Rédigé par : Liam Akiba Wright
Traduction : Saoirse, Foresight News
Selon le San Francisco Chronicle, vers 6h45 du matin le 22 novembre, un suspect se faisant passer pour un livreur est entré dans une résidence du « Mission District de Dolores », près de la 18e rue et de Dolores Street, a maîtrisé les occupants, puis a dérobé un téléphone portable, un ordinateur portable et environ 11 millions de dollars de cryptomonnaies.
À la date de dimanche, la police de San Francisco n’avait annoncé aucune arrestation ni fourni de détails spécifiques sur les actifs volés, et n’a pas encore révélé sur quel réseau blockchain ou de quel type de jeton il s’agissait.
Les attaques physiques contre les détenteurs de cryptomonnaies ne sont pas des cas isolés, une tendance préoccupante commence à émerger.
Parmi les cas similaires que nous avons précédemment rapportés : un cambriolage au Royaume-Uni impliquant 4,3 millions de dollars ; un enlèvement et des actes de torture à Soho, New York, pour forcer la victime à donner l’accès à son portefeuille Bitcoin ; la hausse des enlèvements liés aux cryptomonnaies en France et la réponse gouvernementale ; les mesures extrêmes de protection prises par des détenteurs connus (comme la « Bitcoin Family ») qui dispersent leurs phrases de récupération sur plusieurs continents ; la tendance des investisseurs fortunés à engager des agents de sécurité ; ainsi que des analyses sur la tendance des « attaques à la clé à molette » (coercition physique pour obtenir des cryptomonnaies) et les avantages et inconvénients de l’auto-conservation des cryptomonnaies.
Après le vol, le suivi on-chain commence immédiatement
Même si le vol commence à la porte d’une maison, les fonds volés circulent souvent sur les registres publics de la blockchain, ce qui rend le suivi possible — créant ainsi une « course » : d’un côté, le déplacement des canaux de blanchiment, de l’autre, les outils de gel et de traçage qui se sont perfectionnés en 2025. USDT sur TRON reste un facteur central dans cette « course ».
Cette année, grâce à la coopération entre les émetteurs de jetons, les réseaux blockchain et les sociétés d’analyse de données, la capacité de l’industrie à geler les actifs illicites s’est améliorée. Selon le rapport du « T3 Financial Crime Department », depuis la fin 2024, des centaines de millions de dollars de jetons issus de transactions illégales ont été gelés.
Si les fonds volés incluent des stablecoins, la possibilité d’empêcher leur circulation à court terme augmente considérablement — car les grands émetteurs de stablecoins collaborent avec les forces de l’ordre et les partenaires d’analyse de données pour inscrire les adresses de portefeuilles concernées sur liste noire dès notification.
Des données plus larges confirment également que « les stablecoins sont l’outil privilégié pour le mouvement de fonds illicites ». Le rapport sur la criminalité de Chainalysis pour 2025 montre qu’en 2024, les stablecoins représentaient environ 63 % du volume total des transactions illégales, marquant un changement significatif par rapport aux années précédentes où BTC et ETH dominaient les canaux de blanchiment.
Ce changement est crucial pour la récupération des fonds : les émetteurs centralisés de stablecoins peuvent bloquer les transactions au niveau du jeton, et lorsque les fonds transitent par des étapes nécessitant une procédure KYC, les plateformes centralisées (comme les exchanges) deviennent des « points d’interception » supplémentaires.
Parallèlement, Europol avertit que les groupes criminels organisés utilisent l’intelligence artificielle pour améliorer leurs méthodes — ce qui réduit non seulement le cycle du blanchiment, mais permet aussi l’automatisation de la fragmentation des fonds à travers différents réseaux blockchain et plateformes de services. Si l’adresse cible des fonds volés peut être identifiée, il est crucial d’alerter rapidement les émetteurs de jetons et les exchanges.
À l’échelle macro, la situation des victimes continue de se détériorer
Les registres de l’Internet Crime Complaint Center (IC3) du FBI montrent qu’en 2024, les pertes dues à la cybercriminalité et aux escroqueries ont atteint 16,6 milliards de dollars, avec une augmentation de 66 % des escroqueries d’investissement en cryptomonnaies par rapport à l’année précédente. Entre 2024 et 2025, les incidents de coercition physique contre les détenteurs de cryptomonnaies (parfois appelés « attaques à la clé à molette ») ont attiré davantage l’attention — ces cas combinent souvent cambriolage, détournement de carte SIM (prise de contrôle frauduleuse d’une carte SIM) et ingénierie sociale, TRM Labs (entreprise de sécurité blockchain) ayant déjà documenté cette tendance de vols sous contrainte.
Bien que l’affaire de San Francisco ne concerne qu’une seule résidence, le mode opératoire est représentatif : intrusion dans les appareils → forcer la victime à transférer ou exporter la clé privée → dissémination rapide des fonds on-chain → test des canaux de retrait.
