Enlèvement physique : attaque par clé à molette après un nouveau sommet du Bitcoin

Arrière-plan

Dans la forêt sombre de la blockchain, nous parlons souvent des attaques sur la chaîne, des vulnérabilités des contrats et des intrusions de hackers, mais de plus en plus de cas nous rappellent que le risque s'est étendu hors de la chaîne.

Selon Decrypt et Eesti Ekspress, lors d'un récent procès, le milliardaire et entrepreneur en cryptomonnaie Tim Heath a évoqué une tentative d'enlèvement qu'il a subie l'année dernière. Les agresseurs ont suivi ses déplacements grâce à un GPS, des passeports falsifiés et des téléphones jetables, et ont attaqué par derrière alors qu'il montait les escaliers, tentant de lui mettre un sac sur la tête pour le contrôler de force. Heath a réussi à s'échapper après avoir mordu un doigt de l'agresseur.

Avec la montée en valeur des actifs cryptographiques, les attaques par clé à molette contre les utilisateurs de cryptomonnaie sont de plus en plus fréquentes. Cet article analysera en profondeur ces méthodes d'attaque, examinera des cas typiques, clarifiera les chaînes criminelles sous-jacentes et proposera des recommandations pratiques pour la prévention et la réponse.

()

Qu'est-ce qu'une attaque par clé de serrage

« Vous pouvez avoir la meilleure protection technique, mais un attaquant n'a besoin que d'une clé à molette pour vous mettre à terre, et vous allez dire votre mot de passe. » L'expression attaque à la clé à molette à 5 dollars (5 $ Wrench Attack) est apparue pour la première fois dans la bande dessinée en ligne XKCD, où l'attaquant n'utilise pas de moyens techniques, mais contraint la victime à remettre son mot de passe ou ses actifs par la menace, l'extorsion ou même l'enlèvement.

()

Revue des cas typiques d'enlèvement

Depuis le début de l'année, les cas d'enlèvements ciblant les utilisateurs de cryptomonnaies se sont multipliés, touchant des membres clés de projets, des KOL et même des utilisateurs ordinaires. Début mai, la police française a réussi à secourir le père d'un riche homme d'affaires en cryptomonnaie qui avait été enlevé. Les ravisseurs demandaient des millions d'euros de rançon et ont cruellement coupé ses doigts pour exercer une pression sur ses proches.

Des affaires similaires ont déjà émergé au début de l'année : en janvier, David Balland, cofondateur de Ledger, et sa femme ont été attaqués chez eux par des assaillants armés, qui ont également coupé ses doigts et filmé la scène, exigeant le paiement de 100 bitcoins. Début juin, un homme de nationalité franco-marocaine, Badiss Mohamed Amide Bajjou, a été arrêté à Tanger. Selon Barrons, il est soupçonné d'avoir planifié plusieurs enlèvements d'entrepreneurs en cryptomonnaie en France. Le ministre français de la Justice a confirmé que ce suspect était recherché par Interpol pour des crimes tels que "enlèvement, détention illégale d'otages", etc. De plus, Bajjou est soupçonné d'être l'un des cerveaux derrière l'enlèvement du cofondateur de Ledger.

Un autre cas choquant pour l'industrie s'est produit à New York. L'investisseur crypto d'origine italienne Michael Valentino Teofrasto Carturan a été piégé dans une villa, où il a été enfermé et torturé pendant trois semaines. Le groupe criminel a utilisé une tronçonneuse, des dispositifs de choc électrique et des drogues pour menacer, allant même jusqu'à le suspendre au sommet d'un immeuble, le forçant à remettre la clé privée de son portefeuille. Les agresseurs étaient des "initiés du secteur", qui ont ciblé leur victime avec précision grâce à des analyses on-chain et au suivi sur les réseaux sociaux.

Mi-mai, la fille de Pierre Noizat, co-fondateur de Paymium, et son jeune petit-fils ont failli être contraints de monter dans un fourgon blanc dans les rues de Paris. Selon Le Parisien, la fille de Noizat a résisté avec véhémence, et un passant a frappé le fourgon avec un extincteur, forçant les ravisseurs à s'enfuir.

Ces affaires montrent que, par rapport aux attaques en ligne, les menaces de violence hors ligne sont plus directes, efficaces et ont un seuil d'entrée plus bas. Les attaquants sont souvent de jeunes personnes, âgés de 16 à 23 ans, ayant une connaissance de base des cryptomonnaies. Selon les données publiées par le parquet français, plusieurs mineurs ont déjà été officiellement poursuivis pour leur implication dans de telles affaires.

En plus des affaires publiées, l'équipe de sécurité Slow Fog a également remarqué, en organisant les informations soumises par les victimes, que certains utilisateurs ont été contrôlés ou contraints lors de transactions hors ligne, ce qui a entraîné des pertes d'actifs.

De plus, il existe des cas de "coercition non violente" qui n'ont pas encore évolué vers la violence physique. Par exemple, un attaquant peut menacer une victime en possédant des informations privées, des déplacements ou d'autres éléments de pression pour l'obliger à effectuer un virement. Bien que cette situation n'ait pas causé de dommages directs, elle touche aux limites de la menace personnelle, et il convient de discuter davantage de sa classification dans la catégorie des "attaques par levier".

Il convient de souligner que les cas révélés ne sont peut-être que la partie émergée de l'iceberg. De nombreuses victimes choisissent de garder le silence par crainte de représailles, parce que les autorités judiciaires ne prennent pas en charge leurs plaintes ou en raison de la peur d'être identifiées, ce qui rend difficile une évaluation précise de l'ampleur réelle des attaques hors chaîne.

