Se faire passer pour un livreur afin de voler 4,3 millions USD de crypto directement au domicile

Scénario d’attaque simple mais efficace : se faire passer pour un livreur, frapper à la porte, entrer par la force avec une arme à feu et obliger le propriétaire à transférer sa clé privée.

En juin 2024, trois hommes ont exécuté exactement ce scénario dans un appartement au Royaume-Uni et se sont emparés de plus de 4,3 millions de dollars en crypto-monnaies.

Cinq mois plus tard, la Couronne de Sheffield a condamné Faris Ali et ses deux complices, après que la police métropolitaine a récupéré presque la totalité des biens volés.

L’affaire, documentée par l’enquêteur blockchain ZachXBT, illustre de manière frappante une question que l’industrie crypto évite toujours : quel niveau de sécurité opérationnelle (operational security) est nécessaire lorsque la valeur des actifs réside sur un navigateur et que l’adresse du domicile est une information publique ?

Comment le braquage s’est-il déroulé ?

Le moment de l’attaque s’est situé dans l’intervalle entre la fuite de données et la prise de conscience du risque par la victime.

Des extraits de conversations récupérées par ZachXBT montrent les suspects discutant de la stratégie quelques heures avant l’attaque, partageant des photos de l’immeuble de la victime, confirmant leur position devant la porte et s’accordant sur l’histoire à raconter. Une photo montre les trois hommes en uniforme de livreur. Quelques minutes plus tard, ils frappent à la porte — la victime, attendant un colis, ouvre.

S’ensuit un transfert forcé vers deux adresses Ethereum, réalisé sous la menace d’une arme. La plupart des coins volés restent dans ces portefeuilles jusqu’à l’intervention des autorités.

ZachXBT a remonté la trace via l’analyse on-chain et des discussions Telegram fuitées. Les conversations révélaient le plan criminel et le casier judiciaire : quelques semaines avant le vol, Faris Ali avait publié sur Telegram une photo de sa caution, révélant sa véritable identité à ses amis.

Après l’affaire, une personne anonyme a enregistré le domaine ENS farisali.eth et envoyé un message on-chain, publiant l’accusation sur le registre Ethereum. ZachXBT a partagé sa découverte avec la victime, qui l’a transmise aux autorités. Le 10/10/2024, ZachXBT a publié l’enquête détaillée, et le 18/11, la cour de Sheffield a rendu son verdict.

Une tendance plus large

ZachXBT constate que cette affaire s’inscrit dans une tendance croissante d’intrusions à domicile visant les détenteurs de crypto en Europe de l’Ouest, avec une fréquence supérieure à celle d’autres régions.

Les méthodes d’attaque varient : SIM swap révélant la phrase de récupération, phishing dévoilant le solde des portefeuilles, ingénierie sociale pour localiser les actifs, mais le point commun est que lorsque l’attaquant sait que la victime possède une valeur significative et connaît son adresse, il passe à la contrainte physique.

Pourquoi la technique du livreur est-elle redoutable ?

Se déguiser en livreur exploite la confiance dans le système logistique. Ouvrir la porte à un livreur est un geste banal, non perçu comme une faille de sécurité.

Les assaillants savent que le plus difficile lors d’une intrusion à domicile est d’entrer sans éveiller les soupçons. L’uniforme et le colis offrent une raison crédible d’attendre devant la porte. Une fois la porte ouverte, l’effet de surprise joue en leur faveur.

Cette méthode est difficile à généraliser car elle exige une présence physique, laisse des traces médico-légales et échoue si la victime refuse d’ouvrir. Mais elle contourne toutes les sécurités numériques : multi-signature, hardware wallet ou cold storage deviennent inutiles si l’on est forcé de signer une transaction sur-le-champ. Le maillon faible est l’humain qui détient la clé, vivant à une adresse identifiable via des fuites de données ou des registres publics.

Leçons de protection et coût de l’opsec

Ce cas pose une exigence pour les détenteurs de gros actifs : reconsidérer leur gestion et la divulgation de leurs avoirs.

La leçon immédiate est la prévention : séparer les actifs, supprimer ses informations personnelles des bases de données publiques, éviter de partager le solde des portefeuilles sur les réseaux sociaux, considérer toute visite inhabituelle comme une menace.

Mais ces mesures “ont un coût” en termes de praticité, de transparence, et de capacité à participer à la communauté crypto sans devenir une cible.

La question de fond concerne le marché de l’assurance. Les fournisseurs de conservation (custody) traditionnels disposent d’assurances et de garanties physiques, tandis que l’auto-conservation (self-custody) n’en offre pas, ce qui constitue l’un de ses rares désavantages. Si l’intrusion domiciliaire devient une menace prévisible, la demande pour des services de conservation assurés ou de protection personnelle augmentera. Les deux sont coûteux et réduisent le contrôle inhérent à la self-custody.

La fuite de données est le risque fondamental : plateformes centralisées, outils d’analyse blockchain, déclarations fiscales, services Web3 nécessitant un KYC stockent tous des informations reliant l’identité au portefeuille. Si ces bases de données fuitent, elles deviennent une “liste de courses” pour les criminels, qui peuvent croiser le solde des portefeuilles avec les adresses physiques.

La recommandation de ZachXBT de “surveiller ses informations personnelles en cas de fuite” est pertinente, mais suppose que la victime dispose d’outils et de la vigilance pour surveiller les fuites en temps réel — ce qui est rarement le cas.

La capacité d’action reste limitée : ZachXBT agit à titre personnel et bénévole. Les forces de l’ordre manquent souvent de compétences en forensic on-chain pour traquer les crypto volées sans soutien externe. La police métropolitaine a réussi grâce à la transmission de l’enquête complète.

Conséquences pour la self-custody

Question plus large : la self-custody reste-t-elle le choix par défaut pour les gros détenteurs d’actifs ?

Le secteur crypto soutient depuis dix ans que l’individu doit détenir sa clé privée et que la souveraineté sur ses actifs vaut le coût opérationnel. Cet argument tient lorsque la menace est l’effondrement d’une plateforme ou la saisie par l’État, mais s’affaiblit face à un livreur armé muni d’une liste d’adresses issues d’une fuite de données.

Si les gros détenteurs estiment que la self-custody présente un risque physique inacceptable, ils migreront vers des solutions institutionnelles assurées, sacrifiant la décentralisation pour la sécurité. S’ils conservent la self-custody mais investissent massivement dans la sécurité et la confidentialité, la crypto restera une culture souterraine pour les riches et les méfiants.

Le jugement de la cour de Sheffield clôt un chapitre : les agresseurs sont arrêtés, la victime a récupéré ses fonds, ZachXBT dispose d’une nouvelle étude de cas. Mais la faille systémique persiste : tant que des actifs importants peuvent être extorqués en moins d’une heure et que les données fuitées relient portefeuilles et adresses physiques, aucun chiffrement ne protège l’humain qui détient la clé.

Thạch Sanh