Le braqueur de Silk Road trahi par son adresse IP

Le département de la Justice américain vient de révéler qu'un certain James Zhong avait reconnu avoir volé plus de 50 000 bitcoins à la célèbre place de marché Silk Road en 2012. Il avait caché son portefeuille dans une boîte de pop-corn rangée dans un placard de salle de bain.

La saisie des 51 676 bitcoins aurait eu lieu en novembre 2021, alors qu'ils valaient à l'époque plus de 3,36 milliards de dollars, contre « approximativement 620 000 dollars » en 2012, et 1,02 milliard au cours actuel. C'est la plus importante saisie de crypto-actifs de toute l'histoire de la justice américaine, et sa seconde plus grosse saisie financière : 

« Plus précisément, les forces de l'ordre ont localisé 50 491,06251844 bitcoins : a) dans un coffre-fort situé au sous-sol ; et b) sur un ordinateur monocarte qui était caché sous des couvertures dans une boîte de pop-corn rangée dans un placard de salle de bain.  »

En février dernier, la justice américaine avait en effet déjà annoncé l'arrestation d'un couple de New-Yorkais qui détenait les clefs du portefeuille où étaient stockés 3,5 milliards de dollars en bitcoins volés en 2016.

• Bitfinex : comment le fisc américain a remonté la piste des blanchisseurs de cryptos

Les forces de l'ordre ont en outre récupéré lors de la perquisition 661 900 dollars en espèces, 25 pièces Casascius (bitcoins physiques) d'une valeur approximative de 174 bitcoins, 11,116 bitcoins supplémentaires, ainsi que quatre lingots d'argent d'une once, trois lingots d'or d'une once, quatre lingots d'argent de 10 onces et une pièce d'or. 

Zhong a par ailleurs « volontairement cédé 1 004,14621836 bitcoins supplémentaires » aux autorités, et reconnu sa culpabilité le 4 novembre dernier. Il encourt une peine maximale de 20 ans de prison.

1,5 million de transactions, pour environ 9,9 millions de bitcoins

Trevor McAleenan, l'agent du fisc américain qui a mené l'enquête, explique dans sa déclaration sous serment (« affidavit »), avoir longuement analysé le fonctionnement de Silk Road. À l'instar des autres places de marché du « darkweb », Silk Road servait de tiers de confiance entre acheteurs et vendeurs, prélevant au passage une commission de 8 à 15 % de chaque transaction, en fonction de son montant.

• Silk Road : en appel, la justice américaine confirme la perpétuité pour son administrateur

Silk Road recourait également à un mixeur de crypto-monnaie censé empêcher le suivi des transactions individuelles par la blockchain Bitcoin, pour blanchir les bitcoins ayant permis la transaction. 

Comme l'expliquait son wiki, Silk Road faisait en effet transiter les paiements « par le biais d'une série complexe et semi-aléatoire de transactions factices rendant presque impossible de relier votre paiement » aux bitcoins émanant du site. Et ce, quand bien même les adresses et portefeuilles Bitcoin des acheteurs et vendeurs étaient tous deux connus et identifiés.

• Les voleurs de cryptos ont de plus en plus recours aux mixeurs (anonymiseurs)

Or, la saisie des serveurs de Silk Road en Islande par le FBI a permis à McAleenan d'accéder à sa base de données, comprenant des informations détaillées sur chaque transaction, « y compris la catégorie de produit vendu, le prix d'achat, à la fois en Bitcoin et en dollars américains, et la commission prise par Silk Road, également en Bitcoin et en dollars américains » :

« Entre le 2 février 2011 et le 2 octobre 2013, environ 1,5 million de transactions ont eu lieu sur Silk Road, impliquant environ 9,9 millions de bitcoins, ce qui a généré des commissions d'environ 640 000 bitcoins pour Silk Road. La grande majorité des transactions concernaient des stupéfiants illégaux. »

À l'époque, le site dénombrait 3 748 vendeurs enregistrés, et environ 115 391 acheteurs ayant effectué au moins une transaction. La base de données de Silk Road contenaient en effet les informations suivantes :

« registre comptable de toutes les activités, dépôts et retraits des utilisateurs ; informations de la blockchain sur les dépôts et les retraits, y compris quelles adresses de Silk Road appartiennent à quels utilisateurs ; informations sur les adresses Bitcoin ; informations sur les transactions Bitcoin ; litiges et résolutions entre vendeurs et acheteurs ; journal des erreurs ; codes cadeaux ; transferts internes ; messages privés entre utilisateurs de Silk Road ; informations sur l'expédition ; informations sur les comptes des utilisateurs, y compris les informations sur la création des comptes ; commentaires des utilisateurs ; historique des transactions, y compris les achats des utilisateurs ; favoris des utilisateurs ; articles à vendre des vendeurs ; et filtres de mots-clefs. »

Tourmenteur, ou Tor mentor

McAleenan explique s'être plus particulièrement intéressé, depuis 2019, au vol des 50 000 bitcoins effectué en septembre 2012, exploitant une vulnérabilité du système de traitement des paiements en bitcoins de Silk Road.

