1100 millions de jetons de chiffrement rencontrent un vol, les attaques physiques deviennent une menace de plus en plus courante.

Rédigé par : Liam Akiba Wright

Compilation : Saoirse, Foresight News

Selon le San Francisco Chronicle, le 22 novembre vers 6h45 du matin, un suspect déguisé en livreur est entré dans une résidence située près de la 18ème rue et de Dolores Street, dans le quartier de la Mission Dolores, a maîtrisé le résident et a volé un téléphone portable, un ordinateur portable et environ 11 millions de dollars en cryptomonnaies.

À dimanche, la police de San Francisco n'avait toujours pas annoncé l'arrestation de quiconque, ni fourni de détails spécifiques sur les actifs volés. La blockchain ou le type de token associés aux cryptomonnaies impliquées n'ont pas encore été divulgués.

Les attaques physiques ciblant les détenteurs de cryptomonnaies ne sont pas un cas isolé, une tendance inquiétante émerge lentement.

Les affaires de ce type que nous avons précédemment rapportées incluent : un cambriolage au Royaume-Uni impliquant un montant de 4,3 millions de dollars ; un enlèvement et des actes de torture dans le quartier Soho de New York, visant à forcer la victime à remettre l'accès à son portefeuille Bitcoin ; une augmentation du nombre d'enlèvements liés aux cryptomonnaies en France et les mesures prises par le gouvernement ; des mesures extrêmes de protection prises par des détenteurs de cryptomonnaies bien connus (comme la « famille Bitcoin ») qui stockent leurs phrases de récupération de portefeuille de manière dispersée sur plusieurs continents pour une sécurité accrue ; une tendance générale chez les investisseurs en cryptomonnaies de haute valeur à embaucher des agents de sécurité ; ainsi qu'une analyse des tendances des « attaques par clé à molette » (qui désignent des attaques visant à obtenir des cryptomonnaies par la violence) et des avantages et inconvénients de l'auto-gérance des cryptomonnaies.

Après le vol, le suivi sur la chaîne a immédiatement commencé.

Même si le vol commence par une porte d'entrée, les fonds volés circulent souvent sur un registre blockchain public, ce qui rend le suivi possible - d'où une “compétition” se forme : d'un côté, le déplacement des canaux de blanchiment d'argent, de l'autre, des outils de gel et de suivi de plus en plus matures et perfectionnés d'ici 2025. Et le USDT sur TRON reste un facteur central dans cette “compétition”.

Cette année, grâce à la coopération entre les émetteurs de tokens, les réseaux blockchain et les entreprises d'analyse de données, la capacité de l'ensemble du secteur à geler les actifs illégaux a été améliorée. Selon le rapport du « T3 Département des crimes financiers », des centaines de millions de dollars de tokens de transaction illégaux ont été gelés depuis la fin de 2024.

Si les fonds détournés comprennent des stablecoins, la possibilité d'empêcher la circulation des fonds à court terme sera considérablement accrue - car les grands émetteurs de stablecoins collaboreront avec les agences d'application de la loi et les partenaires d'analyse de données pour mettre sur liste noire les adresses de portefeuille impliquées après avoir reçu une notification.

Des données plus larges confirment également l'idée que “les stablecoins sont l'outil de choix pour le transfert de fonds illégaux”. Le rapport sur la criminalité de Chainalysis 2025 montre qu'en 2024, les stablecoins représentaient environ 63 % du volume total des transactions illégales, ce qui constitue un changement significatif par rapport à la situation des années précédentes où le BTC et l'ETH dominaient les canaux de blanchiment.

Cette transformation est cruciale pour la récupération des fonds : car les émetteurs de stablecoins centralisés peuvent bloquer les transactions au niveau des jetons, et lorsque les fonds intermédiaires doivent passer par un processus KYC, les plateformes centralisées (comme les échanges) deviendront des “nœuds d'interception” supplémentaires.

Dans le même temps, Europol a averti que des groupes criminels organisés utilisent l'intelligence artificielle pour améliorer leurs méthodes d'opération - cela permet non seulement de réduire le cycle de blanchiment d'argent, mais aussi d'automatiser la répartition des fonds à travers différents réseaux de blockchain et plateformes de services. Si l'on parvient à cibler l'adresse des fonds illicites, la clé de l'action réside dans la notification rapide des émetteurs de tokens et des échanges.

D'un point de vue macroéconomique, la situation des pertes des victimes continue de se détériorer.

Le Centre de plainte pour cybercriminalité, relevant du FBI, a enregistré que les pertes dues à la cybercriminalité et à la fraude aux États-Unis s'élevaient à 16,6 milliards de dollars en 2024, avec une augmentation de 66 % des cas de fraude à l'investissement en cryptomonnaies par rapport à l'année précédente. Entre 2024 et 2025, les incidents de coercition physique ciblant les détenteurs de cryptomonnaies (parfois appelés « attaques par clé à molette ») ont suscité davantage d'attention - ces cas sont souvent associés à des cambriolages, à des détournements de cartes SIM (obtenant frauduleusement le contrôle des cartes SIM d'autrui) et à des techniques d'ingénierie sociale. TRM Labs (une société de sécurité blockchain) a documenté les tendances liées à ces vols coercitifs.

Bien que cette affaire à San Francisco ne concerne qu'une seule résidence, le modus operandi est représentatif : intrusion d'appareils → coercition des victimes à transférer des fonds ou à exporter des clés privées → dispersion rapide des fonds sur la chaîne → test des canaux de retrait pour évaluer leur viabilité.

