de pornographie ou d'autres détails personnels potentiellement embarrassants qui seraient rendus publics à moins qu'un paiement en crypto-monnaie ne soit effectué.
Dans de nombreux cas, l'escroc ne possède pas les informations en question. Le type le plus courant semble être la "sextorsion", où l'escroc envoie des courriels à des centaines ou des milliers de personnes en prétendant avoir installé un logiciel malveillant sur leur ordinateur ou leur téléphone qui a enregistré la consultation de sites pornographiques par le destinataire. Il demande ensuite à la victime d'envoyer de la crypto-monnaie - généralement des bitcoins - à l'escroc pour que les vidéos ne soient pas envoyées à ses amis et à sa famille.
Autres escroqueries
Les escrocs sont créatifs et peuvent transformer presque n'importe quelle activité en escroquerie . Il existe donc de nombreux autres types d'escroqueries que celles mentionnées dans le présent document. Il s'agit notamment des escroqueries au recouvrement d'actifs, aux paiements excessifs, aux mules, aux différentes variantes de l'escroquerie à l'avance et à l'escroquerie de base qui consiste tout simplement à ne pas donner à l'acheteur ce qu'il a acheté.
Détournement de fonds
Le détournement de fonds s'inscrit souvent dans le cadre de nombreuses autres fraudes et escroqueries mentionnées ici, mais il peut également se produire de manière indépendante. Il est lié au détournement de fonds, mais dans certaines juridictions, il s'agit d'un délit distinct.
Les détournements de fonds accompagnent souvent les systèmes de fraude à l'investissement, où, au lieu d'investir les fonds des clients comme promis, l'opérateur du système les détourne soit à des fins personnelles - comme l'achat de produits de luxe - soit à d'autres fins commerciales. Par exemple, la SEC affirme que l'ancien PDG d'Alameda Research "a utilisé les fonds détournés des clients de FTX pour les activités de négociation d'Alameda".
En 2021, un employé de Microsoft a été arrêté pour avoir prétendument détourné 10 millions USD de fonds de l'entreprise en créant secrètement des milliers de codes de cartes-cadeaux XBox officielles qu'il a ensuite vendues à prix réduit en ligne en échange de crypto-monnaie.
Extorsion
L'extorsion de crypto-monnaie peut prendre de nombreuses formes. À la base, il s'agit d'individus qui menacent leurs victimes et exigent un paiement en crypto-monnaie. Elle peut également impliquer l'utilisation d'un logiciel malveillant connu sous le nom de Rançonlogiciel. En tant que telle, elle est souvent poursuivie aux États-Unis en vertu des lois sur la fraude.
En mai 2023, un ancien employé d'une société publique de technologie basée à New York a été condamné à six ans de prison pour avoir volé des fichiers de l'entreprise et exigé près de 2 millions d'USD pour les récupérer. En 2019, un groupe d'agents des services secrets russes aurait extorqué un magnat des médias en échange de 670 000 USD de bitcoins.
Dans d'autres variantes d' extorsion, l'escroc utilise des techniques d'hameçonnage pour prendre le contrôle du profil Instagram de la victime. Les criminels forcent ensuite les victimes à filmer des vidéos demandant à leurs followers de participer à des programmes frauduleux d'enrichissement rapide en bitcoins.
Cependant, le Rançonlogiciel est de loin le principal vecteur d'extorsion de crypto-monnaie, et il est de plus en plus adopté par des groupes qui s'en prennent aux infrastructures de sécurité nationale des pays (voir ci-dessous).
Rançonlogiciel
Le Rançonlogiciel est un type de logiciel malveillant qui crypte les fichiers ou les données d'une victime, les rendant inaccessibles. L'attaquant demande ensuite une rançon, généralement en crypto-monnaie, en échange de la clé de décryptage. Le Rançonlogiciel est devenu une menace importante pour les particuliers, les entreprises et même les gouvernements, avec des attaques très médiatisées qui font la une des journaux.
Deux des syndicats de Rançonlogiciel les plus importants de ces dernières années ont été LockBit et Conti. LockBit s'est principalement concentré sur les installations gouvernementales, les soins de santé et la santé publique, ainsi que sur le secteur des services financiers. Conti a le plus souvent ciblé les industries critiques, les installations commerciales et les secteurs de l'alimentation et de l'agriculture. Lockbit, le groupe Rançonlogiciel le plus prolifique, a reçu au moins 100 millions de dollars de paiements depuis sa création, et 44 millions de dollars pour la seule année 2022, selon les données de TRM Labs des données de la chaîne.
L'invasion de l'Ukraine par la Russie a entraîné des changements importants dans l'écosystème russophone du Rançonlogiciel . TRM Labs l'analyse des transactions sur la chaîne, des rapports de sources ouvertes et des informations exclusives indique que LockBit et Conti se sont restructurés, probablement pour éviter les sanctions des pays occidentaux. Conti a mis fin à ses activités et s'est rebaptisé en au moins trois groupes plus petits - Black Basta, Karakurt et BlackByte.
Chantage
Le chantage peut être le fait de pirates informatiques extérieurs ou d'employés mécontents ayant accès aux informations de l'entreprise. Par exemple, en 2022, un ancien employé d'un fournisseur d'accès à Internet au Royaume-Uni a été condamné à deux ans et quatre mois de prison pour avoir tenté de faire chanter un cadre supérieur dont il avait piraté le disque dur, lui transférant des bitcoins d'une valeur de 40 000 livres sterling.
Les escrocs peuvent également utiliser la menace vide du chantage pour convaincre les victimes de leur transférer des crypto-monnaies - cette pratique est connue sous le nom d'escroquerie au chantage aux crypto-monnaies.
Enlèvement contre rançon
Les systèmes d'enlèvement contre rançon impliquent l'enlèvement de personnes et la demande d'une rançon en échange de la libération de la victime.
L'utilisation de crypto-monnaies dans des enlèvements a été signalée dans le monde entier. En 2020, un gang armé a enlevé une avocate à Mexico et a exigé près de 100 000 USD en bitcoins pour garantir sa liberté, tandis qu'en Inde, des criminels ont fixé une rançon de 2,3 millions USD pour la libération d'un garçon kidnappé. Ces deux incidents font suite à l'enlèvement, en 2019, d'une riche Norvégienne par des ravisseurs qui auraient demandé plus de 10 millions d'USD en crypto-monnaie.
Manipulation des marchés
La manipulation du marché dans l'espace des crypto-monnaies peut impliquer divers stratagèmes conçus pour influencer artificiellement le prix d'une crypto-monnaie ou d'un jeton. Il peut s'agir de systèmes de pompage et de dumping, de scalping, d'appels d'offres et de front-running.
L'un des exemples récents les plus marquants de cette pratique a eu lieu en octobre 2022, lorsque la plateforme Mango Markets, basée à Solana, a perdu environ 115 millions d'USD après qu'un groupe a manipulé son oracle des prix, l'autorité qui détermine la valeur d'un jeton. Le chef autoproclamé des pirates, Avraham Eisenberg, a par la suite révélé son identité et a qualifié les activités de son équipe de "stratégie commerciale très rentable" plutôt que de piratage.
Eisenberg a d'abord conclu un accord avec Mango Markets pour restituer environ 70 millions USD en échange d'une promesse de ne pas engager de poursuites pénales à son encontre. Néanmoins, il a été arrêté par les autorités américaines en décembre 2022 et accusé par la SEC d'avoir violé les dispositions des lois sur les valeurs mobilières relatives à la lutte contre la fraude et à la manipulation du marché. Par la suite, Mango Markets a également intenté une action en justice contre Eisenberg pour qu'il lui restitue les 47 millions USD restants, plus les intérêts.
Toujours en décembre 2022, la SEC a accusé les dirigeants d'Alameda Research et de FTX d'avoir manipulé le prix du jeton FTT de FTX "en achetant de grandes quantités sur le marché libre pour soutenir son prix".
