Le $243 Million Heist qui a changé l'enquête sur la crypto : comment un détective anonyme a résolu l'affaire

Lorsque les agences d’application de la loi peinent à suivre les traces sur la blockchain, une figure opère dans l’ombre—ZachXBT, dont le travail de détective infatigable a permis de récupérer près de $500 millions en cryptomonnaie volée. Sa dernière avancée concerne la traque de l’un des plus grands vols de cryptomonnaie jamais enregistrés, exposant deux suspects en quelques semaines et gelant $79 millions d’actifs.

L’alerte à l’aéroport qui a tout déclenché

Le 19 août, alors que ZachXBT s’apprêtait à embarquer pour un vol international, ses systèmes de surveillance se sont mis à clignoter avec des alertes urgentes. Une série de transferts Bitcoin exceptionnellement importants circulaient via une petite plateforme qu’il surveillait—des échanges observés non pas pour le trading de routine, mais comme points de contrôle potentiels contre le blanchiment d’argent. Le schéma était évident : 600 000 $, puis $1 million, puis $2 million. Chaque transaction dépassait largement le volume quotidien normal de la plateforme.

À la porte d’embarquement, à quelques minutes du décollage, ZachXBT a commencé à remonter la piste à rebours sur la blockchain. Avant la fermeture des portes, il avait identifié la source : un portefeuille Bitcoin massif inactif depuis 2012, maintenant liquidé en lots frénétiques. Les frais de transaction payés étaient absurdement élevés—un signal d’alarme qu’aucun détenteur légitime à long terme n’accepterait. Ce n’était pas une prise de bénéfices d’investissement ; cela ressemblait à quelqu’un qui liquidait désespérément des fonds volés.

Son analyse préliminaire suggérait qu’environ $243 million en Bitcoin avait été siphonné depuis une seule victime. Une fois en vol, reconnecté au WiFi à l’altitude de croisière, l’enquête réelle s’est accélérée. Au cours des heures suivantes, ZachXBT a tracé les fonds rebondissant sur des dizaines de plateformes et d’échanges. Les voleurs tentaient d’obscurcir la piste par des transferts rapides, mais chaque transaction laissait des traces sur le registre immuable.

Des traces de blockchain aux suspects du monde réel

En identifiant l’origine initiale des fonds provenant d’une plateforme défaillante, ZachXBT a contacté les administrateurs qui l’ont mis en relation avec la victime. Le Bitcoin volé s’était divisé en trois schémas de mouvement distincts, chacun pouvant pointer vers différents auteurs. Il a publié ses découvertes à plus de 650 000 abonnés sur les réseaux sociaux, utilisant essentiellement la foule pour obtenir des pistes.

La réponse est arrivée rapidement—un informateur a pris contact avec des renseignements prometteurs. Ce qui a suivi, c’est une semaine de sommeil minimal—(quatre à cinq heures par nuit)—et une communication constante avec les forces de l’ordre. La percée de ZachXBT est venue par un canal inattendu : une vidéo de 90 minutes en partage d’écran capturée lors d’une diffusion en direct d’un suspect à ses amis. Dans cette vidéo sans retenue, les trois hackers célébraient leur coup, une voix s’exclamant : “Tu sais combien ça représente ? $243 million ! C’est incroyable !”

La vidéo a involontairement révélé des noms. Un suspect—Malone Lam, opérant sous le pseudonyme “Greavys”—apparaissait en bonne place dans le milieu de la vie nocturne à Miami, exhibant une richesse nouvellement acquise. La surveillance des réseaux sociaux a révélé des signes de fortune soudaine : une montre ornée de diamants valant 500 000 $, une Lamborghini Revuelto, une Pagani Huayra ( évaluée à plus de $3 million), et des apparitions nocturnes dans des clubs où le personnel brandissait des panneaux avec des noms comme “WHO WANT A BIRK.” Il avait même distribué des sacs Birkin et Hermès d’une valeur de 30 000 à 50 000 dollars à des influenceurs.

Le second suspect, Jeandiel Serrano (“Box” en ligne), montrait des schémas similaires : location mensuelle de 40 000 $ près de Los Angeles, achat de véhicules de luxe pour $1 million, et une montre de 500 000 $ portée de façon décontractée comme accessoire de vacances.

L’arrestation et la récupération

Moins d’un mois après l’alerte à l’aéroport, les forces de l’ordre ont agi. Lam a été arrêté dans une propriété en bord de mer à Miami, coûtant 68 000 $ par mois, le 18 septembre. Serrano a été interpellé à l’aéroport de Los Angeles, revenant d’un voyage aux Maldives avec sa petite amie. Les documents judiciaires ont révélé que tous deux ont avoué plusieurs vols de cryptomonnaie. Lam a seul admis avoir acheté au moins 31 véhicules de luxe avec les produits de ces crimes.

