Les hackers nord-coréens du groupe TraderTraitor ont blanchi la quasi-totalité des 220 millions de dollars non gelés issus de l’attaque Kelp DAO d’avril 2026. Selon les données on-chain d’Arkham Intelligence citées par The Defiant, le wallet initial de l’attaquant ne contient plus que 1,7 million de dollars. La fenêtre de récupération directe est désormais fermée.

Hack Kelp DAO : état des fonds au 2 juin 2026 Sur les 292 M$ volés lors de l'attaque Kelp DAO, 71 M$ ont été gelés par l'Arbitrum Security Council. Les 220 M$ non gelés ont été blanchis via THORChain, Tornado Cash, Wasabi et Umbra. Il ne reste que 1,7 M$ dans le wallet attaquant. Hack Kelp DAO : état des fonds (2 juin 2026) 220 M$ blanchis via mixeurs et bridges privés 1,7 M$ restants dans le wallet | 71 M$ gelés par Arbitrum Source : Arkham Intelligence, The Defiant, 2 juin 2026

Comment les hackers ont-ils blanchi 220 M$ aussi vite ?

Les fonds ont transité par 4 outils de confidentialité distincts : THORChain pour les échanges cross-chain sans KYC, Wasabi Wallet pour le CoinJoin sur Bitcoin, Tornado Cash pour brouiller les pistes sur Ethereum, et Umbra pour les transferts furtifs. Cette combinaison rend le suivi transactionnel classique quasiment inopérant.

Ce schéma n’est pas nouveau. Le blanchiment via LayerZero et bridges cross-chain avait déjà été documenté dès la semaine suivant l’attaque initiale. TraderTraitor applique ici une méthode rodée : fragmentation des fonds, rotation rapide entre plusieurs protocoles, puis dispersion finale vers des wallets dormants.

Que reste-t-il à récupérer ?

Seuls 71 millions de dollars en ETH restent potentiellement récupérables. Ce montant avait été gelé le 20 avril par l’Arbitrum Security Council, quelques heures après l’attaque. C’est l’unique partie des 292 M$ volés où une action légale ou technique reste théoriquement possible.

Les 1,7 M$ toujours présents dans le wallet initial représentent moins de 1 % du butin total. Ce reliquat est probablement intentionnel : des fonds difficiles à déplacer rapidement, ou un test de surveillance. Les hackers nord-coréens, responsables de 2,1 Md$ de vols en 2025, conservent souvent de petites positions pour tester la réactivité des traceurs on-chain.

Qui est derrière l’attaque Kelp DAO ?

Le groupe TraderTraitor, affilié à la Corée du Nord, a été formellement identifié comme responsable. LayerZero avait publié son rapport d’enquête le 18 mai 2026, attribuant l’attaque à ce groupe. Il s’agit de la même organisation liée à plusieurs hacks majeurs de l’écosystème DeFi, dont l’exploitation du bridge Ronin en 2022 pour 620 M$ transférés sur Bitcoin.

L’attaque initiale, menée en avril 2026, avait exploité une faille dans le système de messagerie cross-chain de LayerZero pour siphonner 292 M$ du protocole Kelp DAO. Le rapport post-incident d’Aave, publié peu après, avait détaillé les conséquences sur la liquidité des pools rsETH.

Quelles leçons pour les protocoles DeFi ?

La vitesse de blanchiment interpelle. En moins de 6 semaines, 220 M$ ont été rendus intraçables. L’écart entre la réactivité des attaquants (quelques jours pour disperser les fonds) et celle des défenseurs (semaines pour identifier, puis impossibilité de récupérer) reste béant.

Le rapport Aave sur l’incident rsETH avait souligné la dépendance excessive aux bridges cross-chain pour la gestion des collatéraux. Trois des cinq plus grandes pertes DeFi de 2025-2026 partagent ce vecteur d’attaque. Les protocoles qui n’ont pas encore audité leurs dépendances inter-chaînes s’exposent à un risque structurellement identique.

À retenir

Sur les 292 M$ volés en avril 2026, 220 M$ sont définitivement hors de portée et 71 M$ gelés restent l’unique levier de récupération. TraderTraitor boucle ainsi l’un des blanchiments DeFi les plus rapides de l’année. La prochaine étape : le sort judiciaire et technique des fonds Arbitrum, dont aucune date de déblocage ou de restitution n’a été annoncée.

Sources

Signal Baissier
Impact Majeur
Nous ajouter à vos sources préférées sur Google