Systèmes de pompage et de déversement
Les systèmes de pompage et de déversement impliquent l'achat coordonné d'une crypto-monnaie ou d'un jeton pour en gonfler artificiellement le prix, suivi d'une vente coordonnée une fois que le prix a atteint un certain niveau. Le prix s'effondre alors, entraînant des pertes considérables pour les investisseurs qui ne se doutent de rien. Ces stratagèmes sont souvent organisés par le biais de forums en ligne ou de groupes de médias sociaux et peuvent impliquer l'utilisation d'informations trompeuses ou fausses pour attirer de nouveaux investisseurs.
Des milliers de salons de discussion en ligne sur le web profond et obscur, ainsi que des canaux de discussion publics sur Telegram, sont consacrés à des systèmes de "pump and dump", certains comptant jusqu'à quatre millions d'abonnés dans un seul salon.
Des chercheurs du Centre for Blockchain Technologies de l'University College London (UCL) ont étudié les données de près de cinq millions de messages du deep et du dark web recueillies par Cloudburst Technologies, une société de surveillance du marché des crypto-monnaies, concernant la fraude à la manipulation du cours des crypto-monnaies. Les chercheurs ont constaté que les systèmes de "pump and dump" représentaient jusqu'à 120 milliards d'USD en volumes annuels de crypto-monnaies. L'analyse fondée sur la géolocalisation a révélé que les États-Unis étaient la principale source de "pump and dump", suivis par l'Iran, l'Iraq, le Yémen, le Pakistan, l'Égypte, l'Arabie saoudite, les Émirats arabes unis, la Turquie et la Russie.
De nombreux systèmes de "pump and dump" présentent également les caractéristiques d'une escroquerie. Par exemple, les organisateurs et les membres de haut rang d'un groupe Telegram peuvent fournir des signaux d'échange aux autres membres du groupe plusieurs minutes après qu'ils ont déjà effectué des échanges. Cela permet aux dirigeants du groupe de réaliser des bénéfices aux dépens des autres membres, qui sont amenés à croire qu'ils réaliseront des bénéfices en achetant ou en vendant le jeton en question selon les instructions des organisateurs.
Le comptage
Lorsqu'une personne fait la promotion d'une crypto-monnaie ou d'un autre actif numérique défini comme une valeur mobilière sans révéler qu'elle est payée par ses émetteurs, on parle de promotion - une pratique illégale en vertu des lois fédérales américaines sur les valeurs mobilières. Au cours des cinq dernières années, plusieurs célébrités ont été sanctionnées par la SEC pour avoir violé les lois sur la promotion lors de la promotion d'Initial Coin Offerings (ICO).
Dans une affaire particulièrement médiatisée, en octobre 2022, la SEC a inculpé Kim Kardashian West pour avoir vanté sur les médias sociaux un "titre d'actif cryptographique" offert et vendu par EthereumMax sans révéler qu'elle avait été payée 250 000 USD pour le faire. Kim Kardashian a payé 1,26 million d'USD de pénalités, de dégorgement et d'intérêts pour régler les accusations.
En mars 2023, la SEC a inculpé huit autres célébrités, dont Lindsay Lohan et l'influenceur de YouTube Jake Paul, pour avoir fait de l'appel à l'épargne. La plupart des accusés ont payé pour régler les accusations.
Fonctionnement en première ligne
Le "front-running" implique que des individus ou des groupes exploitent leur accès à l'information ou aux systèmes de négociation pour tirer profit des transactions à venir. Il peut s'agir d'un accès privilégié aux carnets d'ordres des bourses ou de l'exploitation du temps de latence des bourses décentralisées pour exécuter des transactions avant les autres utilisateurs. Le front-running peut conduire à la manipulation des prix et porter atteinte à l'intégrité du marché. Toutefois, contrairement au délit d'initié (voir ci-dessous), dans le monde des crypto-monnaies, le "front-running" n'est pas nécessairement illégal.
Un article publié en 2022 par des universitaires de l'Université de technologie de Sydney a révélé que jusqu'à un quart des nouvelles cotations de crypto-monnaies sur une grande bourse américaine entre septembre 2018 et mai 2022 ont été affectées par le front-running. Une telle activité a généré jusqu'à 1,5 million de dollars de bénéfices pour les personnes impliquées.
Un exemple est l'utilisation populaire de robots à valeur maximale extractible (MEV Bots), qui fonctionnent sur la base d'informations de la blockchain accessibles au public. Les MEV Bots peuvent avoir un niveau d'activité extrêmement élevé et ont joué un rôle dans plusieurs exploits à grande échelle, dont Nomad.
Délits d'initiés
Le délit d'initié en crypto-monnaie implique l'utilisation d'informations non publiques pour acheter des crypto-monnaies ou d'autres actifs numériques avant les annonces de cotation en bourse et profiter de la flambée des prix qui suit une annonce. Pas moins de 24 millions de dollars de jetons ERC20 ont été liés à des délits d'initiés rien qu'en 2022, générant au moins 5,5 millions de dollars de bénéfices pour les traders, selon une recherche exclusive d'Argus Inc, une société d'analyse de délits d'initiés et de front-running dans le domaine de la blockchain. Nombre de ces portefeuilles sont restés actifs en 2023.
En juin 2022, un ancien employé d'une place de marché de NFT a été le premier à être inculpé de fraude électronique et de blanchiment d'argent dans le cadre d'un système de délit d'initié sur les NFT en utilisant des informations confidentielles sur les NFT qui allaient figurer sur la page d'accueil de la place de marché. D'autres personnes ont depuis fait l'objet d'accusations similaires.
Evasion fiscale
Les crypto-monnaies "posent un problème de détection important en facilitant les activités illégales au sens large, y compris l'évasion fiscale", selon un rapport du Trésor américain publié en 2021. Les particuliers fortunés peuvent déplacer des actifs imposables vers l'économie des crypto-monnaies pour éviter l'impôt, car les gouvernements peuvent ne pas être en mesure de retracer les revenus ou les transactions en crypto-monnaies s'ils ne sont pas déclarés par les échanges, les entreprises et d'autres tiers.
Une étude réalisée en 2022 a révélé que les investisseurs en crypto-monnaies payaient probablement moins de la moitié des impôts qu'ils devaient. En réponse à ces préoccupations concernant l'évasion fiscale, la Commission européenne a proposé en 2022 une modification de la directive sur la coopération administrative (connue sous le nom de DAC8) qui élargirait les exigences en matière de déclaration fiscale et de partage d'informations concernant les détenteurs de crypto-monnaies et de certaines NFT. Les nouvelles règles devraient entrer en vigueur à la mi-2023.
4. Vol
Le vol est le principal moteur de la criminalité liée aux cryptomonnaies. Il englobe un large éventail de malversations, allant des piratages et des exploits aux vols. Au total, près de 4 milliards d'USD ont été volés en 2022 dans le cadre des principaux types de vols de crypto-monnaies étudiés par TRM Labs.
Piratages et exploits
L'année 2022 a été la plus importante pour les piratages et les exploits de crypto-monnaies, avec environ 3,7 milliards de dollars volés au cours de plus de 175 incidents, selon une étude des attaques réalisée par TRM Labs. Le piratage moyen s'élevait à plus de 20 millions d'USD par incident.
Les piratages et les exploits peuvent être divisés en smart contract et en attaques d'infrastructure. Le premier groupe comprend les exploits de code et les attaques de protocole ; le second comprend le vol de clé privée et l'échange de SIM, entre autres.
Près de 90 % des 3,7 milliards de dollars volés l'an dernier l'ont été par le biais d'attaques d'infrastructures et d'exploits de code, le reste étant essentiellement le fait d'attaques de protocole. Le type d'attaque le plus courant en 2022 était les exploits de code, avec 57 incidents, suivis par les attaques d'infrastructure (52) et les attaques de protocole (45). Il y a eu près de 15 attaques par mois en moyenne en 2022, soit environ un piratage tous les deux jours.
Les attaques contre les projets DeFi ont été plus fréquentes et plus dommageables que les attaques contre les cibles CeFi en 2022, avec environ 80% de tous les fonds volés, soit 3 milliards de dollars, impliquant des victimes DeFi et neuf des dix plus grandes attaques se produisant contre des projets DeFi . Les failles dans les contrats intelligents, un élément clé de DeFi qui facilite l'automatisation et la transparence, fournissent aux attaquants une réserve apparemment inépuisable de bogues à exploiter.
Attaques contre les Smart Contract
Les contrats intelligents sont des programmes informatiques auto-exécutables qui sont stockés sur une blockchain et sont utilisés pour automatiser l'exécution des transactions. Dans une attaque de smart contract , les pirates ciblent des bogues ou des vulnérabilités dans les contrats intelligents pour voler des fonds, manipuler des données ou perturber la fonctionnalité du service. Les exploits de code et les attaques de protocole sont des types d'attaques de smart contract .
Exploitation du code
Les exploits de code ciblent le code des smart contract d'un projet et permettent à un attaquant de retirer des fonds des protocoles DeFi sans autorisation. Les exploits de code sont facilités par des erreurs de codage, telles que des appels externes non vérifiés, des problèmes de contrôle d'accès et des bogues logiques. Sur les 1,4 milliard de dollars volés via des exploits de code en 2022, les problèmes d'authentification, de validation incorrecte et de vérification de signature représentaient environ 90 % du montant volé.
En février 2022, le pont Wormhole de Solana a été la cible d'un piratage qui a entraîné le retrait de plus de 300 millions de dollars du protocole DeFi . Selon l'équipe de Wormhole, le pirate a réussi à exploiter la vérification VAA de Solana et à monnayer des jetons. Le pirate a ensuite utilisé le pont Wormhole pour sauter des chaînes vers Ethereum.
Attaques contre le protocole
Les attaques de protocole ciblent les faiblesses du protocole sous-jacent ou de la logique commerciale d'un système de crypto-monnaie. Bien qu'il s'agisse de l'un des types d'attaques les plus courants en 2022, l'attaque de protocole moyenne a été deux fois moins dommageable que le piratage moyen. Plus de 50 % du montant total volé lors d'attaques de protocole provenait de techniques de manipulation des prix, telles que les problèmes d'oracle et les prêts éclair. Il est fréquent que les attaquants combinent des techniques d'attaque dans les attaques de protocole pour obtenir le résultat souhaité, par exemple en tirant parti des prêts éclair et des attaques de gouvernance.
En octobre 2022, Sovryn, prétendument le premier protocole DeFi sur Bitcoin, a été attaqué, entraînant une perte approximative d'un million de dollars. Lors de l'attaque, le pirate a utilisé une vulnérabilité dans la tarification et a exécuté un prêt éclair. Bien que la majorité des fonds ait été restituée, le pirate a réussi à utiliser ThorSwap pour sauter de chaîne en chaîne vers Bitcoin.
Les attaques de gouvernance sont un type d'attaque de protocole où un pirate manipule un projet de blockchain qui utilise une gouvernance décentralisée en obtenant suffisamment de droits de vote pour remodeler les règles. Un protocole de monnaie stable basé sur le crédit DeFi , connu sous le nom de Beanstalk, a été attaqué en avril 2022, entraînant une perte de 182 millions d'USD. L'attaquant a utilisé un prêt éclair pour exploiter la gouvernance du protocole DeFi . Avec les 182 millions d'USD, le pirate a acquis une participation majoritaire dans le protocole, ce qui lui a permis d'influencer les votes.
Attaques contre les infrastructures
Attaques contre l'infrastructure : elles visent les systèmes, les plateformes ou les services qui soutiennent la création, l'échange ou le stockage des crypto-monnaies. Ces types d'attaques sont souvent facilités par des cyberattaques ou des exploits traditionnels. Les techniques utilisées sont notamment le vol de clés privées ou de phrases d'amorçage et l'échange de cartes SIM.
Vol de clés privées
Le type d'attaques d'infrastructure le plus préjudiciable en 2022 était les vols de clés privées ou de phrases d'amorçage, qui permettent à un attaquant de réquisitionner et de vider le portefeuille d'une victime. Les compromissions de clés privées ou de phrases d'amorçage ont représenté près de 1,5 milliard de dollars de fonds volés, soit 85 % de toutes les attaques d'infrastructure, en 2022. D'autres types d'attaques d'infrastructure, comme les compromissions frontales et les détournements de DNS, ont représenté environ 250 millions d'USD de fonds volés en 2022.
En mars 2022, le pont Ronin a été attaqué, entraînant une perte de plus de 600 millions d'USD. Selon une analyse post mortem de Ronin, l'attaquant a pu drainer 173 600 Ethereum et 25 millions d'USD USDC en volant des clés privées pour falsifier de faux retraits. En avril 2022, le FBI a publiquement attribué l'attaque au Lazarus Group et à APT38, des cyberacteurs associés à la Corée du Nord.
Remplacement de la carte SIM
Le SIM swapping consiste à détourner le numéro de téléphone d'une victime afin d'authentifier frauduleusement le mouvement de fonds hors de son compte. En 2022, un homme de Floride a été condamné à 18 mois de prison pour une attaque de SIM swap en 2018 qui a permis à ses co-conspirateurs de détourner le numéro de téléphone de la victime et de transférer frauduleusement plus de 23 millions de dollars en crypto-monnaie hors de son portefeuille de crypto-monnaies.
Vol qualifié
Les vols de crypto-monnaies impliquent l'utilisation de la force, de la coercition ou de menaces pour voler physiquement les crypto-monnaies des victimes. Parfois connus sous le nom d'"attaques à la clé de cinq dollars", ces vols peuvent se produire lors de transactions en personne, comme l'achat ou la vente de crypto-monnaies, ou dans le cadre d'opérations criminelles plus sophistiquées et organisées.
En 2022, la police suédoise a été appelée pour un incident impliquant l'agression d'un couple par des étrangers armés qui se sont introduits dans leur maison, les ont ligotés et les ont forcés à transférer leur crypto-monnaie sous la menace d'une arme. La même année, un Canadien a été menacé d'une arme, ligoté et agressé lors d'une transaction en personne pour échanger des bitcoins contre de l'argent liquide.
Blanchiment d'argent
Rapport sur l'écosystème des crypto-monnaies illicites
Le blanchiment d'argent amplifie le montant total des activités illicites dans l'écosystème, car toutes les transactions effectuées pour tenter de blanchir des fonds sont elles-mêmes illicites. Il s'agit de traiter les fonds d'origine criminelle afin de dissimuler leur origine illicite.
Cela se fait en grande partie par l'utilisation abusive d'outils par ailleurs légitimes, tels que les pièces de monnaie privées et les services de conversion de l'argent en crypto-monnaie. Cependant, les blanchisseurs d'argent tirent également parti des marchés du darknet et des services de cybercriminalité, créant ainsi un effet multiplicateur sur l'ensemble des activités illicites.
Les services de crypto-monnaies attirent les blanchisseurs d'argent pour un grand nombre des mêmes facteurs appréciés par les consommateurs ordinaires : transferts rapides, pseudo-anonymat et commodité. Les criminels sont intéressés par la collecte de fonds via un format non réversible qui est presque instantané.
Le blanchiment d'argent impliquant des crypto-monnaies suit en grande partie le même chemin que son homologue conventionnel, en commençant par le placement, suivi de la superposition et de l'intégration. Cette section présente les principaux mécanismes de blanchiment d'argent dans l'écosystème des crypto-monnaies.
1. Placement
Au cours de cette première étape du blanchiment d'argent, les criminels peuvent utiliser les profits obtenus grâce à des activités illégales pour acheter des crypto-monnaies. Dans les cas où les fonds initiaux sont reçus en crypto-monnaies, par exemple à la suite d'un vol, d'une extorsion ou d'un commerce illicite, le placement consiste à masquer leur origine et à les convertir sous des formes plus largement acceptées ou moins traçables.
