Blanchiment cross-chain de cryptomonnaies par les hackers de la RPDC

déc., 8 2025

En février 2025, un seul vol de cryptomonnaies a dépassé tous les précédents. Plus de 1,5 milliard de dollars ont été dérobés à l’échange Bybit. Ce n’était pas un hacker isolé. Ce n’était pas un groupe de criminels ordinaires. C’était le travail d’une unité secrète de l’armée nord-coréenne, agissant avec une précision militaire et une audace sans précédent. Ce vol n’était qu’un épisode dans une campagne bien plus large : le blanchiment cross-chain de cryptomonnaies par les hackers de la République populaire démocratique de Corée (RPDC).

Qui sont les véritables auteurs ?

Derrière chaque attaque majeure contre des échanges ou des portefeuilles crypto, on retrouve le même nom : Lazarus Group. Ce n’est pas une organisation criminelle au sens traditionnel. C’est une unité de guerre cybernétique du 3^e Bureau du Bureau général du renseignement de la RPDC, une branche directe du régime de Pyongyang. Le FBI a officiellement attribué le vol de Bybit à un sous-groupe nommé TraderTraitor, un agent de cette machine de guerre financière. Leur mission ? Générer des devises étrangères pour financer les programmes nucléaires et balistiques de la Corée du Nord.

En 2023, les attaques de la RPDC ont rapporté 660,5 millions de dollars. En 2024, ce chiffre a doublé pour atteindre 1,34 milliard. Et en 2025, selon Elliptic, les pertes liées à ces groupes ont dépassé les 2 milliards de dollars. Le vol de Bybit seul représente plus que l’ensemble des vols de 2023. Ce n’est pas une augmentation. C’est une escalade planifiée.

Comment ça marche ? La machine à blanchir

Autrefois, les hackers utilisaient des services de mélange comme Wasabi Wallet ou Tornado Cash pour cacher l’origine des fonds. Mais ces outils ont été bloqués, sanctionnés, fermés. Alors, ils ont changé de méthode. Et ils ont trouvé une faille plus grande : les ponts cross-chain.

Un pont cross-chain permet de transférer des actifs d’une blockchain à une autre - par exemple, de l’Ethereum vers Tron ou de Bitcoin vers Binance Smart Chain. Ces ponts sont conçus pour faciliter l’interopérabilité. Les pirates de la RPDC les utilisent comme des portes dérobées.

Voici comment ça se déroule :

Un portefeuille est piraté sur Ethereum. Des millions de dollars en ERC-20 sont volés.
Les fonds sont convertis en Ether natif, puis envoyés sur le pont Avalanche Bridge.
Sur Avalanche, ils sont transformés en Bitcoin, puis transférés vers BitTorrent Chain (BTTC).
De BTTC, ils passent sur Tron, où ils deviennent des tokens TRC-20.
Enfin, ils sont convertis en Bitcoin natif - un actif plus difficile à tracer et plus facile à vendre sur les marchés hors bourse (OTC).

Chaque étape efface une partie de la trace. Chaque conversion brise le lien entre l’origine et la destination. TRM Labs a identifié plus de 9 500 BTC transférés uniquement via l’Avalanche Bridge par le groupe Lazarus. Et ce n’est qu’un pont. Ils en utilisent plusieurs : Ren Bridge, Multichain, Celer, et d’autres encore.

La stratégie du « flood the zone »

Ce n’est pas une simple succession de transferts. C’est une attaque en volume. Les hackers envoient des milliers de petites transactions en quelques secondes. Ils inondent les systèmes de surveillance. Les analystes sont submergés. Les algorithmes de détection se perdent. C’est ce que Nick Carlsen, ancien expert du FBI chez TRM Labs, appelle la stratégie du « flood the zone ».

Imaginez un vol à main armée où les voleurs ne fuient pas en voiture. Ils déclenchent une centaine d’alarmes en même temps, dans dix quartiers différents. Pendant que la police court d’un endroit à l’autre, ils s’échappent par une porte qu’on n’a même pas vue.

Les hackers de la RPDC n’ont pas besoin d’être invisibles. Ils ont besoin de rendre la traque impossible. Et ça marche. Même les meilleures entreprises de forensic blockchain comme Chainalysis et TRM Labs doivent maintenant combiner des données de 15 blockchains différentes pour suivre un seul transfert.

Une famille utilise des appareils numériques tandis que des e-mails piégés en forme de méduses volent autour d'eux.

Le nouveau terrain de jeu : les particuliers

Les grandes cibles ne sont plus seulement les échanges. En 2025, les pirates ont pivoté vers les particuliers. Des investisseurs riches, des PDG de startups crypto, des développeurs qui gardent leurs clés privées sur des téléphones ou des clés USB. Ces personnes n’ont pas les ressources de Bybit. Elles ne disposent pas de systèmes de sécurité en temps réel. Elles sont vulnérables.