L'analyse de la base de données lui permit de découvrir qu'un utilisateur s'y était créé « environ 9 comptes ("2c0eed0345", "thetormentor", "suxor", "dubba", "gribs", "s1lky" et "imsh") ».

Après y avoir effectué des dépôts initiaux de 200 à 2 000 bitcoins par adresse, il avait enchainé une série de retraits « au cours de plus de 140 transactions effectuées en quelques jours », au point de transférer « au moins environ 50 000 bitcoins des adresses Bitcoin de Silk Road vers ses propres adresses, sans jamais fournir de biens ou de services en retour » et ce, en cinq jours seulement :

« À titre d'exemple, le 19 septembre 2012 ou aux alentours de cette date, l'individu 1, en utilisant le compte de fraude associé au nom d'utilisateur "thetormentor", a déposé 500 bitcoins dans l'une des adresses Bitcoin Silk Road de ce compte.  Moins de cinq secondes après avoir effectué le dépôt initial, "thetormentor" a exécuté cinq retraits de 500 bitcoins en succession rapide - c'est-à-dire dans la même seconde - ce qui a entraîné un gain net de 2 000 bitcoins.    

Dans les 24 minutes qui ont suivi, "thetormentor" a déposé 500 bitcoins supplémentaires sur l'adresse Bitcoin Silk Road du compte.  Dans les 19 minutes qui ont suivi ce dépôt, "thetormentor" a de nouveau effectué trois retraits de 500 bitcoins - à nouveau dans la même seconde - ce qui a entraîné un gain net de 1 000 bitcoins. De cette manière, "thetormentor" a réussi à obtenir 3 000 bitcoins au total de Silk Road en une seule journée. »

Il avait ensuite transféré ces bitcoins de Silk Road et, le 24 septembre 2012, les avait « regroupés en deux montants de grande valeur, l'un d'environ 40 000 bitcoins et l'autre d'environ 10 000 bitcoins ».

Entre 2013 et 2020, le voleur transféra les bitcoins vers de nouvelles adresses, sans pour autant toucher à son pactole. L'analyse de la blockchain Bitcoin et l'examen de l'ordinateur de James Zhong révèlent qu'il n'aurait récupéré qu' « environ 750 BTC du produit du crime de Silk Road par le biais d'un mélangeur de bitcoins décentralisé au cours de l'année civile précédant la perquisition du 9 novembre 2021 ».

Il transfère 1 000 BTC sur un portefeuille associé à son adresse IP

Or, en 2020, le portefeuille de 10 000 BTC émanant du braquage de Silk Road fut transféré à 10 adresses contenant chacune 1 000 BTC, dont l'une était associée à l'adresse IP de l'ordinateur de James Zhong.

Le compte associé avait en effet été créé en mars 2017 depuis une adresse IP attribuée à James Zhong, et il s'y était depuis lors périodiquement connecté depuis cette même adresse IP.

L'analyse de l'ordinateur de James Zhong a par ailleurs permis de confirmer qu'il contrôlait bien les autres adresses associées au braquage des 40 000 et 10 000 BTC de Silk Road, explique McAleenan :

« Au cours de la perquisition, j'ai également récupéré dans le salon l'ordinateur portable d'Individu-1 contenant des grands livres détaillés expliquant les transactions en crypto-monnaies des actifs configurés en 40 000 et 10 000 blocs - la même configuration que les BTC qu'Individu-1 avait illégalement obtenus de Silk Road en septembre 2012 - impliquant le produit du crime de Silk Road. »

De plus, l'avocat de James Zhong a depuis confié aux autorités les mots de passe de son client, qui ont permis au fisc de confirmer qu'il contrôlait les portefeuilles en question.

Le 26 octobre 2022, James Zhong a accepté de plaider coupable, et de se voir confisquer par le fisc tous les crypto-actifs, dollars et lingots saisis à son domicile. Il devrait être fixé sur sa sentence le 22 février 2023, à 15 heures. Le département de la Justice ne donne aucune précision concernant le profil du braqueur, à l'exception de son âge : 32 ans.