La forme que prend ce placement dépend du type d'infraction principale et du service utilisé. Dans les cas de fraude, en particulier le pig butchering et les escroqueries à la romance, les fonds des victimes entrent souvent dans l'écosystème cryptographique par l'intermédiaire de services de conversion d'espèces en cryptomonnaies. Les auteurs de Rançonlogiciel , quant à eux, ont tendance à demander aux victimes d'utiliser un service tiers ou un VASP pour effectuer un paiement.
Du cash au crypto
L'un des moyens les plus rapides de convertir une monnaie fiduciaire en crypto-monnaie et vice-versa est de recourir à des services de conversion de monnaie fiduciaire en crypto-monnaie. Les distributeurs automatiques de crypto-monnaies sont les plus populaires. Ces kiosques permettent aux clients d'insérer des billets de banque, d'acheter de la crypto-monnaie et de l'envoyer directement à un portefeuille sans avoir besoin d'un échange ou même d'un compte bancaire. Il existe plus de 30 000 distributeurs automatiques de crypto-monnaies dans le monde, dont plus de 90 % sont situés en Amérique du Nord.
Les distributeurs automatiques de cryptomonnaies et autres services de conversion d'argent en cryptomonnaies ne sont pas illégaux, mais ils peuvent constituer une méthode de paiement attrayante pour les cybercriminels et d'autres acteurs illicites. En 2022, plus de 40 millions de dollars ont été envoyés à des adresses d'escroquerie connues par l'intermédiaire de services de conversion d'espèces en cryptomonnaies, selon une étude de TRM Labs. Ces adresses étaient liées à des auteurs d'escroqueries à la romance, d'escroqueries à l'investissement, d'escroqueries à l'usurpation d'identité et autres, en tant que plateformes neutres permettant le paiement par les victimes.
Dans le cas présenté ci-dessus, une seule adresse d'échange recevait des fonds provenant de 40 distributeurs automatiques de billets différents situés dans toute l'Amérique du Nord. La même adresse a été signalée dans de nombreux rapports publics et enquêtes comme étant utilisée par des escrocs comme agrégateur et rampe de sortie pour les fonds volés. Dans le cas présent, c'est le nombre important de virements effectués à la même adresse à partir de plusieurs guichets automatiques de transfert de fonds qui a permis aux enquêteurs d'identifier l'adresse de destination suspecte.
Reflétant l'utilisation des services de conversion d'espèces en crypto-monnaies par les acteurs illicites, les services de police nationaux et locaux reçoivent régulièrement des rapports faisant état de victimes contraintes d'envoyer des crypto-monnaies à des fraudeurs par le biais de distributeurs automatiques de crypto-monnaies.
Ces paiements de victimes sont souvent représentatifs d'un placement dans le contexte du blanchiment d'argent.
En mars 2023, les autorités de New York ont arrêté un homme accusé d'avoir aidé à blanchir plus d'un million de dollars de prêts aux petites entreprises obtenus frauduleusement et proposés dans le cadre de la stratégie d'aide COVID-19 du gouvernement américain. Il aurait converti une partie des fonds en bitcoins et "utilisé une partie du reste pour lancer sa propre entreprise lucrative de distributeurs automatiques de crypto-monnaies".
VASP parasites
Les VASP parasites s'appuient sur l'architecture d'une bourse plus importante pour fournir des services d'échange d'actifs numériques aux utilisateurs, souvent à l'insu ou sans le consentement de la bourse hôte. Les criminels et les personnes sanctionnées peuvent utiliser des SVAV parasites pour déplacer leurs produits illicites à travers l'écosystème cryptographique et faire en sorte que les transactions paraissent légitimes. Les bourses parasites ont généralement des exigences faibles, voire inexistantes, en matière de connaissance du client (KYC) et de lutte contre le blanchiment d'argent, ce qui peut en faire un véhicule privilégié par les cybercriminels et les blanchisseurs d'argent pour déplacer des fonds.
Par rapport à leur volume, les échanges parasites facilitent jusqu'à 100 fois plus d'activités illicites sur la chaîne que leurs homologues traditionnels, selon une étude de TRM Labs. Les fonds liés à des entités sanctionnées représentent plus de la moitié du volume illicite traité par les bourses parasites. Cela s'explique en partie par le fait que près des deux tiers des bourses parasites semblent être basées en Russie et en Iran, les bourses iraniennes étant sanctionnées sur la base de leur juridiction. SUEX, une bourse de crypto-monnaie et un courtier de gré à gré sanctionnés par l'OFAC en 2021, fonctionnait comme une bourse parasite et était complice du blanchiment de millions de dollars pour le compte de groupes Rançonlogiciel russes.
Les échanges parasites ont également joué un rôle important dans l'écosystème du marché russe du darknet, entraînant une exposition significative à Hydra - le plus grand DNM au monde jusqu'à sa sanction par l'OFAC en avril 2022. Même en tenant compte de l'exposition aux sanctions, TRM Labs a révélé que les bourses parasites étaient 45 fois plus exposées aux risques illicites que les bourses conformes, en pourcentage de leur volume.
VASP à haut risque
Les bourses à haut risque et autres VASP se caractérisent par des contrôles de conformité laxistes ou sont situés dans des juridictions où la surveillance réglementaire est faible, ce qui en fait des canaux attrayants pour les activités de blanchiment d'argent. Au cours de l'année 2022, TRM Labs a suivi plus de 500 bourses actives à haut risque qui, ensemble, ont transféré des dizaines de milliards de dollars en valeur.
Les VASP à haut risque présentent une combinaison des caractéristiques suivantes :
- Présenter une exposition élevée au risque de contrepartie sur les places de marché du darknet, les escroqueries, les services de cybercriminalité et d'autres activités illicites sur la chaîne, telles que le blanchiment d'argent.
- Faciliter les transactions en utilisant les comptes d'autres bourses sans avoir de relation contractuelle avec elles.
- utiliser plusieurs comptes enregistrés sous de fausses identités ou des identités volées pour distribuer leurs activités de négociation, ce qui rend plus difficile leur détection par la bourse d'accueil
- ont des procédures KYC et AML inadéquates ainsi que des processus de vérification d'identité faibles ou inexistants, ce qui permet aux criminels d'utiliser plus facilement ces plateformes pour des activités illégales
- Proposer des services permettant aux utilisateurs de convertir directement des crypto-monnaies en espèces ou vice-versa, ce qui permet d'anonymiser les fonds et d'éviter la détection d'activités illicites par les autorités.
- Opérer à partir de juridictions sanctionnées ou figurant sur les listes noire et griseGAFI
Places de marché du Darknet
Outre leur rôle principal dans la crypto-criminalité - la vente de drogues illicites - les marchés du darknet (DNM) sont également impliqués dans le blanchiment des produits du crime. Au cours de l'année 2022, TRM Labs a constaté une augmentation du nombre de criminels internationaux utilisant des DNM en langue russe pour blanchir de l'argent.
Processeurs de paiement
Les processeurs de paiement en crypto-monnaie sont des services légitimes qui aident les particuliers et les entreprises à accepter les crypto-monnaies en guise de paiement. Ces processeurs de paiement créent des adresses de paiement pour les clients et fournissent des services qui leur permettent d'accepter des paiements directement à partir de leurs propres sites web, par exemple via une API, en échange d'un petit pourcentage de la valeur de la transaction.
Les sociétés de traitement des paiements peuvent être utilisées à mauvais escient par les criminels qui cherchent à blanchir de l'argent, le plus souvent en les plaçant et en les superposant. Peu réglementés, ils n'ont souvent que peu, voire pas du tout, d'obligation de connaissance du client. En permettant aux utilisateurs de créer de nouvelles adresses pour chaque paiement - ou, dans certains cas, de réutiliser des adresses pour différents acteurs - les sociétés de traitement des paiements peuvent compliquer la tâche des enquêteurs qui doivent suivre les flux de fonds.
