Douche froide pour ceux qui espéraient un jour avoir le point final du rocambolesque hack de Mt.Gox, considéré à l'époque des faits en 2014 comme le plus grand braquage crypto jamais vu.

La libération à la mi-février d'Alexander Vinnik — on le voit sur cette vidéo, tasse de thé à la main à l'aéroport international de Vnoukovo à Moscou — contre celle de Marc Fogel, cet enseignant américain emprisonné par Moscou pour quelques grammes de cannabis (et suspecté d'être espion), n'est pas une surprise.

Son nom avait en effet déjà circulé l'an dernier lors d'un premier échange de prisonniers entre les États-Unis et la Russie. Mais elle risque de réduire à néant les chances de connaître les dessous de cette histoire. « Il n'y aura probablement plus d'avancée judiciaire sur les personnes impliquées et les circonstances exactes du piratage », déplore ainsi auprès de The Big Whale Kim Nilsson, un informaticien suédois de 42 ans qui avait enquêté avec succès sur le hack.

Des trois personnes mises en examen par la justice américaine dans ce dossier, le Russe de 44 ans était en effet le seul à avoir été arrêté aux États-Unis. Accusé d'être l'un des blanchisseurs, il avait fini par plaider coupable devant la justice américaine en mai 2024 pour son rôle dans BTC-e.

Cette plateforme d’échange douteuse lancée en juillet 2011 était considérée comme l'une des plus grandes lessiveuses d'argent sale au monde. Peu regardant sur ses clients — aucune pièce d'identité n'était nécessaire —, il fonctionnait via des vouchers, permettant ainsi de casser la traçabilité du flux des crypto-actifs échangés.

En février 2014, cela fait trois ans que Mt.Gox est dirigé par le Français Mark Karpelès. Le désormais célèbre exchange basé au Japon devait être au départ un portail d'échange des cartes du jeu « Magic: The Gathering », d'où son nom. Il va brutalement s'effondrer après la fuite d'un document interne.

Mis en ligne par « Twobitidiot », le pseudonyme du fondateur de Messari Ryan Selkis, ce brouillon de gestion de crise de onze pages signale la disparition de 744 408 BTC de l'échange. Soit à l'époque 6 % des BTC en circulation, calculait le New York Times. Le total des bitcoins perdus se montera finalement à 850 000 BTC environ.

>> Lire aussi : Mark Karpelès : “Je vais enquêter sur Tether”

Le premier dossier d’une start-up en devenir : Chainalysis

Des clients furieux réclament en vain leurs cryptos. Comme Kolin Burges, le célèbre homme au bonnet et à la pancarte « Mt.Gox, where is our money? » qui fait face à Mark Karpelès, un mug de café à la main, au pied des bureaux de l'entreprise. Poursuivi par la justice nipponne, l'une des plus grandes faillites de l'univers crypto se solde par la descente aux enfers du patron français. En mars 2019, il est finalement relaxé pour l'accusation de détournement de fonds, mais condamné à deux ans et demi de prison avec sursis pour falsification de données informatiques, une peine bien plus clémente que celle requise, dix ans ferme, par l'accusation.

Devançant l'enquête policière, la communauté crypto va tenter de comprendre les ressorts de ce hack phénoménal.

Avec l'appui du patron de l'exchange Kraken, l'affaire va même être le premier dossier d'une start-up lancée par un informaticien danois, Michael Gronager : Chainalysis. Il y a tout d'abord l'hypothèse des malversations internes.

Sur le forum Bitcointalk, un internaute esquisse une trame en mars 2014. Trop amateur, Mark Karpelès, à l'époque l'un des grands suspects dans l'histoire, n'aurait pas su protéger efficacement sa plateforme des hackers. Il aurait alors tenté de donner le change en rachetant des cryptos pour compenser les pertes en s'appuyant notamment sur un robot, Willy.

L'activité de ce compte et d'un autre baptisé Markus sera détaillée dans un post, le « Willy Report », publié à la fin du mois de mai 2014, une analyse d'une base de données interne qui a fuité sur Pirate Bay. Il y a comme un air de fraude massive.

