Les développeurs de Tornado Cash, Roman Semenov et Roman Storm, ont été inculpés de trois chefs d’accusation de complot dans un acte d’accusation dévoilé aujourd’hui. Storm a été arrêté et Semenov est toujours en liberté, selon une déclaration du district sud de New York.
Tornado Cash est ce qu’on appelle un « mélangeur », un service de confidentialité destiné à masquer la trace de propriété de la crypto-monnaie qui le traverse. Le mélangeur a « sciemment violé » les sanctions américaines et « blanchi plus d’un milliard de dollars de produits criminels », selon un communiqué du procureur américain Damian Williams. « Tout en prétendant publiquement offrir un service de confidentialité techniquement sophistiqué, Storm et Semenov savaient en fait qu’ils aidaient les pirates et les fraudeurs à dissimuler les fruits de leurs crimes. »
L’acte d’accusation allègue que Tornado Cash a été utilisé par le groupe nord-coréen Lazarus pour blanchir des centaines de millions de dollars. Des mélangeurs tels que Tornado Cash sont également utilisés pour blanchir des fonds provenant de ransomwares, ont déclaré des experts en sécurité.
« Il serait peu probable que nous utilisions un « mélangeur conforme » comme fonds.
Il n’y avait pas que les criminels qui utilisaient Tornado Cash ; la confidentialité est une réelle préoccupation pour la crypto-monnaie. Une fois qu’une identité est liée à un portefeuille, il est possible de retracer chaque transaction. Cela rend les outils de confidentialité populaires parmi ceux qui ne sont pas impliqués dans des actes répréhensibles. Mais Tornado Cash aurait également été utilisé par des pirates informatiques nord-coréens pour blanchir 615 millions de dollars de jetons volés sur le réseau Ronin.
Tornado Cash fonctionnait sans programmes de connaissance du client (KYC) ou de lutte contre le blanchiment d’argent (AML), comme l’exige la loi américaine, selon le document. Il ne s’est pas non plus enregistré auprès du FinCEN en tant qu’entreprise de transfert d’argent, indique l’acte d’accusation. Semenov et Storm ont également créé un document intitulé « Conseils pour rester anonyme », qui conseillait aux clients d’envisager d’utiliser Tor ou un VPN, de supprimer les données de leurs navigateurs Web et de laisser leur argent dans Tornado pendant de plus longues périodes afin de mieux anonymiser leurs transactions. Ils ont également conseillé aux utilisateurs d’utiliser différentes adresses IP pour le dépôt et le retrait.
Storm a suggéré de créer une version de Tornado avec KYC / AML activé, mais les investisseurs en capital-risque anonymes de Tornado ont été dédaigneux, en disant: « Je ne sais tout simplement pas si quelqu’un voudra réellement cela. » L’investisseur a ajouté : « Il serait peu probable que nous utilisions un « mélangeur conforme » en tant que fonds.
Outre le piratage de Ronin, deux autres incidents ont été référencés, un en 2020 et un en 2021. Cela semble correspondre au piratage de KuCoin en 2020 et au piratage de BitMart en 2021, selon CoinDesk.
« Bien qu’ils savaient très bien que le service Tornado Cash était utilisé pour blanchir des produits criminels et que les pools de Tornado Cash contenaient de grandes quantités d’ETH représentant des produits criminels mélangés à d’autres dépôts de clients à des fins de dissimulation, les fondateurs de Tornado Cash ont pris aucune mesure pour mettre en œuvre des programmes AML ou KYC efficaces », indique l’acte d’accusation. Au lieu de cela, les développeurs ont pris des mesures pour accroître l’anonymat afin de pouvoir profiter du volume de transactions qu’ils traitaient, selon l’acte d’accusation.