Bureaux OTC (Over-the-Counter)
Les bureaux de gré à gré permettent aux utilisateurs d'échanger des crypto-monnaies contre des devises et vice-versa sans passer par une bourse ou un courtier centralisé. Ils ont tendance à se spécialiser dans les sommes plus importantes. Bien que certaines bourses établies aient des opérations OTC propriétaires qui sont soumises à une surveillance stricte, de nombreux courtiers OTC privés n'effectuent pas de vérification de la connaissance du client ou de l'origine de la richesse de leurs clients. Par conséquent, ces courtiers de gré à gré sont vulnérables aux abus des criminels qui cherchent à encaisser des crypto-monnaies obtenues illégalement.
Echanges P2P (Peer-to-Peer)
Les bourses P2P fonctionnent sur le même principe que les comptoirs de gré à gré : elles permettent aux utilisateurs de passer des crypto-monnaies aux devises fiduciaires. Toutefois, contrairement aux comptoirs de gré à gré qui sont gérés par des courtiers, les bourses P2P fonctionnent comme des entités DeFi entièrement automatisées. Ils connectent les partenaires commerciaux qui cherchent à acheter ou à vendre des crypto-monnaies sans passer par un intermédiaire tiers. Certaines de ces transactions peuvent être organisées en utilisant des espèces ou d'autres méthodes de paiement non cryptographiques via la plateforme P2P.
2. La superposition
La stratification vise à rendre plus difficile le traçage des avoirs illicites en les faisant passer par une série de transactions et en utilisant une variété d'outils. Les mélangeurs, les ponts, les services d'échange et les pièces de monnaie - des transactions individuelles où plusieurs expéditeurs combinent des fonds pour en obscurcir la source - sont couramment utilisés pour la superposition, car ils sont conçus pour améliorer la confidentialité et rendre plus difficile pour les enquêteurs de retracer les flux de fonds. Si certains se contentent d'acheminer les fonds vers les bourses afin de les encaisser rapidement, les blanchisseurs plus expérimentés peuvent intégrer des techniques de blanchiment d'argent programmées.
Les modèles de science des données qui peuvent identifier différents types de schémas de blanchiment d'argent (appelés Signatures dans les outils de TRM) constituent une boîte à outils essentielle pour les enquêteurs sur le blanchiment d'argent, tout comme la capacité de démixer les transactions à partir des mélangeurs et de tracer automatiquement les ponts de la chaîne croisée.
Mélangeurs
Les mixers, également connus sous le nom de tumblers, sont des services qui mélangent plusieurs transactions en crypto-monnaies, ce qui rend difficile la traçabilité de l'origine et de la destination des fonds. Selon l'évaluation nationale des risques de blanchiment d'argent du Trésor américain datant de 2022, les mixers et les tumblers "aident les criminels à dissimuler le mouvement ou l'origine des fonds, créant ainsi des obstacles supplémentaires pour les enquêteurs".
Les mixers ne sont pas illégaux et ne sont pas non plus utilisés exclusivement pour des activités illicites. Par exemple, de nombreux mixeurs se présentent comme des moyens d'accroître la confidentialité et l'anonymat en ligne. Cependant, les cybercriminels utilisent aussi fréquemment les mixers comme technique de superposition pour dissimuler la source de fonds illicites. Le graphique ci-dessous montre un acteur illicite utilisant le mélangeur Tornado Cash basé sur Ethereum pour obscurcir environ 1 million USD de recettes provenant d'un piratage. Après avoir migré les fonds vers la blockchain Ethereum et les avoir échangés d'USDC en ETH, l'acteur les envoie à différents portefeuilles avant de les déposer dans Tornado Cash.
En août 2022, l'OFAC a sanctionné Tornado Cash, qui a été utilisé par des cybercriminels nord-coréens et d'autres acteurs de la menace pour blanchir le produit de piratages et d'autres activités illicites. TRM Labs a montré que les cyberacteurs nord-coréens ont utilisé Tornado Cash pour blanchir plus d'un milliard de dollars de fonds volés dans au moins dix grands hold-up de crypto-monnaies.
En mars 2023, les autorités allemandes et américaines, soutenues par Europol, ont annoncé la fermeture de ChipMixer, un service de mixeur o-monnaies qui facilitait le blanchiment d'argent à l'échelle internationale. Au cours de l'opération, les autorités ont saisi quatre serveurs et près de 44,2 millions USD en crypto-monnaie. Recherche effectuée par TRM Labs confirment que ChipMixer a été largement utilisé par d'importants syndicats du Rançonlogiciel pour blanchir des produits illicites. Parmi eux, Karakurt, SunCrypt, REvil, Conti, LockBit, Ragnar Locker et Royal. TRM Labs a également découvert qu'au moins 20 places de marché du darknet (DNM) ont envoyé des fonds à ChipMixer au cours des six années d'activité du mixeur.
Du cash au crypto
Les services de conversion d'argent liquide en crypto-monnaie peuvent être utilisés pour la superposition par le biais d'une technique de blanchiment appelée "money muling" ou "smurfing". Il s'agit du transfert de fonds volés par des individus qui n'ont aucun lien avec le délit initial.
Dans l'exemple ci-dessous, en août 2022, un groupe de blanchiment d'argent a déposé de l'argent liquide obtenu de manière illicite dans plusieurs distributeurs automatiques de cryptomonnaies. De là, les fonds, désormais en bitcoins, ont été envoyés vers un portefeuille de consolidation avant d'être déposés sur une grande bourse.
En avril 2023, une femme du Missouri a été arrêtée pour avoir aidé au mouvement de fonds volés. La suspecte a utilisé des chèques de banque et des distributeurs automatiques de crypto-monnaies pour transférer 565 000 USD au nom des criminels qui ont commis la fraude afin de voler les fonds de la victime. Le smurfing pouvant être le fait de tiers involontaires, il est souvent difficile à identifier, car la personne qui se livre à cette activité de superposition peut ne pas être au courant de la source ou de la destination des fonds.
Échanges à haut risque
Les bourses à haut risque sont beaucoup plus exposées aux contreparties illicites que les bourses réglementées, selon le TRM Labs de TRM Labs. Certaines bourses à haut risque fonctionnent également comme des bourses parasites et ont généralement des processus KYC et AML laxistes ou inexistants. Cela en fait des plateformes attrayantes pour les cybercriminels qui veulent blanchir de l'argent ou financer des activités illicites. Les administrateurs de ces bourses prétendent percevoir une commission de 0,5 % à 1 % sur le volume des transactions, en fonction de la part des recettes allouée à la publicité et au marketing d'affiliation nécessaires pour générer du trafic vers leur bourse.
Dans l'exemple ci-dessous, après avoir sauté des chaînes et détourné une partie des fonds volés vers un mixeur, un escroc envoie le reste des recettes mal acquises sur une série de comptes d'une bourse d'échange à haut risque basée en Russie.
Blanchiment d'argent programmatique
Le blanchiment d'argent programmatique consiste à utiliser un logiciel pour déplacer rapidement des fonds à travers des centaines ou des milliers de transactions, dans le but d'obscurcir l'origine illicite. L'un des exemples les plus médiatisés de PML basé sur les crypto-monnaies a impliqué l'armée nord-coréenne en 2021.
Dans l'exemple ci-dessous, un acteur a envoyé des fonds illicites à partir d'un mélangeur par le biais d'une série de chaînes d'épluchage pour "éplucher" de petites quantités de BTC (représentées par les nœuds verts) qui sont ensuite envoyées à une bourse d'échange.
Saut de chaîne
Le saut de chaîne est la pratique qui consiste à déplacer des crypto-monnaies d'une blockchain à une autre. Bien que le saut de chaîne ne soit pas intrinsèquement illicite, il peut être utilisé par les blanchisseurs d'argent pour brouiller la piste des transactions.