La nouvelle réglementation en Californie ajoute une autre variable à cette affaire. La « Digital Financial Assets Law » de l’État entrera en vigueur en juillet 2025, conférant au « Department of Financial Protection and Innovation » le pouvoir de délivrer des licences et d’appliquer la loi sur certaines activités des exchanges et des dépositaires de cryptomonnaies.
Si un « canal de sortie » lié à la Californie (c’est-à-dire un canal permettant de convertir des cryptomonnaies en monnaie fiduciaire), un courtier OTC ou un fournisseur de stockage entre en contact avec ces fonds volés, le cadre réglementaire de la Digital Financial Assets Law peut soutenir la coopération avec les forces de l’ordre. Bien que cela ne permette pas de récupérer directement les actifs auto-conservés, cela affectera les contreparties sur lesquelles les voleurs comptent généralement pour convertir leurs cryptomonnaies en monnaie fiduciaire.
Les évolutions réglementaires dans d’autres régions influenceront également la suite de l’affaire
Selon une analyse juridique du cabinet Venable, le Département du Trésor américain a retiré le mixeur Tornado Cash de la « Specially Designated Nationals List » (liste des personnes ou entités sanctionnées par les États-Unis) le 21 mars 2025, modifiant ainsi les exigences de conformité lors de l’interaction avec le code source de ce mixeur.
Cependant, ce changement ne légalise pas le blanchiment d’argent ni ne réduit l’analysabilité des transactions on-chain.
Mais il affaiblit effectivement le « pouvoir dissuasif » qui avait poussé certains acteurs à se tourner vers d’autres mixeurs ou bridges inter-chaînes. Si les fonds volés utilisent un mixeur traditionnel avant le retrait, ou sont transférés vers des stablecoins via un bridge inter-chaînes, le traçage des fonds et le déclenchement du processus KYC resteront des étapes clés de l’enquête.
Comme l’adresse du portefeuille impliqué n’a pas encore été rendue publique, les plateformes d’échange peuvent planifier leur réponse pour les 14 à 90 prochains jours autour de trois axes principaux. Le tableau ci-dessous, basé sur la structure du marché et le contexte réglementaire de 2025, présente le « modèle de transfert de fonds de premier niveau », les indicateurs à surveiller, ainsi que les probabilités de gel et de récupération des fonds :
Le calendrier des événements peut être déduit à partir du modèle ci-dessus.
Dans les 24 à 72 premières heures, il faut se concentrer sur la consolidation des fonds et les premiers transferts. Si l’adresse impliquée est révélée et que les fonds incluent des stablecoins, il faut immédiatement alerter l’émetteur pour lancer la vérification de la liste noire ; si les fonds sont en Bitcoin ou Ethereum, il convient de surveiller les mouvements vers les mixeurs, les bridges inter-chaînes, et de vérifier si un passage vers USDT a lieu avant le retrait en monnaie fiduciaire.
Selon la procédure de collaboration de l’IC3, si les fonds entrent dans un environnement nécessitant une procédure KYC, une « lettre de préservation des actifs » est généralement envoyée dans les 7 à 14 jours et les comptes concernés sur l’exchange sont gelés.
Dans les 30 à 90 jours, si des chemins de transaction via des privacy coins apparaissent, l’enquête se concentrera sur les indices hors chaîne, y compris l’analyse des appareils, les enregistrements de communication et les traces du stratagème du « faux livreur » — le travail de traçage des fonds par TRM Labs et d’autres institutions progressera également à ce stade.
La conception des portefeuilles continue d’évoluer pour contrer les risques de coercition physique
En 2025, l’utilisation des « portefeuilles MPC » (calcul multipartite) et des « portefeuilles à abstraction de compte » s’étend, avec de nouvelles fonctionnalités telles que le contrôle stratégique, la récupération sans phrase de récupération, les limites de transfert quotidiennes et les processus d’approbation multi-facteurs — ces conceptions réduisent le risque d’« exposition unique » de la clé privée lors d’incidents de coercition physique (c’est-à-dire que la clé privée n’est pas compromise via un seul appareil ou point de défaillance).
Les « time locks » au niveau du smart contract (mécanismes retardant l’exécution des transactions) et les « plafonds de dépenses » peuvent ralentir le transfert de fonds de grande valeur et, en cas de vol de compte, offrir une fenêtre d’alerte pour notifier l’émetteur ou l’exchange.
Ces mesures de protection ne remplacent pas les règles de sécurité de base concernant l’utilisation des appareils et la sécurité domestique, mais elles peuvent réduire la probabilité de vol réussi si un voleur accède à un téléphone ou un ordinateur portable.
Le rapport du San Francisco Chronicle a déjà fourni les faits essentiels de l’affaire, mais le site officiel de la police de San Francisco n’a pas encore publié d’annonce spécifique à ce sujet.
La suite de l’affaire dépendra de deux facteurs principaux : la publication ou non de l’adresse cible impliquée, et la réception ou non par les émetteurs de stablecoins ou les exchanges de demandes d’examen et d’intervention.