Au moment où les charges de fraude par virement et de blanchiment d’argent ont été rendues publiques, $79 million avaient été gelés ou saisis. Cependant, les procureurs ont indiqué qu’il reste plus de $100 million non retrouvé—des fonds que ZachXBT continue de poursuivre via l’analyse de la blockchain et le suivi des actifs.

La montée du vigilante masqué

Cette affaire marque l’émergence de ZachXBT, passant d’analyste amateur de blockchain à l’enquêteur indépendant le plus prolifique du monde de la cryptomonnaie. Depuis 2021, ses investigations ont permis de récupérer directement environ $210 million et ont aidé indirectement à en récupérer un autre $225 million. Ses méthodes reposent presque entièrement sur l’analyse de la blockchain—puisque la plupart des registres publics sont transparents pour ceux qui savent les lire.

L’histoire de ZachXBT explique son obsession pour la justice financière. Vers 2017, il a perdu des milliers de dollars dans des scams de rug-pull où les créateurs de projets abandonnaient les tokens, détruisant la valeur pour les investisseurs. En 2018, un portefeuille infecté par un malware lui a coûté près de 15 000 $. Plutôt que d’accepter ces pertes, il s’est tourné vers la compréhension du fonctionnement de la blockchain et des flux de transactions.

Cette formation lui a révélé des schémas invisibles pour les investisseurs ordinaires. Il a commencé à documenter les influenceurs qui faisaient la promotion de tokens publiquement avant de décharger secrètement leurs positions—des schémas classiques de pump-and-dump. Quand des projets NFT ont levé des millions en prétendant offrir des avantages exclusifs tout en siphonnant simplement des fonds, les investigations de ZachXBT ont évité des pertes de plusieurs millions.

Au-delà des cas individuels : menaces systémiques

Son travail s’est étendu à un territoire où les forces de l’ordre ont du mal à intervenir. Il a identifié des groupes de hackers compromettant des comptes Twitter de figures crypto importantes, installant des liens de phishing pour vider des portefeuilles. Lorsqu’une victime publiait ses pertes, ZachXBT prenait l’initiative de le contacter et de tracer les fonds. En combinant l’analyse de la blockchain avec des sources dans des communautés underground de cryptomonnaie, il a construit des profils d’alias en ligne liés à des réseaux de vol.

Une avancée majeure est survenue lorsqu’un suspect de vol s’est moqué de ZachXBT sur Twitter tout en achetant une montre de luxe. ZachXBT a tracé le vendeur via Discord, extrait le vrai nom et l’adresse de livraison de l’acheteur, et a finalement aidé le FBI à saisir la montre et 200 000 $ en crypto provenant d’un suspect adolescent.

Ses investigations de 2023 ont été déterminantes. Il a tracé en quelques heures $9 million volés du projet Platypus, menant à des arrestations. Il a suivi $25 million siphonnés de Uranium Finance—lavés via l’achat de cartes Magic: The Gathering rares. Lorsque le collectif de ransomware “Scattered Spider” a extorqué Caesars Entertainment pour $15 million, ZachXBT a aidé à récupérer cette somme.

Plus remarquable encore, il a publié des enquêtes documentant 25 vols de cryptomonnaie par des hackers nord-coréens totalisant plus de $12 million, dont environ la moitié n’avait jamais été divulguée auparavant. Une enquête ultérieure a révélé un réseau d’environ 30 travailleurs en informatique nord-coréens infiltrant des entreprises technologiques et recevant une rémunération en cryptomonnaie—l’un d’eux étant à l’origine du vol de $200 million Munchables.

Le coût personnel et la direction future

ZachXBT maintient une stricte anonymat, communiquant via un logiciel modifiant la voix lors des appels et utilisant uniquement un avatar de platypus cartoon en ligne. Il refuse de divulguer son vrai nom, sa localisation ou son apparence pour éviter toute représaille criminelle. Les analystes du Secret Service américain qui ont travaillé avec lui décrivent ses résultats comme mécaniques—traitant 500 transactions complexes en 12 heures, ce que d’autres estimaient nécessiter des jours.

L’affaire $62 million a marqué sa première enquête rémunérée, mettant fin à des années de dépendance aux dons en cryptomonnaie—$243 $1,3 million accumulés depuis 2021(. Il envisage de créer sa propre société d’enquête, mais insiste sur le fait que la compensation financière n’est pas sa motivation principale.

“Voir les forces de l’ordre agir, les fonds saisis, les actifs volés rendus aux victimes—c’est ma mesure du succès,” a déclaré ZachXBT. Ses collaborateurs notent que sa motivation provient d’un trauma personnel—ayant lui-même subi plusieurs pertes, il refuse d’accepter que “les choses malheureuses arrivent simplement.” Au contraire, il a transformé ce sentiment d’impuissance en une poursuite systématique de la justice, une transaction blockchain à la fois.