Analyse de la chaîne criminelle

L'équipe de recherche de l'Université de Cambridge a publié en 2024 un article intitulé « Investigating Wrench Attacks: Physical Attacks Targeting Cryptocurrency Users », qui analyse systématiquement les cas d'agressions physiques (attaques à la clé à molette) subis par les utilisateurs de cryptomonnaies à travers le monde, révélant en profondeur les schémas d'attaque et les difficultés de défense. L'image ci-dessous est une version traduite de l'image originale de l'article, pour référence, l'image originale se trouve dans

À partir de plusieurs affaires typiques, nous avons résumé que la chaîne criminelle de l'attaque par clé à molette couvre principalement les étapes clés suivantes :

1. Verrouillage des informations

Les attaquants commencent généralement par des informations sur la chaîne, combinant le comportement des transactions, les données d'étiquetage, la situation de détention des NFT, etc., pour évaluer de manière préliminaire l'échelle de l'actif cible. Parallèlement, les discussions de groupe sur Telegram, les déclarations sur X (Twitter), les interviews de KOL et même certaines données divulguées deviennent également des sources importantes de renseignements auxiliaires.

2. Localisation et contact réels

Une fois que l'identité cible est déterminée, l'attaquant essaiera d'obtenir des informations sur son identité réelle, y compris son lieu de résidence, ses lieux fréquents et sa structure familiale. Les méthodes courantes incluent :

• Inciter les cibles à divulguer des informations sur les plateformes sociales ;
• Utiliser les données d'enregistrement publiques (comme l'email lié à l'ENS, les informations d'enregistrement de domaine) pour effectuer une recherche inversée ;
• Utiliser des données divulguées pour une recherche inversée ;
• Amener la cible dans un environnement contrôlé par le biais de surveillance ou d'invitations fictives.

3. Menaces violentes et extorsion

Une fois que la cible est contrôlée, les attaquants utilisent souvent des méthodes violentes pour les forcer à remettre la clé privée du portefeuille, les mnémotechniques et les droits de vérification à deux facteurs. Les méthodes courantes incluent :

• Coups, électrocutions, amputations et autres blessures corporelles ;
• Contraindre la victime à effectuer un virement ;
• Menacer des proches pour exiger un transfert d'argent par la famille.

4. Blanchiment d'argent et transfert de fonds

Après avoir obtenu la clé privée ou la phrase mnémotechnique, les attaquants transfèrent généralement rapidement les actifs, les méthodes incluent :

• Utiliser un mélangeur de cryptomonnaie pour dissimuler l'origine des fonds ;
• Transférer vers une adresse contrôlée ou un compte d'échange centralisé non conforme ;
• Monétiser des actifs via des canaux OTC ou le marché noir.

Certains attaquants possèdent une expertise en technologie blockchain, connaissent les mécanismes de traçage sur la chaîne et créent délibérément des chemins à plusieurs sauts ou des confusions inter-chaînes pour échapper à la traçabilité.

Mesures de réponse

L'utilisation de portefeuilles multisignatures ou de mnémoniques décentralisés n'est pas pratique dans des scénarios extrêmes de menace personnelle, et est souvent perçue par les attaquants comme un refus de coopération, ce qui aggrave plutôt les comportements violents. Face à une attaque par clé, une stratégie plus prudente devrait être "avoir quelque chose à donner, et des pertes contrôlables" :

• Configurer un portefeuille d'incitation : préparez un compte qui semble être le portefeuille principal, mais qui ne contient qu'un petit nombre d'actifs, afin de l'utiliser pour un "stop-loss feeding" en cas de danger.
• Gestion de la sécurité familiale : les membres de la famille doivent maîtriser les connaissances de base sur l'emplacement des actifs et la coopération en cas de besoin ; définir un mot de sécurité pour transmettre un signal d'alerte en cas de situation anormale ; renforcer les paramètres de sécurité des appareils domestiques et la sécurité physique du logement.
• Évitez l'exposition de votre identité : évitez de montrer votre richesse ou de publier vos historiques de transactions sur les plateformes sociales ; évitez de révéler vos actifs cryptographiques dans la vie réelle ; gérez bien les informations de votre cercle d'amis pour éviter les fuites d'amis. La protection la plus efficace reste de faire en sorte que les gens "ne sachent pas que vous êtes une cible à surveiller".

écrit à la fin

Avec le développement rapide de l'industrie de la cryptographie, connaître son client ( KYC ) et le système de lutte contre le blanchiment d'argent ( AML ) joue un rôle clé dans l'amélioration de la transparence financière et la prévention des mouvements de fonds illégaux. Cependant, lors de l'exécution, en particulier en ce qui concerne la sécurité des données et la confidentialité des utilisateurs, de nombreux défis subsistent. Par exemple, les nombreuses informations sensibles (telles que l'identité, les données biométriques, etc.) collectées par la plateforme pour répondre aux exigences réglementaires, si elles ne sont pas protégées correctement, peuvent devenir des points d'attaque.

Ainsi, nous recommandons d'introduire un système de détection des risques dynamique basé sur le processus KYC traditionnel, afin de réduire la collecte d'informations inutiles et de diminuer le risque de fuite de données. Parallèlement, la plateforme peut se connecter à des plateformes de lutte contre le blanchiment d'argent et de traçage tout-en-un comme MistTrack, pour aider à identifier les transactions potentiellement suspectes et améliorer les capacités de gestion des risques dès le départ. D'autre part, la construction de la capacité de sécurité des données est également essentielle. Grâce au service de test de l'équipe rouge de SlowMist (, la plateforme peut bénéficier d'un soutien de simulation d'attaques dans un environnement réel, permettant une évaluation complète des chemins d'exposition des données sensibles et des points de risque.