Les attaques ne sont plus seulement techniques. Elles sont sociales. Un faux emploi sur LinkedIn. Un message sur Telegram qui prétend être un support technique. Une fausse application de portefeuille qui copie votre clé privée. Elliptic le dit clairement : « Le point faible dans la sécurité crypto, ce n’est plus la technologie. C’est l’humain. »

Un seul clic. Une seule erreur. Et des millions disparaissent. Pas besoin de pirater un serveur. Il suffit de tromper une personne.

Et les autorités ? Que font-elles ?

Les agences de renseignement ont réagi. En août 2023, le FBI a publié une liste de 1 200 adresses Bitcoin liées au groupe Lazarus. Des échanges comme Binance et Kraken ont bloqué ces adresses. Mais les pirates s’adaptent. Ils créent de nouvelles adresses chaque jour. Ils utilisent des portefeuilles non custody. Ils passent par des OTC non régulés en Asie du Sud-Est.

Les outils de traçage ont évolué aussi. TRM Labs a lancé TRM Phoenix, un système capable de suivre automatiquement les fonds à travers les ponts cross-chain. Mais chaque fois qu’un nouvel outil est déployé, la RPDC développe une nouvelle technique. Elle utilise des blockchains obscurcies, peu analysées, où les données sont rares. Elle crée ses propres tokens, qu’elle fait circuler sur des réseaux décentralisés pour masquer les flux. Elle utilise des « adresses de remboursement » : des adresses qui semblent être des retours de transaction, mais qui en réalité redirigent les fonds vers de nouveaux portefeuilles.

C’est une course aux armements. Et jusqu’à présent, la RPDC est en avance.

Un robot géant détruit des échanges crypto, mais de petits héros plantent des arbres de sécurité derrière lui.

Le lien avec les armes nucléaires

Ce n’est pas juste du vol. C’est un financement d’État. Un rapport des Nations Unies en 2024 a confirmé que les opérations cybernétiques de la RPDC financent directement son programme d’armes nucléaires. Un haut responsable de l’administration Biden a déclaré en 2024 que près de la moitié des revenus en devises étrangères de la Corée du Nord proviennent de la cybercriminalité.

Chaque bitcoin volé est un missile en construction. Chaque pont cross-chain utilisé est une ligne d’approvisionnement pour une arme. Les États-Unis, l’Union européenne, le Japon et la Corée du Sud ont imposé des sanctions. Mais les sanctions ne bloquent pas les ponts. Elles ne bloquent pas les adresses créées en 5 minutes. Elles ne bloquent pas les gens qui cliquent sur un lien malveillant.

Qu’est-ce que ça change pour vous ?

Si vous êtes un utilisateur ordinaire de crypto, vous n’êtes pas directement ciblé. Mais vous êtes affecté. La confiance dans les échanges diminue. Les frais augmentent. Les régulations se resserrent. Les plateformes exigent des vérifications plus lourdes. Les innovations sont freinées par la peur.

Et si vous êtes un détenteur de crypto, vous êtes une cible. Votre portefeuille n’est pas sécurisé parce que vous avez un mot de passe fort. Il est sécurisé parce que vous n’avez pas cliqué sur le mauvais lien. Parce que vous n’avez pas partagé votre phrase de récupération. Parce que vous avez compris que la technologie ne protège pas - c’est le comportement qui protège.

Que faire maintenant ?

Ne jamais utiliser de portefeuilles en ligne pour de grandes sommes. Utilisez un portefeuille matériel.
Ne jamais cliquer sur des liens dans des messages non sollicités, même s’ils semblent venir d’un support technique.
Activez l’authentification à deux facteurs (2FA) sur toutes vos comptes, mais évitez SMS - préférez les applications comme Authy ou Google Authenticator.
Surveillez vos transactions. Si vous voyez un transfert inconnu, agissez immédiatement.
Ne gardez pas vos clés privées sur votre ordinateur ou votre téléphone. Écrivez-les sur papier. Stockez-les dans un endroit sûr.

La RPDC ne va pas arrêter. Elle ne peut pas. Son économie dépend de ce vol. Mais vous, vous pouvez vous protéger. Parce que dans cette guerre invisible, la meilleure défense, c’est la vigilance.

