La retraite est complètement disparue ! Le portefeuille XRP des investisseurs a été piraté, 3 millions de dollars ont été transférés vers Huione pour blanchiment de capitaux.

Brandon LaRoque, un retraité de 54 ans, a découvert que ses 1,2 million d'XRP (d'une valeur d'environ 3 millions de dollars) dans son portefeuille Ellipal avaient été volés, ce qui représente l'ensemble de ses économies accumulées depuis 2017. L'enquêteur blockchain ZachXBT a retracé cette perte à travers plus de 120 échanges cross-chain et a découvert que les actifs avaient disparu dans un guichet OTC lié à Huione.

La retraite entièrement perdue : vulnérabilité de sécurité fatale du portefeuille XRP

（source : Youtube）

L'incident a commencé au début de ce mois, lorsque Brandon LaRoque a découvert que 1,2 million d'XRP avaient été volés de son portefeuille Ellipal XRP. Il est à noter que ce montant volé vaut 2,88 millions de dollars selon le taux de change actuel, représentant les économies de toute une vie de cet homme de 54 ans, qui s'est accumulé depuis 2017.

Il pensait à l'origine que ses fonds étaient en sécurité dans son portefeuille froid. Cependant, par la suite, LaRoque a découvert qu'en important sa phrase de récupération dans l'application mobile Ellipal, il avait en fait converti les paramètres en un portefeuille chaud. Ce malentendu fatal a conduit à des conséquences désastreuses.

« Au cours des huit dernières années, j'ai accumulé des XRP, » a déclaré Larocque dans une vidéo YouTube parlant de ce vol. « Cela représente toute notre vie de retraite, je ne sais pas quoi faire. » Ce cri de désespoir n'est pas rare dans les affaires de vol de portefeuille XRP.

Le cas Ellipal a de nouveau suscité des débats sur la sécurité de la garde autonome. Les victimes ont confondu le portefeuille froid Ellipal et le portefeuille chaud basé sur une application, ce qui reflète des problèmes de conception peu claire du portefeuille XRP et un manque d'éducation des utilisateurs. Le portefeuille froid devrait être complètement hors ligne, la clé privée ne devant jamais toucher le réseau. Cependant, lorsque les utilisateurs saisissent la phrase de récupération dans l'application mobile, la clé privée est exposée à l'environnement en ligne, devenant essentiellement un portefeuille chaud.

Cette ambiguïté de conception est un problème courant de nombreux portefeuilles XRP. Les utilisateurs pensent souvent qu'il suffit d'utiliser un portefeuille matériel ou un “portefeuille froid” revendiqué par la marque pour que les fonds soient absolument en sécurité. En réalité, toute erreur dans le processus opérationnel peut compromettre la sécurité. Il est douteux qu'Ellipal ait suffisamment averti des risques dans son interface utilisateur et sa documentation.

Huione réseau de blanchiment d'argent : 150 milliards de dollars de couloir noir

Une enquête en ligne menée par ZachXBT a révélé que les attaquants ont échangé les XRP volés via 120 transactions de pont Ripple à Tron. Ils ont utilisé les Bridgers (anciennement appelés SWFT), puis ont consolidé les fonds sur Tron. En l'espace de trois jours, ces actifs ont disparu dans un guichet de trading OTC lié à Huione.

Le département du Trésor américain a récemment imposé des sanctions à ce réseau de paiement d'Asie du Sud-Est, car l'entreprise a effectué des opérations de blanchiment d'argent via Huione par le biais de fraudes, de trafic d'êtres humains et de cybercriminalité, impliquant des montants de plusieurs milliards de dollars. L'affaire relie le vol de portefeuille XRP à un réseau de Huione, exposant une faiblesse clé de l'application de la loi à l'échelle mondiale. Les autorités américaines ont déclaré que le blanchiment d'argent de Huione a facilité plus de 15 milliards de dollars de transferts illégaux.

Le modèle opérationnel du réseau de blanchiment d'argent de Huione est extrêmement discret. En tant que fournisseur de services de paiement et de change apparemment légaux, Huione opère dans plusieurs pays d'Asie du Sud-Est, offrant aux criminels un moyen d'échanger des cryptomonnaies contre des monnaies fiduciaires. Étant donné que la réglementation dans ces pays est relativement laxiste et que la coordination de l'application de la loi est difficile, Huione a pu échapper aux sanctions pendant une longue période.

