Risque de blanchiment via les ponts inter-chaînes : 540 millions de dollars blanchis via RenBridge
Un seul pont inter-chaînes, RenBridge, a facilité le blanchiment d'au moins 540 millions de dollars de produits criminels depuis 2020, selon une analyse publiée par la société de renseignement blockchain Elliptic. Ces révélations mettent en lumière une lacune structurelle dans les cadres AML existants et ont des implications directes pour les équipes de conformité, les auditeurs et les directeurs financiers de toute entreprise exposée aux actifs numériques.
Ce que font réellement les ponts inter-chaînes
Les mécanismes derrière le saut de chaîne
Les ponts inter-chaînes permettent aux cryptoactifs de se déplacer entre différents réseaux blockchain sans passer par un intermédiaire centralisé tel qu'une plateforme d'échange réglementée. Des milliards de dollars d'actifs ont transité entre Bitcoin, Ethereum et d'autres réseaux via des services de pont. Pour les utilisateurs légitimes, les ponts débloquent liquidité et interopérabilité au sein de l'écosystème DeFi.
Pour les acteurs malveillants, les mêmes mécanismes servent un autre objectif. Déplacer des fonds entre chaînes, une technique communément appelée "saut de chaîne", brise la chaîne de traçabilité sur laquelle s'appuient les enquêteurs on-chain. Jusqu'à récemment, le saut de chaîne nécessitait des plateformes d'échange favorisant l'anonymat. Alors que ces plateformes ont été soumises à une réglementation AML plus lourde et à des exigences d'identification des clients, les ponts décentralisés ont comblé le vide.
Pourquoi la décentralisation complique l'application de la loi
Contrairement à une plateforme d'échange centralisée, un pont décentralisé n'a pas d'entité juridique unique à réglementer. Les transactions sont validées par un réseau distribué de participants pseudonymes, ce qui rend difficile pour les forces de l'ordre d'émettre une citation à comparaître ou d'obtenir des enregistrements. Le Groupe d'action financière (GAFI) a signalé le saut de chaîne dans ses directives sur les risques liés aux actifs virtuels, mais l'architecture réglementaire pour y remédier directement n'existe pas encore dans la plupart des juridictions.
Ce que montrent les données de RenBridge
Échelle des flux criminels
L'analyse d'Elliptic identifie RenBridge comme le principal véhicule inter-chaînes pour blanchir les produits de vols, fraudes et ransomwares. Le chiffre phare d'au moins 540 millions de dollars depuis 2020 se répartit en plusieurs catégories criminelles distinctes.
Les cryptoactifs volés sur des plateformes d'échange et des protocoles DeFi représentent au moins 267,2 millions de dollars de ce total. Ce chiffre inclut 33,8 millions de dollars volés à la plateforme d'échange japonaise Liquid lors d'une attaque en 2021 que les enquêteurs ont liée à des acteurs étatiques nord-coréens. Plus récemment, quelques heures après l'exploitation de 156 millions de dollars du pont Nomad, des fonds étaient déjà en mouvement via RenBridge. Au moins 2,4 millions de dollars de ce seul incident avaient déjà transité par le pont au moment du rapport d'Elliptic.
Les groupes de ransomwares comme utilisateurs actifs
Plus de 153 millions de dollars de paiements de ransomwares ont été blanchis via RenBridge, ce qui en fait un outil documenté pour les groupes de cybercriminalité organisée. Deux groupes sont spécifiquement quantifiés dans la recherche. Le groupe Conti, qui a mené une attaque par ransomware contre le gouvernement costaricien suffisamment grave pour déclencher une déclaration d'urgence nationale, a blanchi plus de 53 millions de dollars via le pont. Le groupe Ryuk, responsable d'attaques contre des centaines d'hôpitaux et d'écoles sur quatre ans, a blanchi plus de 92 millions de dollars, avec une activité se poursuivant au moment de la publication.
Pourquoi cela importe pour les équipes de conformité
La traçabilité inter-chaînes est désormais une attente de base
Pour les entreprises utilisant un logiciel de comptabilité crypto ou un logiciel de comptabilité d'actifs numériques pour comptabiliser et rapprocher les transactions on-chain, les résultats de RenBridge illustrent une limitation critique : le filtrage au niveau du portefeuille à un moment donné ne capture pas la provenance inter-chaînes. Un portefeuille qui semble propre sur un réseau peut détenir des actifs provenant d'activités criminelles sur un autre, acheminés via un pont qui n'a laissé aucune trace centralisée.
Cela importe pour les auditeurs effectuant des tests de substance sur les avoirs en crypto d'un client, pour les directeurs financiers approuvant des positions de trésorerie dans des protocoles DeFi, et pour les responsables de la conformité fixant les paramètres de notation des risques. Les vérifications de qualité des données d'analyse blockchain que votre entreprise devrait effectuer doivent explicitement prendre en compte la capacité de traçabilité inter-chaînes, et non pas seulement le filtrage d'adresse sur une seule chaîne.
Exposition réglementaire dans le cadre des règles existantes
Même en l'absence d'un régime réglementaire spécifique aux ponts, les entreprises sont exposées en vertu des règles existantes. Aux États-Unis, la Bank Secrecy Act et les obligations de sanctions de l'OFAC s'appliquent indépendamment de la manière dont les fonds circulent entre les chaînes. Une entreprise qui reçoit, détient ou comptabilise des actifs traçables jusqu'à un acteur sanctionné, que ce soit via un pont ou toute autre voie, porte la même responsabilité. Les obligations d'adresses de cryptomonnaies de la liste SDN de l'OFAC pour les équipes de conformité n'ont pas d'exception inter-chaînes.