Par exemple, Bitfinex, un échange de crypto-monnaies, a été victime en 2016 d'une violation qui a entraîné le vol de près de 120 000 BTC. En 2022, le Department of Justice américainDOJ a utilisé l'analyse de la chaîne pour inculper les deux suspects de fraude et de blanchiment d'argent. Les blanchisseurs d'argent ont effectué des sauts de chaîne du bitcoin vers d'autres blockchains, y compris des échanges vers des crypto-monnaies renforçant l'anonymat comme Monero, avant que les fonds ne soient déposés sur des comptes financiers traditionnels.
TRM Labs ont également montré que le saut de pont est une méthode de blanchiment d'argent privilégiée par les acteurs du CSAM.
Monnaie de la vie privée
Les "privacy coins", comme Monero, Zcash et Dash, offrent des caractéristiques de confidentialité et d'anonymat améliorées par rapport aux crypto-monnaies standard comme le bitcoin. Bien que les "privacy coins" ne soient pas illégales, leur capacité à rendre les transactions difficiles à tracer les rend attrayantes pour les criminels qui cherchent à blanchir des produits illicites.
Plusieurs pays ont pris des mesures répressives à l'encontre de leur utilisation. L 'Australie et la Corée du Sud ont interdit aux bourses de proposer des pièces de monnaie de confidentialité, tandis que le Japon les a entièrement interdites en 2018. L'utilisation d'outils de blockchain intelligence pour surveiller les services de crypto-monnaie qui offrent des pièces de monnaie de confidentialité aide les forces de l'ordre et les régulateurs à identifier les rampes d'accès et de sortie impliquant ces protocoles.
L'une des difficultés de cette surveillance de la chaîne est que les criminels effectuent souvent leurs encaissements par l'intermédiaire de courtiers qui échangent des billets de banque physiques contre des pièces de monnaie privées déposées à leur adresse de réception. L'argent liquide est ensuite passé en contrebande à travers les frontières tandis que la crypto-monnaie est échangée sur les bourses.
VASP à haut risque et parasites
Étant donné que les SVAV à haut risque et les SVAV parasites ont généralement des exigences faibles, voire inexistantes, en matière de KYC et d'AML, ils constituent un véhicule privilégié par les cybercriminels et les blanchisseurs d'argent pour transférer des fonds dans le cadre du processus de stratification. Ces échanges sont parfois appelés services de swap, car ils permettent aux criminels de faire transiter des fonds par le service en échangeant un type de crypto-monnaie contre un autre, ce qui rend le traçage plus difficile. Les cybercriminels peuvent également utiliser ces services pour encaisser des fonds dans le système financier traditionnel.
Places de marché du Darknet
Les marchés du Darknet (DNM) sont également utilisés pour superposer des fonds illicites. L'exemple ci-dessous montre un trafiquant de drogue qui encaisse ses bénéfices sur le DNM (représenté par les nœuds rouges) et envoie les fonds à des adresses qu'il contrôle sur deux bourses distinctes.
L'effondrement de la coopération entre la Russie et l'Occident en matière de cybercriminalité depuis le début de la guerre en Ukraine a donné l'impression aux criminels que les DNM en langue russe étaient devenus un refuge à l'abri des forces de l'ordre américaines et européennes. Ainsi, un large éventail de criminels - y compris des acteurs de la menace CSAM - ont été observés en train de déposer des crypto-monnaies sur des DNM afin de masquer leur source d'origine : une fois que les crypto-monnaies sont retirées des comptes séquestres des DNM, il ne s'agit plus des mêmes pièces que celles qui ont été déposées à l'origine.
Couche inter-VASP
La superposition inter-VASP implique l'utilisation de plusieurs bourses ou d'autres VASP pour fragmenter et déplacer les fonds au cours du processus de blanchiment d'argent afin de rendre leur traçage plus difficile pour les enquêteurs. La superposition inter-VASP reflète les techniques traditionnelles de blanchiment d'argent, par lesquelles les criminels utilisent plusieurs services bancaires pour brouiller la source des fonds ; il est particulièrement difficile de retracer les fonds par le biais des VASP qui règlent les transactions en dehors de la chaîne.
Bien que les outils forensiques de la blockchain puissent aider à identifier les transactions qui atteignent le PAVS, les enquêteurs doivent demander un accès légal aux données pour obtenir les données de transaction nécessaires à l'identification des bretelles de sortie.
Processeurs de paiement
Les processeurs de paiement peuvent être utilisés de manière abusive par divers criminels et acteurs de la menace, y compris des groupes extrémistes et militants, pour dissimuler leurs fonds. TRM Labs a identifié de nombreux stratagèmes de fraude à l'investissement qui ont utilisé des processeurs de paiement classiques. Des groupes extrémistes violents, y compris des acteurs néo-nazis basés aux États-Unis, ont utilisé des processeurs de paiement pour générer des adresses dynamiques, généralement pour l'échange de biens, de services ou d'abonnements. À la suite des saisies effectuées par le gouvernement israélien, le Hamas et d'autres groupes militants basés à Gaza ont cessé de publier publiquement leurs adresses de dons en crypto-monnaie et se sont tournés vers les processeurs de paiement, qu'ils intègrent généralement dans les pages de collecte de fonds de leurs sites web.
Jeux de hasard
Bien que les jeux d'argent soient légaux et socialement acceptables dans de nombreuses juridictions, ils constituent depuis longtemps une méthode utile pour blanchir des fonds provenant d'activités illicites. Le processus de jeu implique que les clients versent de l'argent dans un casino ou chez un bookmaker et qu'ils encaissent ensuite leurs gains avec le reste de l'argent et un reçu officiel. Les blanchisseurs d'argent ont ainsi la possibilité de prétendre que les fonds qu'ils ont obtenus de manière illicite ne sont que des gains de jeu.
Les plateformes de jeux d'argent basées sur les crypto-monnaies rendent difficile la traçabilité des fonds via le service. Cependant, elles sont de plus en plus soumises à des règles de conformité. Cela signifie que les casinos doivent effectuer des contrôles KYC et des vérifications de la source de richesse sur les clients qui cherchent à déposer des montants importants. Par la suite, si un criminel présumé revendique des gains de jeu comme source de ses fonds, le casino en ligne en question peut être cité à comparaître par les forces de l'ordre locales pour divulguer les dossiers relatifs à cet utilisateur.
Finance décentraliséeDeFi
La financeDeFi risque d'être utilisée à mauvais escient par les blanchisseurs d'argent. Si la finance DeFi a le potentiel d'accroître l'inclusion financière et de fournir des services plus accessibles et plus transparents, elle peut également être exploitée par ceux qui cherchent à s'engager dans des activités illicites.
Il est important de noter que de nombreuses plateformes DeFi mettent activement en œuvre des mesures visant à améliorer la sécurité, la conformité et la transparence. Les autorités réglementaires travaillent également à l'élaboration de cadres permettant de lutter contre les risques de blanchiment d'argent dans le contexte de DeFi.
Exploitation minière
Le minage de crypto-monnaies a été utilisé de manière abusive pour blanchir des fonds par des groupes de Rançonlogiciel , tels qu'APT43, et d'autres acteurs illicites. Les pièces frappées sur le matériel de minage acquis avec des fonds illicites n'ont aucun lien apparent avec l'activité criminelle, ce qui permet aux criminels d'encaisser leurs gains sans laisser de trace sur la blockchain.
Par exemple, TRM Labs a identifié un vendeur de DNM qui utilisait des fonds illicites provenant de la vente de drogues pour acheter des comptes de minage en nuage. Les résultats des transactions de minage étaient ensuite blanchis par l'intermédiaire d'une entreprise de guichets automatiques Bitcoin contrôlée par le vendeur, qui servait de façade à l'activité illicite. De là, les fonds étaient retirés vers un portefeuille personnel.
3. L'intégration
L'intégration est l'étape finale du blanchiment d'argent, au cours de laquelle les produits blanchis sont réintroduits dans l'économie légitime. Pour ce faire, les fonds sont acheminés vers des canaux légitimes, de sorte que l'origine des fonds puisse être expliquée de manière plausible.
