De coupables à innocents : La blockchain sauve deux vénézuéliens dans l’affaire Bancar

La prison sans passer par la case départ – Les hacks de cryptomonnaie font généralement la une des journaux. Il en va de même pour les arrestations de leurs auteurs. La capture très médiatisée de deux personnes liées à une attaque contre l’exchange Bitfinex en 2016 en est l’exemple. En novembre 2020, les autorités vénézuéliennes ont arrêté deux développeurs de logiciels. Les deux compères étaient soupçonnés d’avoir volé environ 1 million de dollars de bitcoins à un exchange local appelé Bancar. Aujourd’hui blanchis grâce à la blockchain, Mendoza et Diaz ont toujours clamé leur innocence. Voici leur histoire.

Le hack de l’exchange Bancar

Tout commence en 2018, lorsque Bancar embauche la société POSINT pour l’aider à construire son exchange de cryptomonnaie. José Manuel Osorio Mendoza et Kelvin Jonathan Diaz sont deux employés de cette société vénézuélienne de développement de logiciels. Après avoir développé la plateforme, approuvée par le gouvernement de Maduro, l’entreprise remet le code source à Bancar.

Un an plus tard, 103,99 Bitcoins d’une valeur d’environ 1 million de dollars disparaissent de l’exchange lors d’une cyberattaque. Cinq transactions distinctes servent alors à voler les bitcoins (BTC) de la plateforme. En effet, le pirate effectue trois transactions le 4 septembre 2019 et les deux autres le 7 septembre 2019 et disparait sur la blockchain avec le butin.

Le piratage des exchanges cryptos est un challenge pour les hackers.
Un pirate attaque l’exchange Bancar en septembre 2019.

Immédiatement, Bancar soupçonne POSINT, la société qui a développé le logiciel utilisé par Bancar. Danny Penagos, un collègue de Mendoza et Diaz, effectue un simple traçage et découvre que les bitcoins (BTC) volés sont sur l’exchange Binance. Il en informe Bancar par e-mail et leur conseille d’engager CipherBlade pour enquêter sur le piratage ou de contacter Binance pour tenter de récupérer les fonds.

« Je pense qu’un attaquant professionnel ou un pirate informatique ne déposerait pas cette somme d’argent dans un grand exchange comme Binance. »

Danny Penagos, directeur des opérations chez POSINT

Un an plus tard, en décembre 2020, les médias locaux rapportent que les autorités vénézuéliennes ont arrêté deux personnes. Mendoza et Diaz seraient les suspects principaux dans l’enquête sur cette attaque. À l’époque, Mendoza est le directeur de la technologie chez POSINT et Diaz un des développeurs principaux de l’entreprise. Après l’arrestation de ses collègues, Penagos tente de contacter Binance lui-même mais ne reçoit aucune réponse. Il se tourne alors vers CipherBlade, une agence d’investigation sur la blockchain, afin de réussir à prouver l’innocence de Mendoza et Diaz.

Au Venezuela, la police a appréhendé Mendoza et Diaz, tous deux suspectés d'avoir dérobé pour 1 million de dollars de bitcoins sur la plateforme locale Bancar.
Mendoza et Diaz sont les suspects numéro 1 et se retrouvent en détention.

>> Les détectives de la blockchain veillent. Découvrez les indices fiables de Invictus Capital (lien affilié). <<

L’analyse et le suivi des transactions par CipherBlade

Moins d’un mois après le début de son enquête, CipherBlade remonte de manière très détaillée les fonds volés sur Bancar. Une fois les 103,99 BTC retirés de l’exchange, l’auteur avait déposé les bitcoins volés sur deux adresses distinctes. Ensuite, les bitcoins (BTC) volés avaient finalement convergé vers une adresse sur Binance.

« Nous avons d’abord vu tous les fonds aller sur Binance. Cependant, nous avons pu dire que l’adresse vers laquelle les fonds sont allés n’était pas un compte personnel chez Binance qui appartenait au pirate informatique. C’était une sorte de service. »

Paul Sibenik, gestionnaire de cas chez CipherBlade

Binance informe alors les enquêteurs que l’adresse est associée à Suex.io. Cette société, basée à Moscou offre des services de trading de gré à gré (OTC). Le trésor volé de Bancar s’est donc d’abord retrouvé dans deux adresses appartenant au voleur. Il a ensuite utilisé Suex.io pour convertir les bitcoins (BTC) en un autre actif. En d’autres termes, l’auteur a utilisé le service OTC de Suex.io pour blanchir les bitcoins volés avant de les envoyer sur son compte chez Binance.

Le voleur de bitcoins sur Bancar utilise un service OTC pour blanchir son butin.
Le voleur de bitcoins sur Bancar utilise un service OTC pour blanchir son butin.

CipherBlade décide de demander des informations à Suex.io. Cependant, la société russe n’est pas coopérative. Binance, arrive à la rescousse. Le célèbre exchange aide CipherBlade en faisant une demande de source de ces fonds à Suex.io. Un exchange peut faire une telle demande à ses clients en leur demandant d’expliquer l’origine de l’argent ou des actifs déposés sur la plateforme.

