C’est la rançon du succès : les cryptomonnaies connaissent une adoption grandissante, avec un volume total de transactions en 2021 en augmentation de 567% par rapport à 2020, mais les activités illégales y ayant recours progressent également, d’après la dernière enquête "Crypto Crime Report" de l’entreprise Chainalysis, spécialisée dans l’analyse et la prévention des risques cyber.
La crypto-criminalité avance toutefois avec un rythme moins soutenu. Elle a représenté 14 milliards de dollars en 2021, soit un accroissement de "seulement" 79% par rapport à l’année précédente, indique le document publié cette semaine.
Des malversations limitées à 0,15% des échanges
Si le problème augmente en valeur absolue, il diminue en proportion : « la criminalité est en train devenir proportionnellement de moins en moins importante dans l’écosystème des cryptomonnaies », écrivent les auteurs. Leur estimation provisoire sur la part des transactions associées à des activités illégales en 2021 s’établit à 0,15%, mais le chiffre sera très certainement revu à la hausse ultérieurement. L’année précédente, il avait été initialement de 0,34% avant d’être réévalué à 0,62%.
L’usage de bitcoins, ethers, tethers, et autres XRP pour le financement du terrorisme se réduit même à peau de chagrin, d’après l’étude. « Nous avons identifié un certain nombre d’organisations terroristes qui ont tenté de financer leurs opérations avec des cryptomonnaies. Ce qui est plus difficile à trouver, cependant, sont des groupes qui ont réussi à s’en servir. »
La branche armée du Hamas (Brigades Al-Qassam) rassemble la quasi-totalité des transactions dans de cette catégorie marginale consacrée au financement du terrorisme, mais la majorité des sommes ont été saisies par le gouvernement israélien au mois de juillet.
Les vulnérabilités de la "DeFi"
Les activités criminelles qui connaissent au contraire une forte progression sont les arnaques et les vols de fonds, en particulier avec l’usage croissant de la finance décentralisée (ou "DeFi" pour Decentralized Finance). La DeFi permet d’offrir de nouveaux services aux utilisateurs de cryptomonnaies, dont des crédits, de l’épargne rémunérée, des paris, ou l’émission facilitée de nouveaux jetons grâce à des "smarts contracts". Son usage pour le vol de fonds a ainsi augmenté de 1.330% à 2,2 milliards de dollars.
Concrètement, deux méthodes ont été employées à cette fin. La première consiste simplement à exploiter les failles du code informatique. Il s’agit d’un piratage classique.
« Mais avec l’essor de la DeFi et des possibilités extensives des smart contracts qui [l’]alimentent, des vulnérabilités plus profondes ont commencé à être mises au jour. » Le code étant souvent en libre accès à la consultation, dans un souci de transparence et d’encourager l’adoption, il offre par la même occasion l’opportunité pour les pirates de repérer des failles et de les exploiter.
Manipulation de cours et "rug pull"
La seconde technique utilisée pour dérober l’argent consiste à manipuler les prix. L’opération consiste en fait à tromper le fournisseur de données financières, "l’oracle", utilisé par la plateforme de DeFi pour afficher le prix d’un jeton. 364 millions de dollars ont ainsi été dérobés en 2021 (notamment à l’occasion du piratage de Cream Finance).
Enfin des arnaques de plus en plus courantes consistent à promettre monts-et-merveille à travers un service de DeFi, puis de disparaître avec l’argent. Ce procédé, appelé "rug pull" ("tirer le tapis") passe par l’émission d’un token pour lequel chaque acheteur va mettre sous séquestre une somme d’argent.
Habituellement, les protocoles honnêtes prévoient que ces mises ne puissent pas être déplacées sans l’accord des participants, mais les malfaiteurs implémentent savamment la possibilité de se passer de leur aval.
« Alors qu’un audit du code permettant de repérer ces vulnérabilités sont courants dans l’écosystème, ils ne sont pas exigés sur la plupart des [plateformes d’échange décentralisées] », souligne le rapport. Ces dernières ont en effet vocation à être intégralement automatisées et accessibles aux utilisateurs sans supervision.
L’affaire Thodex
La plus grande arnaque de 2021 n’a toutefois pas eu besoin de recourir à ce genre de stratagème. Le patron de la plateforme d’échange turque Thodex s’est volatilisé avec les quelque 2 milliards de dollars en cryptomonnaies de ses clients. Une affaire qui représente 90% des arnaques l’année dernière.
Le principal enseignement du rapport est donc de garder un œil très attentif sur la DeFi, d’autant qu’elle « prend le rôle principal dans le blanchiment d’argent ».
Une activité qui a concerné pas moins de 33 milliards de dollars, mais qu’il faut mettre au regard des 800 milliards de dollars minimum blanchis dans le monde chaque année « soit 5% du PIB global ».
Les auteurs sont toutefois optimistes sur la lutte contre la crypto-criminalité : « En raison de la transparence inhérente des blockchains, nous pouvons plus facilement traquer les mouvements illégaux. »
Les comptes ne sont en effet pas anonymisés, mais pseudonymisés la plupart du temps et les transactions sont conservées sur la blockchain, ce qui rend possible de remonter l’activité et de retrouver une identité par croisement d’informations.