Le pirate de Step Finance a converti 261 933 SOL (21,4 M$) en 12 128 ETH avant de les envoyer vers Tornado Cash pour blanchiment, après 5 mois d’inactivité totale. Les fonds, issus d’un piratage sur Solana, ont été pontés vers Ethereum via un bridge cross-chain. Le signalement provient de la plateforme d’analyse on-chain Lookonchain.

L’attaque de Step Finance remonte à janvier 2026, mais aucun mouvement n’avait été observé depuis. Le 5 juillet, l’attaquant a liquidé la totalité de son butin en SOL, transféré la valeur sur Ethereum, acquis 12 128 ETH, puis déposé l’intégralité dans Tornado Cash. Cette mécanique de blanchiment fractionné illustre la persistance des mixeurs comme outil de dissimulation, malgré les sanctions américaines en vigueur contre Tornado Cash depuis 2022.

Pourquoi le pirate a-t-il attendu 5 mois avant de blanchir les fonds ?

La dormance prolongée est une tactique courante dans les piratages crypto. L’attaquant mise sur l’érosion de l’attention : après plusieurs mois, les équipes de sécurité relâchent leur surveillance et les exchanges réduisent le monitoring des adresses associées. Dans le cas de Step Finance, 261 933 SOL sont restés intacts de janvier à juillet 2026 avant d’être convertis en une seule transaction.

Ce délai coïncide avec le durcissement des sanctions contre les protocoles de mixage comme Tornado Cash. L’attaquant a probablement attendu une fenêtre de congestion on-chain ou un événement macro pour diluer son activité dans le bruit transactionnel. La conversion via SOL→ETH ajoute une couche de complexité supplémentaire.

Comment s’est déroulé le blanchiment étape par étape ?

Le modus operandi observé par Lookonchain suit un schéma en 3 phases :

  1. Liquidation massive : 261 933 SOL vendus sur le marché le 5 juillet, générant ~21,4 M$.
  2. Bridge cross-chain : les fonds sont pontés de Solana vers Ethereum, fragmentant la trace entre deux blockchains distinctes.
  3. Conversion ETH + mixage : achat de 12 128 ETH, puis dépôt immédiat dans le pool Tornado Cash.

L’utilisation de Tornado Cash permet de briser le lien on-chain entre le wallet d’origine et les futures destinations. Chaque retrait depuis le pool génère une nouvelle adresse vierge, rendant la traçabilité quasi impossible sans données hors-chaîne.

Est-ce que ce hack relance le débat sur les protocoles de mixage ?

Oui. Ce blanchiment de 21,4 M$ intervient alors que Tornado Cash reste sous sanctions OFAC depuis 2022 et que son cofondateur, Roman Storm, attend un nouveau procès à l’automne 2026. Le protocole continue de fonctionner sur Ethereum, les smart contracts étant déployés sans possibilité technique de les « désactiver ».

En parallèle, la gouvernance de Tornado Cash fait face à une menace malveillante mettant en danger 23 M$ résiduels. Le débat juridique se double désormais d’un cas concret : 12 128 ETH blanchis soulignent pourquoi les autorités américaines maintiennent la pression. La question reste entière : comment sanctionner un protocole open source que personne ne peut éteindre sans coordination mondiale ?

À retenir

L’affaire Step Finance montre que les pirates adaptent leurs tactiques aux contraintes réglementaires. Cinq mois de dormance + bridge Solana→Ethereum + Tornado Cash : le cocktail est rodé pour diluer 21,4 M$ dans les profondeurs d’Ethereum. Reste à surveiller si des fonds ressortent des pools de mixage dans les prochaines semaines, ce qui pourrait offrir une piste d’investigation aux enquêteurs.

Qu’est-ce que Step Finance ?

Step Finance est un protocole Solana d’agrégation de données DeFi, proposant un dashboard de suivi de portefeuille et des outils d’analyse. Il a été victime d’un piratage en janvier 2026 pour un montant alors évalué à 21,4 M$ en SOL.

Tornado Cash est-il toujours actif en 2026 ?

Techniquement oui. Les smart contracts de Tornado Cash restent déployés sur Ethereum et accessibles. Malgré les sanctions OFAC, le protocole continue d’être utilisé, comme en témoigne ce blanchiment de 12 128 ETH le 5 juillet 2026.

Comment les autorités peuvent-elles tracer ces fonds ?

Les autorités s’appuient sur des outils d’analyse on-chain (Chainalysis, TRM Labs) et collaborent avec les exchanges pour identifier les retraits depuis Tornado Cash. Cependant, une fois les fonds retirés via des adresses vierges, le traçage devient tributaire des données KYC des plateformes de destination.

Sources

Signal Baissier
Impact Modéré
Nous ajouter à vos sources préférées sur Google