L'objectif principal de l'intégration est de convertir les crypto-monnaies avariées en monnaie fiduciaire ou en stablecoins, qui sont ensuite transférés par l'intermédiaire de SVAV tels que les processeurs de paiement, les bourses, les comptoirs de gré à gré, les services cash-to-crypto et les services peer-to-peer (P2P). Les criminels peuvent également utiliser le produit de leurs transactions en crypto-monnaie pour acheter des biens et des services tels que des œuvres d'art NFT, des ordinateurs, des billets d'avion et des vêtements. Des dizaines de détaillants grand public acceptent déjà les paiements en crypto-monnaies.
L'analyse des transactions des portefeuilles déclarés - intégrant à la fois l'exposition directe et indirecte au risque - appartenant à des criminels présumés peut aider les enquêteurs à identifier la véritable source des fonds.
Transfert de valeur crypto-fiat
Il existe de nombreuses options pour transformer les crypto-monnaies obtenues de manière criminelle en monnaie fiduciaire. Le bitcoin, l'ethereum et une série d'autres actifs peuvent être utilisés en ligne pour acheter des chèques-cadeaux, des cartes de débit prépayées ou des bons d'achat iTunes - sans faire l'objet d'un contrôle KYC ou d'un contrôle de la source de richesse. Des négociants OTC ("over the counter") peu scrupuleux et des échanges P2P proposent également des services de changement d'espèces avec un examen minimal tout en préservant l'anonymat des clients.
Ce mécanisme de transaction est souvent considéré comme faisant partie du processus d'intégration des blanchisseurs. Ils font souvent appel à des services ou à des négociants qui ne posent aucune question sur l'origine des fonds, de sorte que le transfert n'est pas soumis à un examen minutieux.
Du cash au crypto
Les services "cash-to-crypto" peuvent être utilisés pour encaisser les produits illicites de la criminalité au cours de la phase d'intégration. TRM Labs a suivi l'utilisation de distributeurs automatiques de crypto-monnaie par des personnes soupçonnées d'activités illicites graves, y compris le financement du terrorisme et la fraude informatique. Il est probable que les criminels utilisent ces guichets automatiques en raison des politiques KYC relativement souples mises en œuvre par de nombreux services de ce type.
VASP à haut risque
En raison de leur absence d'exigences en matière de KYC, de leur statut non réglementé et de leur domiciliation dans des juridictions opaques, les SVAV à haut risque sont fréquemment utilisés pour encaisser les gains illicites en crypto-monnaies. La monnaie fiduciaire obtenue peut alors être dépensée pour acheter divers biens et services.
Bureaux OTC
Les services de gré à gré peuvent être utilisés aux trois stades du blanchiment, lorsque les criminels ont besoin de placer des fonds dans le système financier, ou souhaitent transférer rapidement des fonds à travers les frontières sans surveillance comme méthode de superposition, et enfin comme moyen d'encaisser leurs fonds au cours du processus d'intégration. En 2021, SUEX, un courtier de gré à gré de langue russe, a été sanctionné par l'OFAC pour avoir facilité des transactions financières pour des acteurs du Rançonlogiciel .
Echanges P2P
Bien que la plupart des échanges P2P soient techniquement régis par les règles de lutte contre le blanchiment d'argent - par exemple, les transactions commerciales de plus de 600 USD impliquant des personnes américaines doivent être déclarées en vertu des règles américaines de déclaration d'informations - beaucoup font fi de ces exigences.
Dépenser en crypto-monnaie
Il est possible pour les criminels d'intégrer leur richesse basée sur les crypto-monnaies sans avoir recours à la monnaie fiduciaire. Au cours des cinq dernières années, un nombre croissant de biens et de services ont pu être achetés directement en crypto-monnaies. Cela va des biens numériques tels que les NFT et les achats dans les jeux aux biens de luxe et même à l'immobilier. Ces achats peuvent également être considérés comme des réserves de valeur, en fonction de l'usage que le criminel entend faire de l'actif à l'avenir.
Immobilier
En 2022, le Portugal est devenu l'un des premiers pays à autoriser la vente d'une maison en crypto-monnaie. La plupart des transactions de grande valeur dans le monde réel impliquant des crypto-monnaies nécessitent des vérifications de la connaissance du client et de la source de la richesse, ce qui pose des problèmes aux criminels. Toutefois, les acteurs illicites disposent d'une multitude de moyens pour contourner ces garde-fous, souvent en recourant à des sociétés écrans et à des services de cybercriminalité.
Produits de luxe
Les produits de luxe tels que les supercars, les bijoux et les sacs de créateurs sont fréquemment achetés avec le produit d'activités cryptographiques illicites. Certains produits de luxe peuvent être achetés directement avec des crypto-monnaies : par exemple, le créateur de mode allemand Philipp Plein autorise l'utilisation de crypto-monnaies dans ses boutiques en ligne.
Les produits de luxe sont souvent retrouvés lors des descentes de police contre les crypto-criminels. En mars 2022, la police brésilienne a effectué une série de descentes contre un gang accusé d'avoir mis en place un système illégal de crypto-monnaies d'une valeur de 780 millions d'euros. Bien qu'ils aient promis aux investisseurs de bons rendements, les criminels ont utilisé les fonds des investisseurs pour acheter des biens immobiliers, des bijoux, des voitures, des bateaux et des vêtements de luxe.
Cartes-cadeaux en crypto-monnaie
Comme les cartes-cadeaux prépayées peuvent être achetées avec des crypto-monnaies, elles peuvent également être utilisées par des criminels pour encaisser des fonds illicites. Après avoir acheté des cartes-cadeaux auprès d'un service en ligne avec des produits du crime, un acteur illicite peut ensuite les utiliser pour acquérir un large éventail de biens de consommation sur des plateformes de commerce électronique grand public et dans des magasins physiques. Par exemple, l'un des accusés du piratage de Bitfinex aurait dépensé une partie des fonds volés pour acheter une carte-cadeau Walmart d'une valeur de 500 USD.
Les cartes-cadeaux peuvent également être acquises par des escrocs qui se font passer pour des négociants en cryptomonnaies et qui convainquent les investisseurs potentiels de leur envoyer des cartes-cadeaux comme sources de valeur pour effectuer des investissements en cryptomonnaies en leur nom. Les escrocs s'enfuient ensuite avec les cartes-cadeaux.
Méthodologie
Le processus d'élaboration de la taxonomie a suivi une approche systématique et itérative, intégrant diverses sources de données et contributions d'experts, en vue d'inclure la gamme la plus complète d'infractions principales.
Dans un premier temps, une liste préliminaire d'activités illicites associées aux crypto-monnaies a été dressée à partir d'une analyse documentaire et d'entretiens avec des experts. Il s'agissait notamment d'analyser les infractions principales définies dans les recommandations du GAFI , d'examiner les enquêtes criminelles passées et en cours concernant les crypto-monnaies et de consulter les principales parties prenantes, telles que les entreprises de crypto-monnaies, les institutions financières, les services répressifs, les régulateurs et les organisations du secteur public à l'échelle mondiale. Les activités identifiées ont ensuite été classées en grands thèmes et sous-catégories, en tenant compte de la nature des activités, des acteurs impliqués et des poursuites engagées dans différentes juridictions. Par exemple, le Rançonlogiciel a été classé dans la catégorie extorsion et fraude en raison des poursuites fréquentes dont il fait l'objet aux États-Unis en vertu du Computer Fraud and Abuse Act (CFAA) - 18 U.S.C. § 1030.
Pour collecter les données, les données historiques des transactions de 20 blockchains publiques ont été indexées. Une combinaison de renseignements de sources ouvertes, de collecte active de renseignements et d'algorithmes de reconnaissance des formes a été utilisée pour collecter des informations sur les adresses des blockchains et les transactions associées à des activités illicites. Le volume absolu d'une catégorie spécifique ($X) a été mesuré en agrégeant la valeur en USD des transferts entrants vers des adresses associées à cette catégorie, en tenant compte du prix en USD de l'actif à la date du transfert.
