Voilà une nouvelle qui, à défaut de décourager les hackers, leur donnera au moins du fil à retordre. Tornado Cash (TORN), le protocole d’anonymisation qui a servi à escamoter des centaines de millions de dollars siphonnés sur des blockchains vulnérables, vient semble-t-il d’être mis hors service. Le Trésor US l’avait placé sur sa liste noire hier.
Le Trésor US ajoute Tornado Cash à sa liste noire
Hier 8 août, l’Office of Foreign Assets Control (OFAC), affiliée au Département du Trésor des États-Unis, avait placé Tornado Cash et ses fondateurs sur sa liste de « ressortissants spécialement désignés ».
La fameuse liste des Specially Designated Nationals (SDN) regroupe différents dignitaires étrangers, hommes d’affaires, hommes politiques ciblés par des sanctions économiques.
Dans le cas de Tornado Cash, c’est l’ensemble de ses fonds opérationnels qui se retrouvent bloqués : l’adresse de son smart contract sur le réseau Ethereum, l’adresse de son portefeuille recevant les dons d’utilisateurs ainsi que son adresse Gitcoin. On peut lire dans le communiqué de l’OFAC la nature des faits reprochés au protocole, suite à une enquête déclenchée il y a quelques semaines :
« Bien qu’il ait assuré le contraire, Tornado Cash a échoué à plusieurs reprises à imposer des contrôles efficaces destinés à l’empêcher de blanchir régulièrement des fonds pour des acteurs malveillants et sans mesures pour faire face à ces risques. Le Trésor continuera à mener des actions agressives contre les mixeurs qui blanchissent des devises virtuelles pour les criminels et ceux qui les aident. »
Une série de sanctions coordonnées contre le site
Dans le sillage des autorités fédérales US, c’est tout un ensemble d’acteurs liés à la blockchain qui ont décidé de mettre à mort le protocole.
Circle (la société émettrice du stablecoin USDC) a annoncé avoir gelé des dizaines d’adresses ayant interagi avec le protocole d’anonymisation. Un noyau de 44 adresses ont été dévoilées comme étant spécifiquement liées aux individus, dirigeants et membres de l’équipe de Tornado Cash.
Circle just frozen 75,000 USDC belonging to unsuspecting Tornado users, as well as 149 USDC donated to the project. pic.twitter.com/GBS41FtZvB
— banteg (@bantg) August 8, 2022
Github, une plateforme de Microsoft très populaire auprès des développeurs, a quant à elle banni Roman Semenov, co-fondateur du protocole. Ce dernier l’a fait savoir sur Twitter, et a fait face à plusieurs commentaires incendiaires :
My @GitHub account was just suspended ?
Is writing an open source code illegal now?
— Roman Semenov ?? ?️ (@semenov_roman_) August 8, 2022
Le site tornado.cash a même été mis hors service, comme le montre l’image ci-dessous. C’est vraisemblablement le résultat d’un blocage sur les serveurs d’hébergement (Amazon Web Services ?), car les fondateurs n’ont pas annoncé avoir désactivé leur site.
Blender.io, 1inch, Tornado Cash : la problématique des protocoles d’anonymisation
Tornado Cash est à ce jour le deuxième protocole de mixage de cryptomonnaies à s’être attiré les foudres des autorités américaines. En mai dernier, l’OFAC sanctionnait Blender.io, l’accusant de « soutenir les cyberactivités malveillantes et le blanchiment d’argent en monnaie virtuelle volée ». En clair, le redoutable groupe de hackers nord-coréen Lazarus, à la botte de l’Etat nord-coréen lui-même.
Si les sanctions ont mis du temps à tomber, plusieurs sociétés d’analyse de la blockchain avaient déjà mis en évidence le problème : l’utilisation massive par les hackers de Tornado Cash, pour faire disparaître les fonds dérobés lors de hacks d’envergure et brouiller les traces.
Le groupe Lazarus est par exemple mis en cause dans le hack de la sidechain Ronin en mars dernier. En tout 624 millions de dollars (173 600 ETH et 25,5 millions d’USDC) avaient été dérobés sur ce pont informatique dédié au jeu Axie Infinity (AXS). Une grande partie de ces fonds a transité par Tornado Cash.
Plus récemment, ce sont les fonds dérobés sur la blockchain Harmony, lors d’une attaque sur le bridge Horizon, qui ont été envoyés sur le protocole. Trois jours après le vol de 100 millions de dollars en BUSB, USDC, ETH et WBTC, le butin avait commencé à être englouti par lots sur le mixeur.
Les « mixeurs » de cryptomonnaies fonctionnent tous sur le même modèle : lors de votre dépôt, vos cryptomonnaies sont envoyées sur un smart contract qui les mélange à celles apportées par d’autres déposants. Plus il y a d’apporteurs, plus le mélange se révèle efficace et difficile à dénouer pour d’éventuels détectives on-chain.
Un score d’anonymisation (baptisé « anonymity set ») mesure même le degré de confidentialité ajouté à votre dépôt. De cette manière, le déposant peut décider du bon moment pour retirer ses équivalents crypto du protocole via différents wallets.
Tornado Cash pourrait renaître sous un autre nom
La mise à mort de Tordano Cash est un nouvelle qui devrait donner du fil à retordre aux principaux collectifs de hackers malveillants, à commencer par les nord-coréens Lazarus et APT38, puis les russes Conti-Ryuk, Sodinoboki (Reil), Grandcarb et TrickBot.
Là où le bât blesse, c’est que le smart contract sous-jacent de Tornado Cash pourrait simplement être répliqué sous un autre nom. Il faut savoir que la totalité du code de celui-ci est disponible sur GitHub, une plateforme que les développeurs utilisent pour partager (et stocker) le code de leurs projets.
A la manière des sites de streaming et de téléchargement pair-à-pair, on peut donc s’attendre à voir le protocole réapparaître sous un nouveau nom de domaine. Sans compter les projets similaires qui reprendront à coup sûr la place laissée vacante.
Parallèlement, des détectives on-chain, à l’image des sociétés PeckShield et Elliptic, travaillent à reconstituer par algorithmes les flux de cryptos transitant vers et hors de ces protocoles de mixage. Les progrès sont importants mais n’apportent pas encore la totalité des réponses voulues.
Il est peu probable de revoir un jour Tornado Cash fonctionner à nouveau. Les hacks cependant, ne sont pas près de s’arrêter. Nous vous donnons toutes les clés pour sécuriser vos BTC et autres altcoins ici.
Jérôme Moreau
