Février 2024. Douche froide pour la start-up française Kaiko, spécialisée dans l’analyse de données sur les marchés de la blockchain. L’entreprise fondée par Ambre Soubiran et Pascal Gauthier, le patron de Ledger, découvre la disparition depuis l’un de ses portefeuilles crypto de 45 000 USDC, un actif censé répliquer le cours du dollar américain.
Plus d’un an plus tard, ce jeudi 10 avril, deux anciens salariés de l’entreprise crypto ont dû s’expliquer au sujet de cette disparition devant la 13e chambre correctionnelle du tribunal judiciaire de Paris. Ils étaient accusés d’atteinte à un système de traitement automatisé de données, de blanchiment et de vol.
Après des investigations sur les transactions cryptos, ces deux hommes se sont en effet retrouvés dans le viseur des policiers de la brigade de lutte contre la cybercriminalité, saisis après la plainte de Kaiko. Au départ, l’enquête avait toutefois patiné. La moitié des fonds avait été changée en une fraction de bitcoin sur un portefeuille. Le solde, converti en ETH après un swap, une conversion de crypto-actif, avait ensuite été séparé en deux parts équivalentes.
Identifiés par le paiement des frais
La première avait finalement été changée en Solana, tandis que la seconde avait été “stakée”, c’est-à-dire placée, sous forme d’ETH sur la plateforme Kiln. “Tout a été fait pour complexifier les choses”, résume à l’audience le spécialiste crypto Guillaume Lamboy. Mais, ajoute cet ancien policier désormais employé par l’entreprise de traçage des cryptomonnaies Chainalysis, “une erreur stratégique” a été faite.
En effet, avant le premier transfert des 45 000 USDC, une première transaction équivalente à une dizaine d’euros a été identifiée vers le portefeuille destinataire. Il s’agissait en réalité du paiement des frais permettant le transfert des fonds. Une seconde transaction depuis le même compte avait ensuite servi à payer les frais pour faire partir les 45 000 USDC du portefeuille de rebond.
Ce compte ayant permis le paiement des frais a été rapidement identifié. Surprise, alors que la dirigeante de l’entreprise s’attend à avoir été victime d’un piratage commis par un inconnu, il s’agit en réalité de celui de Michael I., un développeur de l’entreprise. Interrogé, ce dernier va expliquer à la police avoir payé ces frais à la demande de Nicolas B., un ancien directeur de la firme parti quelques semaines auparavant.
Un “Air drop”?
A l’audience, ce dernier a plaidé l’erreur de jugement. Après avoir installé sur son téléphone l’application de gestion de portefeuilles crypto MetaMask, il assure avoir découvert le portefeuille contenant les 45 000 USDC. A tort ou à raison, l’adresse du portefeuille crypto était déjà enregistrée dans son téléphone. Il pensait qu’il s’agissait d’une simple adresse technique, pas destinée à recevoir des fonds, précise le prévenu au tribunal.
Un magot qu’il prend alors, dit-il, pour un “Air drop” de la fondation API3, cette façon dans la crypto de récompenser des contributeurs à un projet. Une générosité inattendue qui fait tiquer le tribunal. “Pourquoi auriez-vous bénéficié de cet Air drop?”, questionne le président du tribunal, Guillaume Daieff. “C’est la particularité de cet écosystème”, répond Nicolas B., signalant le cas d’un collègue qui aurait ainsi hérité d’un véritable magot.
“Cela n’a pas de sens de faire un Air drop dans un autre jeton”, ici l’USDT, s’étonne Guillaume Lamboy. Il s’agit en effet d’habitude de pousser la crypto incarnant le projet. Autre bizarrerie dans les explications du prévenu, s’il a demandé à son ami Michael de l’aider, c’était pour éviter de payer des frais supplémentaires en achetant cette crypto avec sa carte bancaire depuis son compte exchange.
Amende requise
Au doigt mouillé, cela lui aurait coûté environ “70 centimes d’euros”, s’amuse l’avocat Romain Chilly. Une somme dérisoire par rapport aux 45 000 UDSC. “Il aurait pu faire toutes ces transactions beaucoup plus facilement depuis son compte Coinbase”, pointe le conseil de Kaiko, estimant ainsi que ces manœuvres servaient en réalité à masquer des traces.
L’histoire pourrait au final coûter très cher aux deux prévenus. Au total, la société Kaiko a en effet demandé 125 000 euros environ en réparation de son préjudice. Tandis que le parquet, par la voix de la magistrate Audrey Gerbaud, a requis contre Nicolas B. une amende de 45 000 euros, dont 20 000 euros avec sursis. Tout en demandant, à cause “d’un léger doute” subsistant, la relaxe pour Michael I., qui n’avait, rappellent ses avocates, tiré aucun profit de cette affaire.
Une faute partagée, réplique Margaux Frisque, l’avocate de Nicolas B. Et de pointer les manquements de Kaiko, qui n’aurait pas su “structurer ses process internes, ses flux de trésorerie, et le départ d’un employé”. Le jugement sera rendu le 15 mai prochain.