Les hackers nord-coréens du groupe TraderTraitor ont blanchi la quasi-totalité des 220 millions de dollars non gelés issus de l’attaque Kelp DAO d’avril 2026. Selon les données on-chain d’Arkham Intelligence citées par The Defiant, le wallet initial de l’attaquant ne contient plus que 1,7 million de dollars. La fenêtre de récupération directe est désormais fermée.
Comment les hackers ont-ils blanchi 220 M$ aussi vite ?
Les fonds ont transité par 4 outils de confidentialité distincts : THORChain pour les échanges cross-chain sans KYC, Wasabi Wallet pour le CoinJoin sur Bitcoin, Tornado Cash pour brouiller les pistes sur Ethereum, et Umbra pour les transferts furtifs. Cette combinaison rend le suivi transactionnel classique quasiment inopérant.
Ce schéma n’est pas nouveau. Le blanchiment via LayerZero et bridges cross-chain avait déjà été documenté dès la semaine suivant l’attaque initiale. TraderTraitor applique ici une méthode rodée : fragmentation des fonds, rotation rapide entre plusieurs protocoles, puis dispersion finale vers des wallets dormants.
Que reste-t-il à récupérer ?
Seuls 71 millions de dollars en ETH restent potentiellement récupérables. Ce montant avait été gelé le 20 avril par l’Arbitrum Security Council, quelques heures après l’attaque. C’est l’unique partie des 292 M$ volés où une action légale ou technique reste théoriquement possible.
Les 1,7 M$ toujours présents dans le wallet initial représentent moins de 1 % du butin total. Ce reliquat est probablement intentionnel : des fonds difficiles à déplacer rapidement, ou un test de surveillance. Les hackers nord-coréens, responsables de 2,1 Md$ de vols en 2025, conservent souvent de petites positions pour tester la réactivité des traceurs on-chain.
Qui est derrière l’attaque Kelp DAO ?
Le groupe TraderTraitor, affilié à la Corée du Nord, a été formellement identifié comme responsable. LayerZero avait publié son rapport d’enquête le 18 mai 2026, attribuant l’attaque à ce groupe. Il s’agit de la même organisation liée à plusieurs hacks majeurs de l’écosystème DeFi, dont l’exploitation du bridge Ronin en 2022 pour 620 M$ transférés sur Bitcoin.
L’attaque initiale, menée en avril 2026, avait exploité une faille dans le système de messagerie cross-chain de LayerZero pour siphonner 292 M$ du protocole Kelp DAO. Le rapport post-incident d’Aave, publié peu après, avait détaillé les conséquences sur la liquidité des pools rsETH.
Quelles leçons pour les protocoles DeFi ?
La vitesse de blanchiment interpelle. En moins de 6 semaines, 220 M$ ont été rendus intraçables. L’écart entre la réactivité des attaquants (quelques jours pour disperser les fonds) et celle des défenseurs (semaines pour identifier, puis impossibilité de récupérer) reste béant.
Le rapport Aave sur l’incident rsETH avait souligné la dépendance excessive aux bridges cross-chain pour la gestion des collatéraux. Trois des cinq plus grandes pertes DeFi de 2025-2026 partagent ce vecteur d’attaque. Les protocoles qui n’ont pas encore audité leurs dépendances inter-chaînes s’exposent à un risque structurellement identique.
À retenir
Sur les 292 M$ volés en avril 2026, 220 M$ sont définitivement hors de portée et 71 M$ gelés restent l’unique levier de récupération. TraderTraitor boucle ainsi l’un des blanchiments DeFi les plus rapides de l’année. La prochaine étape : le sort judiciaire et technique des fonds Arbitrum, dont aucune date de déblocage ou de restitution n’a été annoncée.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash