QuadrigaCX : analyse des 5 wallets liés au « crypto grand banditisme »
L’exchange canadien QuadrigaCX avait déclaré que son CEO, Gerald Cotten, était récemment décédé sans avoir passé le contrôle des colds wallets de l’exchange à un tiers. Depuis, les clients de l’exchange attendent l’équivalent de 150 millions de dollars en crypto qui restent introuvables. Cependant, plus le temps passe, plus le doute s’installe sur la légitimité de l’exchange. Nous analyserons dans cet article les 5 wallets de l’exchange, et leurs liens avec ce que l’on pourrait caractériser de crypto grand banditisme.
Les 5 wallets aux liens criminels
Un peu après le début de l’enquête officielle sur les fonds disparus, QuadrigaCX a envoyé « par inadvertance » environ 103 BTC sur un cold wallet associé à l’exchange. C’est grâce à cette erreur qu’un analyste a pu retrouver 5 cold wallets supposément associés à Quadriga, qui ont reçu une somme quasiment identique (104 BTC au total) le jour ou l’erreur a été commise. Une adresse supplémentaire a été repérée par la firme d’analyse Trinide : 1JZJaDDC44DCKLnezDsbW43Zf8LspCKBYP. Cette adresse comporte plus de 200 transactions avec les cold wallets de l’exchange, ce qui la lie presque certainement à Quadriga.
Après une analyse détaillée des transactions présentes sur ces wallets, Zerononcense a pu dresser un portrait pour le moins accusateur envers Quadriga. En plus des fonds aux origines douteuses, les fonds provenant des cold wallets étaient « mixés » afin de dissimuler leur origine (ce qui est loin d’être une pratique standard pour les exchanges).
Encore plus douteux, il semblerait que les sommes qui ont transitées sur les colds wallets de l’exchange dépassent largement les fonds auxquels l’exchange pouvait avoir accès, même en réunissant l’ensemble des fonds de leurs clients. En effet, Zerononcense estime que ce sont plus de 400 millions de dollars qui ont été liquidés, pour un exchange dont les fonds des clients ne dépassent pas les 200 millions de dollars.
Retrouvez ci-dessous le compte rendu de l’analyse de Zerononcense, wallet par wallet. Cette analyse a été réalisée via le logiciel QLUE, sur lequel vous pourrez trouver plus d’informations ici. Pour simplifier, nous numéroterons (arbitrairement) ces wallets de #1 à #5.
Wallet #1
L’un des avantages de QLUE, est qu’il retranscrit visuellement les transactions se déroulant sur une blockchain. C’est ainsi que, lorsque l’on observe les wallets de Quadriga, on se rend rapidement compte d’un certain nombre de problèmes. En premier lieu, tous les wallets sont marqués d’un « 0 », ce qui signifie que QLUE les a associés à des activités illégales. Ensuite, des sommes astronomiques ont transité par ces wallets, et certaines transactions les lient directement à des marchés noirs, des adresses d’exchanges connues comme corrompues et autres sites de gambling/scams/etc..
En remontant certains fils, on peut par exemple tomber sur ce transfert direct, sur un wallet estampé d’un « Bitfinex Hack ». Cette adresse avait en fait été signalée comme corrompue lors du hack de Bitfinex en 2016.
« De l’argent envoyé vers (ou provenant de) cette adresse est un signe d’implication. En théorie, une adresse d’exchange compromise (une adresse qui a été piratée avec succès) constituerait un foyer pour d’autres fonds illicites ainsi que des fonds qui sont blanchis/tumbled/mixés afin d’en occulter l’origine. » Extrait de l’analyse de Zerononcense
Plus troublant encore, vous pouvez voir ci-dessus une transaction vers un wallet associé à Cryptsy, datée du 30 juillet 2016. Cette énorme transaction (+360 BTC, soit plus d’un million de dollars à l’époque) pose un problème majeur : Cryptsy était officiellement « down » depuis le 15 janvier 2016. Il semble donc évident que cette transaction n’avait rien d’une pratique anodine, mais aurait bel et bien eu pour but de dissimuler des fonds (entre autres).
Si les directions des transactions sont inquiétantes, les sources ne sont pas plus rassurantes ! En effet, il semblerait qu’une vaste partie des fonds présents sur le wallet provienne en fait d’Evolutionmarket, un marché noir fermé en 2015.
On peut également noter que des millions de dollars provenant de Gate.io (anciennement BTER.com) ont transité par ce wallet. Vous pouvez trouver ci-dessous un résumé des fonds entrants et sortants de cette adresse.
Wallet #2
Ce sont plus de 45 millions de dollars en bitcoins qui ont transité sur ce deuxième wallet. Comme vous pouvez le constater, ce wallet est également signalé comme étant « lié à des activités frauduleuses ».
On s’aperçoit également de certaines transactions douteuses, par exemple une transaction directe vers une adresse contrôlée par Silk Road, le premier marché noir de l’internet.
Bitzino
On retrouve sur cette adresse une quantité significative de fonds envoyés par Bitzino, un site de gambling en ligne avec certains transferts directs.
Ce sont en fait la vaste majorité des fonds entrants et sortants sur ce wallet qui proviennent de Bitzino. Pour info, le site a disparu sans préavis et de façon plutôt mystérieuse en 2016.