18 Commentaires

maxime plomion
décembre 9, 2025 AT 12:18

Les ponts cross-chain sont une faille systémique, pas une erreur technique. Chaque fois qu’on ajoute une interopérabilité, on crée un vecteur d’attaque. C’est mathématique.
Rene Gomez
décembre 11, 2025 AT 04:43

Je vois trop de gens qui pensent que leur Ledger les protège… mais si tu cliques sur un lien qui te demande de « confirmer une transaction » sur un site qui ressemble à Metamask, t’es mort avant même de t’en rendre compte. La sécurité, c’est pas le matériel, c’est le mental. Et là, on est tous en mode automate. 😔
Babette Silber
décembre 13, 2025 AT 03:06

La Corée du Nord ? T’as vu leur drapeau ? C’est un peu comme si le Vatican finançait Al-Qaïda avec les dons des fidèles… mais en mieux. 🤡💸
Tainá Viviane
décembre 14, 2025 AT 04:40

Il est regrettable que l’article utilise le terme « hackers » pour désigner des agents d’un État souverain. Ce n’est pas du hacking, c’est de la guerre asymétrique. La terminologie compte.
Vianney Ramos Maldonado
décembre 15, 2025 AT 12:23

Et si tout cela était une mise en scène pour justifier la surveillance totale des portefeuilles ? Qui contrôle les outils de traçage ? Qui a accès aux données de Chainalysis ? Qui a écrit les algorithmes ? La liberté financière est un leurre. Nous sommes tous des cobayes dans un laboratoire de contrôle global.
Les sanctions ne touchent personne. Elles servent à rassurer les citoyens. Les vrais acteurs ne sont jamais punis. Les adresses sont remplacées en deux minutes. Les ponts ne sont pas bloqués, ils sont réécrits. Les États occidentaux ont peur de ce qu’ils ne peuvent pas contrôler. Alors ils créent des ennemis imaginaires pour justifier leurs propres abus.
Regardez les lois sur la crypto en Europe. Elles ne protègent pas les utilisateurs. Elles centralisent le pouvoir. Et quand vous demandez pourquoi les échanges exigent votre passeport, votre photo de visa, et votre historique bancaire, on vous répond : « Pour votre sécurité ». Mais qui a sécurisé qui ?
Le vrai vol, ce n’est pas les 2 milliards de dollars. C’est la confiance qu’on nous a volée. Et on la remplace par des certificats numériques, des KYC, des audits, des rapports. Tout cela pour nous faire croire que quelqu’un est en train de nous protéger. Mais le lion n’a jamais été dans la cage. Il était dans la salle.
Leur but n’est pas de voler. Leur but est de rendre la crypto inutilisable pour les citoyens. Et ils y arrivent. Chaque nouvelle règle, chaque nouveau blocage, chaque nouvelle alerte… c’est un petit pas vers le contrôle absolu.
Vous pensez que la RPDC est l’ennemi ? Non. Elle est le miroir. Elle montre ce que nous sommes prêts à accepter pour avoir l’illusion de la sécurité. Et nous applaudissons.
Frederic von
décembre 16, 2025 AT 13:27

Je suis content que quelqu’un parle enfin de la dimension humaine. On parle de blockchains, de ponts, de traceurs… mais personne ne dit que la plupart des victimes sont des gens qui ont cru un message sur Telegram. Un père de famille. Une grand-mère qui voulait aider son petit-fils. Un étudiant qui a vu « 2x votre BTC en 1h » et a cliqué. La technologie n’est pas le problème. C’est qu’on a arrêté de se former. On pense que la crypto c’est « mettre un peu d’argent dans une app ». Non. C’est un nouveau monde. Et il faut apprendre à y vivre. Pas juste à y spéculer.
Je donne des ateliers dans les bibliothèques. J’ai vu des gens de 70 ans apprendre à gérer une clé privée. Ils sont plus prudents que les « traders » de 25 ans avec leur 1000$ sur Binance. La sagesse, c’est pas l’âge. C’est l’attention.
Collin T.
décembre 16, 2025 AT 19:55

Oh wow un article qui dit que les gens sont bêtes. Bravo. On va tous se faire vacciner contre la connaissance maintenant ?
Le vrai problème, c’est que les « experts » en blockchain sont des types qui ont lu un whitepaper en 2017 et pensent que la crypto c’est une religion. Les ponts cross-chain ? Ils sont là parce que les devs ont été trop paresseux pour faire un bon protocole. Pas parce que la Corée du Nord est géniale. C’est juste du malus technique. Et vous, vous faites un roman d’espionnage dessus.
La RPDC ne fait rien de nouveau. Ils utilisent des outils que tout adolescent de 16 ans peut trouver sur GitHub. Le vrai crime, c’est que les exchanges n’ont pas mis en place un simple système de monitoring des flux à 5 étapes. Mais non, faut que ce soit une conspiration géopolitique. C’est plus vendeur.
Thierry Mangin
décembre 18, 2025 AT 04:35