Un premier compte poussait ainsi à la hausse le cours du Bitcoin en achetant régulièrement des cryptos, tandis qu'un second amassait « des tonnes de BTC sans dépenser un centime ». Mark Karpelès confirmera lors de son procès en juillet 2017 avoir été derrière ces opérations, censées permettre de masquer le trou grandissant de la plateforme. Un manque de rigueur désormais bien connu.

En témoignent par exemple ces 200 000 BTC retrouvés après la faillite de l'échangeur dans un portefeuille. La clé privée aurait été imprimée sur une feuille de papier puis oubliée par négligence, assuraient les journalistes Jack Adelstein et Nathalie Stucky dans leur livre « J'ai vendu mon âme en bitcoin ». Ils sont aujourd'hui le dernier espoir pour les utilisateurs lésés de recouvrer leurs pertes.

Après la découverte de ce wallet égaré, il reste donc environ 650 000 BTC manquants.

Kim Nilsson : « Mt.Gox était techniquement insolvable depuis au moins 2012 »

À Tokyo, Kim Nilsson continue ses recherches. En avril 2015, il date au mois d'août 2011 le début du décalage entre les avoirs crypto attendus et ceux réels. Le vol gigantesque serait en fait le résultat d'une fuite perlée restée inaperçue durant plusieurs années, quasiment depuis le début de la plateforme.

« Mt.Gox était techniquement insolvable depuis au moins 2012 », remarquait-il. Avant de détailler les grandes lignes de la méthode la plus probable des voleurs : un accès aux clés privées du portefeuille chaud stockées sur le fichier wallet.dat pour faire main basse sur les cryptos.

Précurseur, l'exchange avait de sérieux défauts de sécurité. On a en effet retrouvé la trace de plusieurs piratages. Il y a tout d'abord les deux failles liées à Liberty Reserve, cette plateforme d'échange basée au Costa Rica fermée par la justice américaine en mai 2013.

À la suite du piratage d'un serveur, il y a également les 80 000 bitcoins, qui n'ont depuis pas bougé, manquant déjà à l'appel à la passation de pouvoirs en avril 2011 entre le créateur de Mt.Gox, Jed McCaleb et Mark Karpelès.

Il y a ensuite ce vol de 300 000 bitcoins en mai 2011, un butin que le pirate va restituer contre une commission de 3 000 bitcoins, « probablement parce qu'il n'avait pas été très prudent », remarquait Kim Nilsson. Enfin, en juin 2011, le piratage du compte administrateur de Jed McCaleb se solde par la sortie de 2 000 BTC et un crash spectaculaire du marché, avec un bitcoin ramené à quelques pennies.

Aucune piste ne se dégage toutefois pour les plusieurs centaines de milliers de bitcoins qui se sont évaporés de septembre 2011 à mi-2013. Jusqu'au 25 juillet 2017.

Sur son blog, Kim Nilsson exulte. Un certain Alexander Vinnik vient d'être arrêté en Grèce. Cette arrestation sonne comme la consécration de plusieurs années de travail patient. Ce Russe est « notre principal suspect », confie-t-il.

Vinnik blanchisseur en chef, mais pour le compte de qui ?

En suivant l'exfiltration des cryptos volées sur Mt.Gox, l'enquêteur était en effet arrivé à « Mr Bitcoin », ainsi que le suspect sera surnommé dans la presse grecque.

La grosse partie des jetons volés (300 000 environ) ont été blanchis via BTC-e. Une piste en forme d'impasse en raison de l'opacité de la plateforme. Mais une autre partie des jetons est retournée vers Mt.Gox… Une erreur.

Ces comptes sur l'exchange japonais vont en effet être reliés à un certain « WME ». Or sur le forum BitcoinTalk, il y a quelqu'un avec le même pseudo qui signale à la fin octobre 2011 vouloir échanger des bitcoins contre n'importe quelle devise. Il a également partagé un peu plus tard une série de captures d'écran détaillant un litige contre CryptoXchange. Sans se rendre compte qu'il a ainsi fait fuiter par mégarde sa véritable identité, une erreur notamment repérée par Kim Nilsson à l'été 2016.