Dans l'UE, le règlement sur les marchés de crypto-actifs (MiCA) et le futur paquet AML imposent des obligations de diligence raisonnable aux prestataires de services sur crypto-actifs (CASPs). Bien que les ponts eux-mêmes puissent tomber en dehors des définitions actuelles de CASP, tout CASP qui reçoit des actifs ayant transité par un pont est clairement dans le champ d'application. Le cas du marché illicite du groupe Huione a démontré comment des structures de transactions en couches sur plusieurs réseaux peuvent être utilisées pour masquer l'origine criminelle, et les régulateurs des deux côtés de l'Atlantique y prêtent attention.
Pour un aperçu plus large de la manière dont les flux illicites de stablecoins et inter-réseaux créent une pression en matière de conformité, consultez notre couverture du marché illicite du groupe Huione et le risque AML du stablecoin USDH.
Ce que les entreprises devraient examiner maintenant
Trois mesures pratiques découlent directement de cette analyse. Premièrement, confirmez que tout fournisseur d'analyse blockchain sur lequel votre entreprise s'appuie dispose d'une capacité de traçabilité inter-chaînes, et non pas seulement d'une couverture sur un seul registre. Deuxièmement, révisez les critères d'intégration des contreparties pour inclure des questions sur l'utilisation des ponts DeFi, en particulier pour les clients institutionnels ayant des stratégies de trésorerie on-chain actives. Troisièmement, mettez à jour vos typologies de surveillance des transactions pour signaler les gros transferts entrants provenant d'adresses de contrats de pont connues, même lorsque le portefeuille destinataire ne présente aucun signal de risque antérieur.
Les entreprises utilisant un logiciel de tenue de livres crypto intégré à des flux de données blockchain devraient vérifier que l'attribution inter-chaînes fait partie du pipeline de données, car une lacune à cet endroit peut produire des livres apparemment propres qui ne reflètent pas le risque réel de provenance.
La trajectoire réglementaire plus large
Les directives du GAFI ont identifié le saut de chaîne comme un vecteur de risque, mais les exigences réglementaires formelles ciblant spécifiquement les ponts restent limitées. Ce qui est clair, c'est que la direction va vers un contrôle accru de la couche DeFi, et non moindre. Les régulateurs aux États-Unis, dans l'UE et au Royaume-Uni ont chacun manifesté leur intérêt pour étendre les obligations AML plus loin dans l'infrastructure décentralisée.
Pour les fonctions de conformité, l'implication pratique est simple : n'attendez pas que des règles spécifiques aux ponts soient établies pour étendre la traçabilité et la diligence raisonnable aux flux inter-chaînes. Les obligations sous-jacentes, que ce soit en vertu de l'OFAC, de la BSA, de MiCA ou des transpositions nationales AML, s'appliquent déjà aux actifs, quel que soit le chemin qu'ils ont emprunté.
Source : Elliptic
FAQ
Un pont inter-chaînes est un protocole qui déplace des cryptoactifs entre différents réseaux blockchain sans les faire passer par une plateforme d'échange centralisée. Comme il n'y a pas d'opérateur central à contraindre, à qui demander des registres ou à réglementer directement, les ponts peuvent être utilisés pour masquer l'origine des fonds, une technique que les régulateurs appellent le saut de chaîne. La rupture de la piste d'audit on-chain qui en résulte crée une lacune de traçabilité que les outils de filtrage standard sur une seule chaîne peuvent manquer complètement.
Potentiellement, oui. Les obligations existantes dans le cadre de textes tels que le Bank Secrecy Act aux États-Unis, l'AMLD6 dans l'UE et les régimes nationaux équivalents n'exemptent pas les actifs parce qu'ils ont été transférés via un pont. Si les fonds reçus ou détenus par votre entreprise sont traçables jusqu'à des parties sanctionnées ou des activités criminelles, le risque de conformité est le même, quelle que soit la manière dont ces fonds ont circulé entre les chaînes.
La question la plus critique est de savoir si le fournisseur peut tracer des fonds sur plusieurs blockchains en une seule requête, et non seulement sur un seul registre. Les fournisseurs dont la couverture est limitée à une seule chaîne à la fois produiront des scores de risque incomplets pour tout actif passé par un pont. Demandez spécifiquement quelle est la méthodologie d'attribution inter-chaînes et à quelle fréquence les adresses des contrats de pont sont mises à jour dans l'ensemble de données sous-jacent.
Un logiciel de comptabilité d'actifs numériques qui extrait des données on-chain à des fins de rapprochement peut enregistrer correctement une transaction comme réglée sans signaler sa provenance inter-chaînes. Les équipes de conformité devraient traiter les registres comptables et le filtrage AML comme des couches séparées, en veillant à ce que les transferts entrants provenant d'adresses de contrats de pont connus fassent l'objet d'un examen supplémentaire avant d'être considérés comme propres à des fins de comptabilisation.
À la date de cet article, aucune juridiction n'a adopté de réglementation ciblant les ponts inter-chaînes décentralisés en tant que catégorie réglementée définie. Cependant, les directives du GAFI identifient le saut de chaîne comme un vecteur de risque lié aux actifs virtuels, et les obligations qui s'attachent aux actifs eux-mêmes, y compris les sanctions de l'OFAC et les exigences BSA/AML, s'appliquent indépendamment de la manière dont ces actifs ont circulé entre les chaînes. L'attention réglementaire portée à cette lacune augmente aux États-Unis, dans l'UE et au Royaume-Uni.