Plusieurs limites doivent être reconnues dans ce rapport. Tout d'abord, le volume rapporté pour des catégories spécifiques peut être sous-estimé si TRM ne dispose pas de l'attribution des adresses ou des transactions au sein de ces catégories. Certaines catégories, telles que les places de marché du darknet et les systèmes d'investissement, sont plus susceptibles d'être traitées de manière exhaustive en raison de leur visibilité inhérente et de la présence de plateformes telles que Chainabuse qui facilitent le signalement des victimes. La transparence de la blockchain permet d'estimer la limite supérieure de l'activité illicite en différenciant le volume total du volume connu associé à une activité légitime telle que le commerce ou les jeux.
Deuxièmement, ce rapport ne mesure pas la conversion des produits du crime en crypto-monnaie à des fins de blanchiment d'argent. Les fournisseurs de services d'actifs virtuels (VASP) et les cellules de renseignement financier (CRF) jouent un rôle essentiel dans la détection de la conversion des produits du crime en monnaie fiduciaire en crypto-monnaie et en actifs numériques à des fins de blanchiment d'argent.
Comme TRM continue de collecter davantage de données, il est possible que les chiffres déclarés augmentent au fil du temps, améliorant ainsi la précision et l'exhaustivité de la taxonomie. Il est essentiel de tenir compte de ces limites pour interpréter les résultats et reconnaître la possibilité d'affiner et d'étendre la taxonomie à l'avenir.
Conclusion et recommandations
Bien qu'elles ne soient utilisées par le grand public que depuis une dizaine d'années, les crypto-monnaies se sont immiscées dans tous les types de criminalité, du vol purement numérique rendu possible par les piratages informatiques au trafic de drogue, en passant par l'extorsion, le financement du terrorisme et l'espionnage. Les crypto-monnaies n'ont pas introduit ces formes de criminalité ; elles n'en sont pas (encore) venues à les dominer. En effet, les monnaies fiduciaires et même des formes plus anciennes de financement telles que l'hawala restent les moyens par défaut par lesquels les activités illicites sont financées et leurs produits blanchis.
L'"hiver crypto" de 2022 n'a guère contribué à éroder l'utilisation des crypto dans les activités illicites et le blanchiment d'argent. L'année a vu jusqu'à 2 000 milliards d'USD d'actifs en crypto-monnaies effacés des bilans des investisseurs, selon les estimations du Forum économique mondial. Pourtant, la chute de la valeur des crypto-monnaies ne semble pas avoir dissuadé les criminels d'utiliser et d'exploiter les crypto-monnaies. Cela a été particulièrement vrai en ce qui concerne le DeFi, avec des piratages sur des cibles DeFi et des ponts entre chaînes, qui ont permis de voler 3,7 milliards d'USD, soit une moyenne de plus de 20 millions d'USD par incident. Les schémas d'investissement illicites ont eux aussi connu une activité importante, avec un volume d'au moins 7 milliards USD lié à ces adresses.
La prolifération continue des crypto-monnaies et de la technologie blockchain suggère qu'elles conserveront une place importante dans l'arsenal criminel. La bonne nouvelle pour les enquêteurs, les forces de l'ordre et les régulateurs est que les crypto-monnaies peuvent offrir une visibilité granulaire sur la structure, les opérations et, surtout, l'interconnectivité entre les différents acteurs et entreprises criminels.
Comme le montre ce rapport, les différents types de crypto-criminalité et leurs auteurs n'opèrent pas en vase clos ; au contraire, ils sont fortement imbriqués. Des incidents de pig butchering apparemment sans rapport entre eux se sont avérés liés à d'importants groupes criminels internationaux ; des escroqueries aux distributeurs automatiques de crypto-monnaies auraient alimenté des syndicats de trafiquants d'êtres humains ; des DNM en langue russe spécialisés dans les drogues sont également utilisés par des acteurs du CSAM pour blanchir des fonds ; le service de mixeur sanctionné Chipmixer facilitait le travail de Royal, un syndicat de Rançonlogiciel notoire qui cible l'infrastructure de sécurité nationale des États-Unis.
Au cours des deux dernières années, l'Office of Foreign Assets Control (OFAC) du département du Trésor américain a sanctionné des VASP non conformes, des marchés du darknet et d'autres parties de l'écosystème cryptographique illicite pour avoir facilité le Rançonlogiciel, l'évasion des sanctions et d'autres activités.
En janvier 2023, le Department of Justice américain Department of Justice et le département du Trésor américain ont annoncé une action coordonnée contre la bourse de crypto-monnaies non conforme Bitzlato, enregistrée à Hong Kong. Son propriétaire a été arrêté pour avoir "dirigé une entreprise de transmission de fonds qui transportait et transmettait des fonds illicites et qui ne respectait pas les garanties réglementaires américaines, y compris les exigences en matière de lutte contre le blanchiment d'argent".
Pour perturber ces entreprises criminelles, il faut comprendre non seulement les moyens par lesquels elles se connectent, mais aussi la capacité à surmonter leurs tentatives d'obscurcir l'origine et le flux de leurs crypto-monnaies à travers les blockchains. Alors que le nombre de blockchains continue de proliférer, le suivi de ces flux financiers devient de plus en plus exigeant sur le plan technique.
En tant que première plateforme d'blockchain intelligence conçue pour l'ère multi-chaînes, TRM Labs a été le premier à prendre en charge le traçage des nouvelles blockchains, y compris tous les actifs sur Ethereum (2019), TRON (2019) et Solana (2021). Aujourd'hui, TRM Labs peut tracer 30 blockchains et plus de 70 millions d'actifs, y compris tous les actifs dérivés, les actifs enveloppés, les stablecoins et les NFT, ce qui permet de rejouer l'historique de 99 % du volume de crypto-monnaies.
TRM Labs a été le premier à lancer des fonctionnalités de pointe, notamment le traçage automatisé des chaînes croisées, le démixage automatisé, le traçage des NFT, l'analyse des entités imbriquées et la criminalistique mobile. TRM Labs offre un traçage en un clic à travers 50 paires de blockchains et plus de 10 millions d'échanges entre chaînes.
Blockchain intelligence représente un bond en avant dans la lutte actuelle contre la finance illicite. Auparavant, les organismes chargés de l'application de la loi, les régulateurs et le secteur privé au sens large ne disposaient pas d'une compréhension en temps réel des économies illicites, de leur taille, de la manière dont leurs actifs sont transférés et de la façon dont elles se chevauchent avec d'autres réseaux illicites.
Une approche systématique de la crypto-criminalité permet d'avoir une vue d'ensemble qui peut servir de base à une stratégie globale de gestion des risques liés à la crypto-criminalité. Une telle stratégie devrait prendre en compte les questions suivantes :
Dans quelle mesure notre compréhension de la criminalité liée aux crypto-monnaies et du blanchiment d'argent est-elle détaillée et devons-nous adapter nos cadres pour refléter une taxonomie des risques plus granulaire ?
Sommes-nous trop concentrés sur les activités impliquant le bitcoin au détriment d'autres chaînes émergentes montrant une implication accrue dans les activités illicites ?
Avons-nous procédé à une évaluation de la couverture de ces risques afin de mieux comprendre notre exposition aux différentes catégories de risques illicites ?
Nos ressources (technologiques et humaines) sont-elles bien placées pour identifier non seulement un risque et une typologie uniques, mais aussi de multiples activités illicites interagissant au sein d'un système interconnecté ?
Une telle approche peut contribuer à doter les professionnels de l'application de la loi et de la conformité d'une vision plus complète, plus granulaire et plus ciblée de l'affectation de leurs ressources en matière de surveillance, d'enquête et de technologie.
A propos de TRM Labs
Ce rapport a été rédigé par TRM Labs, la société d'blockchain intelligence . Nous travaillons avec des entreprises de crypto-monnaies, des institutions financières et des agences gouvernementales pour surveiller, détecter et enquêter sur la fraude et la criminalité financière dans les crypto-monnaies.