« La première chose est que quiconque était un client de Suex.io à l’époque savait qu’ils n’avaient aucune exigence. Ils se fichaient de savoir avec qui ils traitaient ou d’où venaient les fonds. Je respecte beaucoup le pseudonymat et la vie privée mais il y a aussi des valeurs éthiques. Cette affaire était critique. Il y avait deux personnes en prison. »

Miguel Alonso Torres, enquêteur « senior » chez CipherBlade

Suex.io partage finalement les informations. Ces dernières permettent à CipherBlade de tout récupérer. De ce fait, ils possèdent effectivement l’adresse IP du voleur, son identifiant Telegram, son fournisseur de services Internet et son navigateur Web. Toutes les informations pointent vers un ressortissant russe.

La relaxe de Mendoza et Diaz et la sentence de Suex

Finalement, le tribunal vénézuélien accepte d’examiner le rapport de CipherBlade. Sur la base des conclusions de l’enquête, en janvier 2021, le tribunal accorde la liberté conditionnelle à Mendoza et Diaz. En août 2021, le tribunal rejette officiellement toutes les charges retenues contre eux.

« Il nous est devenu évident qu’en effet, Mendoza et Diaz étaient simplement des boucs émissaires. »

Paul Sibenik, gestionnaire de cas chez CipherBlade
Le Trésor américain sanctione le service OTC Suex.io.
Le Trésor américain sanctione le service OTC Suex.io.

Par ailleurs, en septembre 2021, Suex.io devient le premier exchange à être sanctionné par l’Office of Foreign Assets Control (OFAC) du département du Trésor américain. La plateforme est désormais dans la même catégorie que les terroristes et les trafiquants de drogue. Par la suite, Binance, qui a participé à l’enquête de CipherBlade, retire le compte de la plateforme de son exchange.

La société de renseignement CipherBlade décrit également dans son rapport les mesures que les autorités vénézuéliennes pourraient prendre pour retrouver le coupable et clore l’affaire. Nous ne savons pas si les autorités vénézuéliennes poursuivent l’individu en question. En tout cas, CipherBlade est plein d’espoir.

Les failles découvertes sur Bancar

CipherBlade a également examiné le serveur de Bancar. La société de renseignements y a trouvé un certain nombre de failles qui auraient pu exposer la plateforme à des attaques. En effet, l’enquête révèle qu’il existe plus de 7 000 pages Web de spam sur le serveur de l’exchange qui n’ont pas été créées par Bancar. Une simple recherche sur le site Web renvoie vers des pages avec toute sorte de contenu, des épouses russes aux locations de voitures.

7 000 pages Web de spam découvertes sur le serveur de Bancar.
7 000 pages Web de spam découvertes sur le serveur de Bancar.

CipherBlade a également découvert que le certificat SSL de la plateforme, qui authentifie l’identité du site Web, avait été correctement installé mais révoqué en décembre 2020. Soit un an après le piratage. Une certification SSL peut être révoquée pour un certain nombre de raisons, y compris par la probabilité que ses clés privées aient été compromises.

« Comme pour les banques et autres institutions financières traditionnelles, chaque fois que des flux illicites passent par des exchanges, l’exchange lui-même n’abrite pas les groupes criminels, mais est plutôt exploité comme intermédiaire. »

Déclaration d’un porte-parole de l’exchange Binance

L’entreprise de Miguel Alonso Torres, enquêteur principal chez CipherBlade travaille sur un panel de cas plutôt large. Du piratage au vol en passant par le divorce où un conjoint ne divulge pas ses avoirs en cryptomonnaies. Cependant, la relaxe de deux suspects était une première pour Torres.

« Avoir quelqu’un en prison et qu’on me demande d’enquêter sur un piratage juste pour pouvoir prouver au tribunal qu’il est en fait innocent, c’est absolument unique. Je n’ai jamais eu un cas comme celui-ci. »

Miguel Alonso Torres, enquêteur « senior » chez CipherBlade

La demande de services de renseignement blockchain pour suivre les transactions illicites est en plein essor. La société de renseignement Blockchain Chainalysis en est la preuve. Cette société estime par ailleurs qu’en 2021, 8,6 milliards de dollars ont été blanchis en cryptomonnaies.

Grâce à leurs outils de pointe, les crypto-enquêteurs sillonnent la blockchain pour appréhender les auteurs d’activités illégales.. ou innocenter ceux qui sont accusés à tord. Nul besoin de déployer des techniques de haute voltige pour profiter de rendements supérieurs à 10% annuels. Inscrivez-vous sur Invictus Capital pour découvrir le fonds IML (lien affilié).

Lipucciu

Tombé sous le charme depuis 2017, je suis passionné par la blockchain et les cryptomonnaies. Éternel curieux, j’étudie sans cesse cet écosystème futuriste et éprouve un grand plaisir à partager mes connaissances et fascinantes découvertes.

Recevez un condensé d'information chaque jour