Wallet #3
L’image ci-dessous représente une transaction de 142 BTC provenant du cold wallet #3 en direction du wallet (1JZJaDDC44DCKLnezDsbW43Zf8LspCKBYP). C’est ce wallet que la firme d’analyse Trinide avait repéré après son étude. Il s’avère que l’adresse est liée à une quantité significative d’activités illégales, et ce sont plus de 180 millions de dollars en bitcoins qui ont transité par ce dernier. On trouve, sur cette adresse, des fonds envoyés par Cryptsy postérieurement à leur banqueroute ou encore des interactions avec le wallet compromis de Bitfinex.
Au final, on s’aperçoit que la majorité des fonds présents sur ce wallet ont été redirigés vers quatre autres wallets, parmi lesquels le wallet repéré par Trinide (1JZJaDD…), le cold wallet #3 et le cold wallet #4.
Comme tous les autres wallet, celui-ci est marqué d’un « 0 » rappelant aux utilisateurs qu’il est lié avec des activités douteuses au mieux, voire franchement illégales.
On relève par exemple les multiples transactions ci-dessus, où ce sont parfois plus de 140 BTC qui ont quitté le wallet #4 pour rejoindre l’adresse repérée par Trinide, cette même adresse qui aurait blanchi plus de 180 millions de dollars de BTC via diverses entreprises illégales.
Les transactions sur ce wallet sont très nombreuses, et Zerononcense a pu retracer des fonds liquidés sur LocalBitcoin, d’autres sur Binance, mais la majorité des fonds auraient été envoyés vers l’adresse que l’on a mentionné plusieurs fois : 1JZJaDD…
Ainsi, si cette adresse n’est pas liée à autant d’activités illégales que les autres, il n’en reste pas moins que les sommes transitant dessus ont de quoi laisser perplexe, d’autant qu’il s’agit manifestement de l’œuvre de quelqu’un désirant brouiller les pistes.
Wallet #5
Ce wallet aura été celui qui a posé le plus de problèmes aux analystes. En effet, les fonds y arrivant ont été énormément mixés, ce qui rend la tâche d’en distinguer l’origine pour ainsi dire impossible.
En revanche, on relève encore plusieurs centaines de bitcoins envoyés en destination de l’adresse 1JZJAdd, ce qui finit de lier les 5 wallets entre eux.
La conclusion de Zerononcense
Voici donc les conclusions du rapport de Zerononcense, au terme de leur titanesque travail d’analyse. À ce sujet, cet article n’en est qu’un bref compte rendu, et nous invitons tous les anglophones intéressés par la chose à aller constater par eux même de la qualité du travail effectué par l’équipe de Zerononcense.
1 – Quadriga aurait liquidé au total plus de 400 millions de dollars.
2 – Les « cold wallets » sont associés à de nombreuses activités illégales. Pour citer Zerononcence « Il n’y avait quasiment aucune transaction « légale » dans certains des wallets ».
3 – Une quantité significative des fonds des clients aurait été siphonnée dans ces wallets.
4 – Certains exchanges – Bitfinex en particulier – ont reçu des dizaines de millions de dollars de Quadriga. L’origine des fonds était plus que douteuse d’un point de vue légal.
QuadrigaCX dépossédé
La saga se poursuit donc, et c’est désormais la firme d’audit Ernst & Young (EY) qui a pris le contrôle des fonds restant de Quadriga.
Un rapport officiel annonce que QuadrigaCX a été contraint de réaliser un transfert de 51,1 bitcoins, 33,3 bitcoins cash, 2,032,7 bitcoins gold, 822,3 litecoins et 951,5 ethers à EY, jeudi dernier.
Coinbase mène l’enquête
Alors que l’analyse de Zerononcense retentissait comme une petite bombe, Brian Armstrong, le CEO de Coinbase, est venu ajouter son grain de sel.
https://twitter.com/brian_armstrong/status/1098656766605185024
L’équipe de Coinbase a effectivement déclaré s’être lancée dans un travail d’enquêteurs, et selon eux, les fonds de l’exchange étaient liquidés dès début 2018.
https://twitter.com/brian_armstrong/status/1098657798533967872
« Cela implique qu’au moins quelques personnes au sein de Quadriga savaient qu’ils fonctionnaient sur des réserves fractionnelles. Si c’est le cas, il est possible que le décès prématuré de leur PDG leur ait servi de prétexte pour laisser l’entreprise couler. » Brian Armstrong, CEO de Coinbase
Cependant, pour Armstrong, tout n’est peut-être pas si noir. En effet, suite à un bug survenu en juin 2017, l’exchange avait perdu plusieurs millions de dollars. Ainsi, Armstrong déclare que, au vu des événements, la situation actuelle pourrait être due à une tentative de l’exchange de couvrir ses erreurs. Le résultat est le même, mais l’intention serait presque (et on dit bien « presque ») plus louable.
Par exemple, l’exchange aurait pu simplement essayer de garder la tête hors de l’eau en tradant sur ses fonds propres, mais le marché baissier n’aura pas joué en leurs faveurs. Quoi qu’il en soit, les liens criminels entre leurs cold wallets et divers mauvais acteurs sont désormais avéré, on voit donc difficilement ce qui pourrait racheter l’équipe de Quadriga aux yeux du public.