KLYR Forensic Unit — Cas réel anonymisé. "Monsieur B.", portefeuilles sources EVM modifiés.
1. L'Appât : Compromission d'un coffre DeFi
L'investisseur "Monsieur B." gérait des positions de liquidité importantes sur des protocoles de finance décentralisée (DeFi), principalement AAVE et Venus Protocol, répartis sur les réseaux BNB Smart Chain (BSC) et Ethereum. Investor "Mr. B." managed significant liquidity positions on decentralized finance (DeFi) protocols, primarily AAVE and Venus Protocol, spread across the BNB Smart Chain (BSC) and Ethereum networks.
En l'espace de quelques heures, l'escroc (ayant réussi à compromettre ses clés privées) a autorisé le retrait direct de collatéraux massifs depuis ces smart contracts. Plus de 970 000 USD (cumulés sur deux portefeuilles) ont été extraits vers un portefeuille "Hub Attaquant" unique sur la blockchain EVM. Within hours, the scammer (having successfully compromised his private keys) authorized direct withdrawal of massive collateral from these smart contracts. Over 970,000 USD (totaled across two wallets) were extracted to a single "Attacker Hub" wallet on the EVM blockchain.
2. Le Mur : L'Obfuscation Multidimensionnelle
Contrairement aux fraudes grossières qui opèrent un transfert direct vers un exchange, cet attaquant a conçu une architecture de blanchiment très sophistiquée conçue pour décourager les enquêteurs traditionnels. Unlike crude frauds that send funds directly to an exchange, this attacker designed a highly sophisticated laundering architecture intended to discourage traditional investigators.
Par exemple, le Circuit 3 a utilisé le "Butter Network" (un pont interopérable) pour transférer des jetons d'une blockchain à une autre. Le Circuit 4 a utilisé des services de type "Bridgers", changeant la nature des jetons et la blockchain d'accueil pour briser la trace comptable de l'actif. For instance, Circuit 3 utilized "Butter Network" (an interoperability bridge) to transfer tokens across blockchains. Circuit 4 used "Bridgers" services, changing the nature of tokens and the host blockchain to break the asset's accounting trail.
3. Le Scalpel : Cartographier les 7 Circuits
L'équipe KLYR a pris en charge le Hub Attaquant EVM et procédé à une cartographie chirurgicale. Plutôt que de suivre le volume global, nous avons isolé et audité chaque veine d'exfiltration indépendamment, reconstruisant le graphe de flux complet. The KLYR team took charge of the EVM Attacker Hub and performed surgical mapping. Rather than following the overall volume, we isolated and audited each exfiltration vein independently, reconstructing the full flow graph.
Le traçage a révélé que, malgré la complexité apparente des bridges et des sauts (hops) multiples (jusqu'à la blockchain Tron et des protocoles obscurs), la liquidité volée converge obligatoirement vers un point final pour être convertie en monnaie fiduciaire (fiat). The tracing revealed that despite the apparent complexity of bridges and multiple hops (even to the Tron blockchain and obscure protocols), the stolen liquidity obligatorily converges to an endpoint to be converted into fiat currency.
En parallèle du traçage, l'investisseur possédait encore des positions complexes bloquées sur des protocoles de prêt (Venus Protocol) et des bridges secondaires (Paradex). L'attaquant surveillait ces contrats avec des bots de front-running.
KLYR a déployé un protocole de sauvetage White-hat :
➜ Optimisation collatérale : Retrait partiel furtif pour améliorer le ratio de dette.
➜ Arbitrum Flashbots Sweep : 58 420 USDC ont été sécurisés via un Bundle Flashbots, exécutés invisiblement avant que le script du hacker ne puisse réagir au paiement du gas.
Bilan : 327 700 $ totalement sauvés de l'exploitation. PHASE 2: The Rescue (Secure Sweep)
Alongside the tracing, the investor still had complex positions locked on lending protocols (Venus Protocol) and secondary bridges (Paradex). The attacker was monitoring these contracts with front-running bots.
KLYR deployed a White-hat rescue protocol:
➜ Collateral Optimization: Stealth partial withdrawal to improve debt ratio.
➜ Arbitrum Flashbots Sweep: 58,420 USDC were secured via a Flashbots Bundle, executed invisibly before the hacker's script could react to gas payments.
Result: $327,700 totally saved from exploitation.
4. La Chute : HitBTC et Binance comme leviers judiciaires
Au terme de l'audit de ces 7 circuits, KLYR a identifié de multiples portefeuilles de dépôt terminaux confirmés liés à deux plateformes d'échanges (VASP) principales : **Binance** et **HitBTC**. Upon completing the audit of these 7 circuits, KLYR identified multiple confirmed terminal deposit wallets linked to two main Virtual Asset Service Providers (VASPs): **Binance** and **HitBTC**.
Grâce aux lois de conformité KYC, ces CEX détiennent l'identité (passeport/adresse IP/RIB) des titulaires de ces portefeuilles de réception. KLYR a fourni à l'avocat de Monsieur B. des **matrices de preuves (Evidence Matrix)** et des modèles de réquisition judiciaire pour adresser des requêtes à l'international, piégeant l'attaquant au moment précis de l'encaissement. Due to KYC compliance laws, these CEXs hold the identity (passport/IP address/bank account) of the reception wallet owners. KLYR provided Mr. B.'s attorney with **Evidence Matrices** and subpoena models to issue international requests, cornering the attacker at the precise moment of cash out.
Vos fonds ont traversé des Bridges et mixeurs ? Did your funds cross Bridges and mixers?
La blockchain n'oublie rien. La complexité ne fait que retarder l'analyse. Nous modélisons les schémas cross-chain les plus complexes. The blockchain forgets nothing. Complexity only delays analysis. We model the most complex cross-chain schemes.