Le principal inconvénient est que, même si le chemin de la blockchain est public, il reste difficile d'interrompre les canaux de blanchiment d'argent à travers les juridictions. ZachXBT est capable de suivre le flux de fonds vers Huione, mais ne peut pas empêcher que ces fonds soient échangés et disparaissent là-bas. Ce vide d'application de la loi est la cause fondamentale de la prolifération des crimes liés aux cryptomonnaies.

Huione le processus de blanchiment d'argent en trois étapes :

Première étape : mélange cross-chain : convertir XRP en Tron via 120 transactions de pont, brouiller la source des fonds.

Deuxième étape : Intégration des transferts : regrouper les petites sommes pour en faire une grande, puis transférer vers une nouvelle adresse sur la chaîne Tron.

Troisième étape : Conversion OTC : Échangez contre des monnaies fiat via le guichet de trading OTC connecté à Huione, disparaissant complètement.

95% de récupération des entreprises est des prédateurs : chaîne de fraude secondaire

Bien que les autorités judiciaires aient souvent du mal à réagir rapidement, ZachXBT a déclaré qu'une économie de récupération était déjà apparue, exploitant le désespoir des victimes. Il a écrit : « Une autre leçon est que plus de 95 % des entreprises de recouvrement sont prédatrices, elles ne fournissent que des rapports de base et facturent des frais élevés, tout en offrant rarement des informations exploitables. »

Il a ajouté que de nombreuses entreprises de ce type s'appuient sur l'optimisation des moteurs de recherche et le ciblage des médias sociaux pour attirer les victimes de vols de portefeuilles XRP. Elles fournissent généralement des rapports superficiels sur la blockchain, ou disent aux clients de « contacter l'échange ». La valeur réelle de ce service est extrêmement faible, mais les frais sont très élevés, demandant souvent aux victimes de payer des milliers de dollars de frais initiaux ou une part importante après la récupération réussie.

Ce mécanisme de deuxième niveau a transformé de nombreuses attaques de hackers de grande valeur en crimes multi-étapes. D'abord, le hacker lui-même mène l'attaque, puis viennent les opérateurs de récupération faux, qui promettent de récupérer des fonds qui ont en réalité déjà disparu. Pour des victimes comme LaRoque, qui ont perdu 3 millions de dollars, ces promesses fallacieuses des sociétés de récupération ne font qu'aggraver la situation.

ZachXBT suggère que la véritable tragédie est que la prochaine vague de pertes pourrait ne pas provenir des hackers, mais de ceux qui prétendent aider à récupérer les fonds. Lorsque les victimes cherchent désespérément de l'aide, ces entreprises prédateurs exploitent leur espoir et leur impuissance pour extraire la dernière valeur.

Leçon de sécurité du portefeuille XRP : confusion mortelle entre portefeuille froid et chaud

Outre les indices de blanchiment d'argent et la récupération des escroqueries d'entreprise, l'affaire Ellipal a de nouveau suscité le débat sur la sécurité de l'autogestion des portefeuilles XRP. Les victimes ont confondu le portefeuille froid d'Ellipal avec le portefeuille chaud basé sur une application, ce qui reflète le manque de clarté dans la conception des portefeuilles et un déficit d'éducation des utilisateurs.

La principale différence entre un portefeuille froid et un portefeuille chaud réside dans le fait que la clé privée est ou non connectée au réseau. La clé privée d'un véritable portefeuille froid n'est jamais exposée à un appareil connecté à Internet, toutes les signatures de transaction étant effectuées hors ligne. En revanche, la clé privée d'un portefeuille chaud est stockée sur un appareil connecté, ce qui la rend plus facile à utiliser mais moins sécurisée.

L'erreur de LaRoque réside dans l'entrée de la phrase de récupération dans l'application mobile. Même si le dispositif matériel Ellipal est un portefeuille froid, une fois que la phrase de récupération est saisie dans une application connectée, la sécurité de l'ensemble du portefeuille XRP est dégradée en portefeuille chaud. Cette erreur d'opération peut provenir d'une mécompréhension du fonctionnement du portefeuille, ou il se peut que l'interface utilisateur d'Ellipal ne mette pas suffisamment en garde contre les risques de cette opération.

En raison du manque de capacité des autorités judiciaires à traiter les crimes liés aux crypto-monnaies, l'espoir de récupérer les 3 millions de dollars de LaRoque est mince. Avec la prolifération de réseaux de blanchiment d'argent transnationaux comme Huione, la difficulté de récupération augmente également. Même si ZachXBT peut suivre le flux de fonds, une fois que les fonds entrent dans le réseau Huione et sont échangés contre des monnaies fiduciaires, la transparence de la blockchain perd son utilité.