Les nouvelles réglementations en Californie, États-Unis, ajoutent une autre variable à cette affaire. La « Loi sur les actifs financiers numériques » de l'État entrera en vigueur en juillet 2025, conférant au « Département de la protection et de l'innovation financière » le pouvoir de délivrer des licences et d'appliquer la loi aux activités de certaines bourses de cryptomonnaies et de gardiens.

Si des « canaux de sortie » (c'est-à-dire des canaux permettant d'échanger des cryptomonnaies contre des devises fiat), des courtiers OTC ou des fournisseurs de services de stockage ayant des liens commerciaux avec la Californie sont en contact avec ces fonds volés, le cadre réglementaire de la « loi sur les actifs financiers numériques » peut soutenir leur collaboration avec les autorités judiciaires. Bien que cela ne constitue pas une méthode directe pour récupérer des actifs auto-déposés, cela aura un impact sur les contreparties que les voleurs dépendent généralement pour échanger des cryptomonnaies contre des devises fiat.

Les changements de politique dans d'autres régions auront également un impact sur l'évolution ultérieure des affaires.

Selon l'analyse juridique du cabinet d'avocats Winthrop, le département du Trésor des États-Unis a retiré Tornado Cash de la “liste des ressortissants spécialement désignés” (c'est-à-dire la liste des personnes ou entités sanctionnées par les États-Unis) le 21 mars 2025, ce qui modifie les exigences de conformité lors de l'interaction avec le code source de ce mélangeur.

Cependant, ce changement n'a pas légalisé le blanchiment d'argent, ni réduit l'analysabilité des transactions sur la chaîne.

Cependant, cela a effectivement affaibli le « pouvoir de dissuasion » qui avait poussé certains participants à se tourner vers d'autres mélangeurs ou ponts inter-chaînes. Si des fonds volés sont utilisés avec un mélangeur traditionnel avant le retrait, ou transférés vers des stablecoins via un pont inter-chaînes, alors le travail de traçage des fonds et la première activation du processus KYC resteront des points clés de l'affaire.

Étant donné que l'adresse du portefeuille impliqué n'est pas encore publique, la plateforme d'échange peut planifier des solutions pour les 14 à 90 jours à venir autour de trois axes principaux. Le tableau ci-dessous, basé sur la structure du marché et le cadre réglementaire de 2025, énumère le « modèle de transfert de fonds de premier niveau », les indicateurs à surveiller ainsi que la plage de probabilité pour le gel et le recouvrement des fonds :

La chronologie des indices de l'affaire peut être déduite en fonction du modèle ci-dessus.

Dans les 24 à 72 premières heures, il est essentiel de se concentrer sur l'intégration des fonds et les transferts précoces. Si l'adresse impliquée est révélée et que les fonds incluent des stablecoins, il faut immédiatement informer l'émetteur pour déclencher un examen de la liste noire ; si les fonds existent sous forme de Bitcoin ou d'Ethereum, il est nécessaire de surveiller les mouvements des mélangeurs, des ponts inter-chaînes, ainsi que de vérifier si des fonds sont convertis en USDT avant d'être retirés en monnaie fiduciaire.

Selon le processus de collaboration du « Centre de plainte pour crimes Internet », si des fonds doivent entrer dans un endroit nécessitant l'exécution de la KYC, un « certificat de préservation des actifs » sera généralement émis dans un délai de 7 à 14 jours et les comptes associés à l'échange seront gelés.

Dans un délai de 30 à 90 jours, si un chemin de transaction de monnaie privée apparaît, l'enquête se concentrera sur les indices hors chaîne, y compris la collecte de preuves sur les appareils, les enregistrements de communication et les traces liées aux escroqueries de « livraison fictive » - le travail de traçabilité des fonds par TRM Labs et des institutions similaires progressera également progressivement à ce stade.

La conception du portefeuille est en cours de mise à niveau pour faire face aux risques de coercition physique.

En 2025, l'application des “portefeuilles de calcul multipartite” et des “portefeuilles d'abstraction de compte” s'étendra davantage, avec l'ajout de fonctionnalités telles que le contrôle stratégique, la récupération sans graine, les limites de transfert quotidiennes et les processus d'approbation à plusieurs facteurs - ces conceptions peuvent réduire le risque d'“exposition unique” des clés privées lors d'événements d'extorsion physique (c'est-à-dire que les clés privées ne seront pas divulguées via un seul appareil ou étape).

Le niveau de contrat de la « verrouillage temporel » (qui fait référence à un mécanisme de retard d'exécution des transactions) et la fonction de « limite de dépense » peuvent ralentir la vitesse de transfert de fonds de grande valeur. Si un compte est volé, cela peut également créer une fenêtre de temps pour alerter l'émetteur ou l'échange.

Ces mesures de protection ne peuvent pas remplacer les normes de sécurité de base concernant l'utilisation des appareils et la sécurité domestique, mais elles peuvent réduire la probabilité que des voleurs réussissent à voler des fonds lorsque ceux-ci ont accès à un téléphone mobile ou à un ordinateur portable.

Le rapport du San Francisco Chronicle a fourni les faits essentiels de l'affaire, mais le site officiel du département de police de San Francisco n'a pas encore publié d'annonce spéciale concernant cette affaire.

L'évolution de l'affaire dépendra de deux facteurs principaux : d'une part, si l'adresse cible impliquée sera rendue publique, et d'autre part, si l'émetteur de la stablecoin ou l'échange a reçu des demandes d'examen et d'intervention.