Mais il y en avait d'autres. Dans son livre « Tracers in the Dark », le journaliste Andy Greenberg raconte la jubilation de Tigran Gambaryan, le célèbre enquêteur de l'Internal Revenue Service (le fisc américain), qui va pouvoir relier grâce à une adresse IP commune l'affaire de Mt.Gox à WME.

Une « illumination », racontait l'enquêteur au journaliste américain. « Mais bien sûr ! Quelle meilleure façon de blanchir une fortune en bitcoins que de lancer sa propre plateforme d'échange ? »

Le rôle d'Alexander Vinnik, un expert des bourses d'échanges — en témoigne par exemple son passage à WebMoney, une solution russe de paiement électronique lancée en 1998 — s'est toutefois limité vraisemblablement au blanchiment du hack.

« Peut-être qu'il était un génie du piratage informatique, ironise Kim Nilsson. Mais mon instinct me dit plutôt qu'il avait des relations avec des groupes de hackers, qui même avant ce hack, auraient eu besoin d'un tel service de blanchiment. »

‍

Piégé par le compte Instagram de son épouse

Quoi qu'il en soit, en suivant le fil, les enquêteurs américains rassemblent une masse considérable d'éléments confondants contre leur suspect, qui affiche un train de vie aisé, de son appartement moscovite valant environ 3 millions de dollars US à ses vacances luxueuses en Grèce et à Dubaï.

Pour l'accusation, la plateforme BTC-e soi-disant basée en Bulgarie et rattachée à une société écran à Londres, Always Efficient LLP, est en réalité contrôlée par la Canton Business Corporation. Une entreprise basée aux Seychelles dont le principal bénéficiaire est Alexander Vinnik.

C'est également lui qui a la main sur les comptes BTC-e ayant vu arriver 300 000 bitcoins issus du vol, « Vamnedam », « Grmbit », « Petr » et « WME ». Une autre partie des fonds (191 000 bitcoins environ) a été lessivée contre des dollars américains sur l'exchange TradeHill par le même WME. Derrière, on retrouve encore Alexander Vinnik, qui avait envoyé une copie de son passeport à l'exchange.

Les enquêteurs relient en outre l'un des ordinateurs Apple achetés par le Russe à son adresse Gmail. En juin 2016, Google transmet des informations sur les comptes suspects. Leur cible les utilise habituellement derrière un proxy néerlandais pour masquer sa véritable adresse IP. Le 23 juillet 2017, Alexander Vinnik fait cependant une erreur.

Il accède à son compte wmewme@gmail.com à partir de la même adresse IP grecque repérée dans une connexion, un peu plus tôt dans la journée, au compte Instagram de son épouse. Le Russe sera arrêté deux jours plus tard, une interpellation synonyme de la fin de l'échangeur.

Condamné en France avant d’être extradé aux États-Unis

L'extradition d'Alexander Vinnik vers les États-Unis va toutefois passer par un détour par la France. Après avoir assuré aux juges qu'il n'était qu'un simple opérateur de la bourse ignorant l'identité de ses réels employeurs, il sera condamné dans l'Hexagone à cinq ans de prison pour le blanchiment des rançons extorquées par le rançongiciel Locky.

Puis, près d'un an après le début de sa détention aux États-Unis, en août 2022, l'identité de deux autres Russes mis en cause dans le piratage et le blanchiment du butin de Mt.Gox est dévoilée.

Une annonce interprétée alors comme un constat d'échec. Il est en effet peu probable que ces derniers s'éloignent désormais de la Russie, un pays qui n'extrade pas ses ressortissants. Les deux suspects s'appellent Aleksandr Verner et Alexey Bilyuchenko. Âgés de 29 et 43 ans à l'époque, ils sont également deux des chevilles ouvrières de BTC-e, dénonce la justice américaine en juin 2023.

Selon le journaliste Andrey Zakharov, auteur d'un livre (non traduit) sur le sujet, le premier est un programmeur surnommé « ne0n ». Le second est un spécialiste du squattage de nom de domaine. Deux hommes déjà en relation avant BTC-e, comme avec ce portail pour le jeu vidéo Starcraft II, le site Smallarena.com.

