Source: TRM Labs — Dans un billet de type Security Operations, TRM Labs relate une opération de la Gendarmerie royale du Canada (GRC/RCMP) ayant abouti à la plus importante saisie de cryptomonnaies du pays, visant l’échange non enregistré TradeOgre.
La GRC a saisi plus de 40 M$ US sur TradeOgre, présenté comme un hub facilitant le blanchiment d’argent pour des marchés noirs, des opérations de ransomware et des fraudes. L’enquête a montré que même des plateformes axées sur la confidentialité laissent des traces forensiques exploitables et souligne l’importance de la coopération internationale dans la lutte contre la criminalité financière numérique. 🚔
Côté technique, les enquêteurs ont mobilisé de l’intelligence blockchain pour analyser des graphes de transactions, corréler des patterns de dépôts/retraits, et tracer des mouvements inter-actifs (cross-asset) entre TradeOgre et des services illicites. Ces corrélations ont contribué à étayer les ordonnances de saisie, en s’appuyant notamment sur des volumes significatifs en Bitcoin.
Les équipes ont utilisé l’outil Seed Analysis de TRM pour convertir des mnémoniques 12–24 mots en clés publiques, adresses et historiques de transactions, permettant la récupération d’accès aux portefeuilles via l’analyse des seed phrases. 🔍
Plusieurs typologies de blanchiment ont été mises en évidence: chain-hopping entre actifs transparents et orientés confidentialité (dont Monero), peel chains pour fragmenter les flux, recours à des mixers pour obfusquer la provenance, et cycles rapides à travers des services haut risque. Malgré l’orientation privacy de TradeOgre, les flux en Bitcoin ont constitué l’ossature probante de l’affaire.
TTPs observés (adversaires):
- Chain-hopping (transparent ↔ privacy)
- Peel chains (fragmentation des flux)
- Mixers (obfuscation de provenance)
- Rapid cycling via services haut risque
Techniques d’investigation (défense):
- Analyse de graphes de transactions et corrélations dépôts/retraits
- Traçage des mouvements cross-asset
- Exploitation de mnémoniques via TRM Seed Analysis (clés, adresses, historiques)
IOCs: Aucun IOC fourni dans l’extrait.
Type d’article: opération de police documentée par un fournisseur d’outils d’enquête, visant à exposer les méthodes, preuves et typologies ayant permis la saisie.
🔗 Source originale : https://www.trmlabs.com/resources/blog/rcmp-disrupts-major-illicit-crypto-hub-and-seize-56m-in-tradeogre-takedown