Je pense que tout ça c’est une couverture pour que les banques centrales puissent imposer les CBDC. Regardez les dates. Le vol de Bybit a eu lieu 3 semaines avant le vote sur le digital euro. Coïncidence ? Je pense pas. Ils ont besoin d’un ennemi pour nous faire accepter le contrôle total. La crypto c’était la liberté. Maintenant c’est le cauchemar. Et tout ça pour que vous puissiez payer vos frites avec un QR code qui enregistre votre consommation de sel.
Anne Georgiev Longuet
décembre 20, 2025 AT 03:30

Je suis une mère de 3 enfants. Je garde mes BTC sur un Ledger. Mais je les ai appris à ne jamais ouvrir un lien. Je leur dis : « Si c’est trop beau pour être vrai, c’est un piège ». Et ils le savent. C’est ça la vraie éducation. Pas les algorithmes. Pas les blockchains. Les gens. ❤️
James Angove
décembre 20, 2025 AT 13:00

On peut tout arrêter ! 🚀 Il suffit de s’unir ! Les devs, les utilisateurs, les chercheurs ! On crée un pont open-source, audité, décentralisé, avec des récompenses pour ceux qui trouvent des failles ! On peut le faire ! On est plus forts que les États ! 💪🔥
Paris Stahre
décembre 21, 2025 AT 02:27

La notion même de « blanchiment » est une construction étatique. Les actifs ne sont pas « sales ». Ils sont simplement transférés. Le jugement moral est une fiction. Le système financier occidental est le plus grand blanchisseur de l’histoire. Les fonds de pension financent les armes. Les hedge funds financent les dictatures. Mais on ne parle pas d’eux. On parle de la Corée du Nord. Pourquoi ? Parce qu’ils sont faibles. Et les faibles sont plus faciles à stigmatiser.
Dominique Lelièvre
décembre 22, 2025 AT 10:00

Il y a une beauté tragique dans cette guerre : elle révèle notre humanité. Nous avons créé des systèmes pour transcender les frontières, les banques, les gouvernements… et pourtant, c’est un clic, une peur, une confiance mal placée, qui les détruit. La technologie n’est pas neutre. Elle reflète notre vulnérabilité. Peut-être que la solution n’est pas plus de sécurité… mais plus d’humilité.
Quand on croit qu’on peut tout contrôler, on devient aveugle. Et c’est là que les lumières s’éteignent.
Julien Malabry
décembre 22, 2025 AT 13:42

Portefeuille matériel + 2FA avec Authy + jamais de lien. C’est tout. Pas besoin de plus. 🛡️
James Kaigai
décembre 23, 2025 AT 16:58

Le truc fou c’est que les mêmes mecs qui disent « la blockchain est immuable » sont les premiers à faire des memes sur les attaques comme si c’était un film de superhéros… mais quand ils perdent 500€, ils hurlent à la conspiration. 😅
Lizzie Perrin
décembre 25, 2025 AT 04:51

je pense que la vrai solution cest de faire des wallets qui parlent aux gens pas aux machines… et qui disent « ATTENTION CE LIEN EST DANGEREUX » comme un antivirus… mais en mieux… jai vu un truc comme ça sur un forum en 2023 mais il a été supprimé… je crois que cest parce que ca faisait trop peur aux exchanges…
Adrien GAVILA
décembre 25, 2025 AT 07:58

Le terme « cross-chain » est une invention marketing pour masquer la fragmentation du réseau. Ce sont des ponts de merde, conçus par des devs qui ne comprennent pas les fondamentaux de la cryptographie. Les attaques ne sont pas une surprise. Elles sont prévisibles. Et les « experts » qui les décrivent comme des œuvres d’art sont les mêmes qui vendent des NFT de pingouins.
Arnaud Gawinowski
décembre 26, 2025 AT 08:25

On a vu des attaques comme ça en 2016 avec The DAO. Personne n’a rien appris. On continue à faire des ponts comme si c’était des bus de ville. Et on s’étonne que les voleurs les utilisent ?
Andre Swanepoel
décembre 27, 2025 AT 19:58

J’ai discuté avec un ancien ingénieur de TRM Labs l’autre jour. Il m’a dit une chose qui m’a marqué : « On ne traque pas les fonds. On traque les comportements. » Un hacker de la RPDC ne change pas d’adresse parce qu’il a peur. Il change parce qu’il sait qu’on va le chercher là. Il sait qu’on va regarder les ponts. Alors il va là où personne ne regarde. Il attend. Il observe. Il apprend. Et un jour, il frappe. Pas avec un grand coup. Avec une petite erreur. Une personne. Un clic. C’est ça la vraie puissance. Pas la technologie. L’attente.