Dans un article pour la BBC, ce journaliste avait raconté avec gourmandise comment Bilyuchenko, un ancien responsable informatique d'une chaîne de magasins basée à Novossibirsk, en Sibérie de l'ouest, aurait échappé de peu au coup de filet en Grèce. Également en villégiature à l'époque en Crète, mais sous le radar de la justice américaine, celui qui est surnommé « l'admin rouge », en référence à la couleur de son pseudo sur BTC-e, aurait été prévenu par sa mère de l'arrestation d'Alexander Vinnik et aurait aussitôt pris le premier avion pour Moscou.

La procédure livre de nouveaux détails sur le circuit du blanchiment des 647 000 bitcoins volés à Mt.Gox.

Entre mars 2012 et avril 2013, sous couvert d'un faux contrat de publicité, il y a ainsi eu un transfert de 6,6 millions de dollars de la part d'un courtier new-yorkais en bitcoin, vraisemblablement la contrepartie d'une partie des 300 000 BTC partis vers BTC-e. Le nom de l'entreprise n'est pas précisé.

Un autre document judiciaire, un résumé des investigations financières du Department of Homeland Security, précise qu'entre avril et novembre 2013, 2,5 millions de dollars sont également passés, via un compte en Lettonie, de Memory Dealers — l'ancienne entreprise de Roger Ver, alias « Bitcoin Jesus » — et BitInstant — dirigée un temps par Charlie Shrem, l'ancien président de la Bitcoin Foundation — vers la Canton Business Corporation.

Là aussi en contrepartie de services de publicité internet dont les enquêteurs n'ont pas retrouvé de trace.

Dans ce même document, les enquêteurs américains signalent un total de 90 millions de dollars suspectés d'avoir été blanchis dans des banques de Nouvelle-Zélande. En 2020, la police locale s'était félicitée de cette saisie, la plus importante de son histoire.

Une partie de l'argent, sur lequel lorgnent les créanciers de Mt.Gox, serait arrivée via l'échangeur FX Open. Une plateforme de trading contrôlée par Aliaksandr Klimenka. Présenté comme l'un des chefs de BTC-e, cet homme accusé de blanchiment, sans que le hack Mt.Gox ne soit mentionné, a été arrêté en décembre 2023 en Lettonie puis extradé aux États-Unis en début d'année 2024.

La piste de l'argent volé à Mt.Gox s'arrête là. Il est probable que tous les fonds ont depuis longtemps été sortis.

Les services de renseignement russes impliqués dans BTC-e ?

« Ces gars n'ont pas gardé des jetons au cas où le bitcoin décollerait, ils voulaient juste récupérer l'argent le plus vite possible », estime Kim Nilsson. La bourse BTC-e a elle laissé un magot — Chainalysis avait signalé en novembre 2022 le déplacement de l'équivalent de 165 millions de dollars en bitcoin — qui fait saliver.

Le journaliste Andrey Zakharov avait raconté comment la tentative d'Alexey Bilyuchenko de créer un nouvel exchange, Wex, après la chute de BTC-e, avait tourné court.

Finalement condamné par la justice russe à 3 ans et demi de prison en septembre 2023 pour détournement de fonds, il assurait avoir été obligé de transférer les portefeuilles qui avaient échappé à la saisie américaine dans un soi-disant fonds du FSB, le service de renseignement intérieur russe.

Et ce sous la pression d'un certain Konstantin Malofeyev, un oligarque russe qui a contesté ces accusations, parlant d'une campagne visant à le discréditer. Un genre de connexion avec le renseignement toutefois déjà vu.

Le spécialiste des investigations sur la blockchain Elliptic avait ainsi signalé l'utilisation de la plateforme par les pirates de « Fancy Bear », un groupe que l'on rattache au GRU, le service de renseignement militaire de la Russie.

Accusé d'avoir piraté le comité national démocrate en juin 2016, en amont de l'élection présidentielle américaine, ces pirates auraient acheté pour 100 000 dollars de bitcoins sur BTC-e. « Justice sera enfin rendue », espérait il y a huit ans Mark Karpelès après l'arrestation d'Alexander Vinnik.

L'happy end paraît désormais très loin.

>> Lire aussi - Mixeurs de cryptos : rapport exclusif sur leur utilisation et leur contribution au blanchiment

‍