THORChain a traité 1,2 milliard de dollars volés à Bybit par le groupe Lazarus et a perçu 5 millions de dollars de frais. Il a refusé de les restituer. Trois validateurs ont voté pour arrêter le trading d'ETH — quatre l'ont annulé en 30 minutes. Le développeur principal a démissionné. Le hacker de KelpDAO a converti 175 millions de dollars supplémentaires en Bitcoin via le même protocole. THORChain n'a pas été hacké — il fonctionne exactement comme il a été conçu. Et c'est la question la plus inconfortable de la DeFi : un protocole décentralisé peut-il être complice s'il refuse de censurer des fonds volés par un État-nation ?
Cet article analyse comment THORChain est devenu le principal canal de blanchiment de Lazarus, pourquoi ses validateurs ont refusé d'agir, ce que la démission de Pluto a signifié, et pourquoi ce cas définit l'avenir de la résistance à la censure dans la DeFi.
Avis éditorial : cet article est informatif et ne constitue pas un conseil financier ou juridique. THORChain est un protocole décentralisé — il n'a pas d'entreprise derrière lui ni de PDG à qui rendre des comptes. La résistance à la censure est une propriété de conception, pas une décision humaine ponctuelle. Les implications légales pour les validateurs et les utilisateurs sont non résolues. Données d'avril 2026.
Qu'est-ce que THORChain et pourquoi Lazarus l'a-t-il choisi ?
THORChain n'est ni un bridge ni un mixer. C'est un protocole de liquidité décentralisé qui permet des swaps cross-chain natifs — de l'ETH réel contre du BTC réel, sans tokens wrappés, sans dépositaire intermédiaire, sans KYC. La différence technique est importante : un bridge comme Wormhole émet un token synthétique (wETH sur Solana) adossé à des fonds sous séquestre. Si le dépositaire gèle la réserve, le token synthétique perd sa valeur. THORChain ne fonctionne pas ainsi.
Le protocole utilise des pools de liquidité bilatéraux : chaque pool contient l'actif natif (BTC, ETH, AVAX) associé à RUNE, le token natif du réseau. Les fournisseurs de liquidité (LPs) déposent des actifs réels des deux côtés du pool. Lorsqu'un utilisateur effectue un swap d'ETH vers BTC, le protocole exécute deux opérations internes : ETH → RUNE dans un pool, RUNE → BTC dans un autre. Le résultat est du BTC natif sur la chaîne Bitcoin — pas un token que quelqu'un peut geler.
Pour Lazarus, cette architecture est parfaite : une fois l'ETH volé converti en BTC natif, aucune entité — ni Tether, ni Circle, ni aucun exchange — ne peut geler ces fonds. Un UTXO de Bitcoin n'a pas d'émetteur centralisé. C'est comme convertir des billets marqués en lingots d'or fondus : la trace s'estompe au moment du swap.
THORChain compte environ 120 nœuds validateurs qui traitent les transactions selon les règles du protocole. Ils ne vérifient pas l'origine des fonds. Ils n'ont pas de fonction de compliance. Le système a été explicitement conçu pour ne pas discriminer — et c'est exactement ce dont Lazarus avait besoin.
Comment Lazarus a-t-il utilisé THORChain pour blanchir 1,2 milliard de dollars de Bybit ?
Le 21 février 2025, le groupe Lazarus a volé 1,46 milliard de dollars à Bybit — le plus grand hack crypto de l'histoire. 85 % des fonds ont été blanchis via THORChain.
L'opération a été systématique : Lazarus a fractionné les fonds dans plusieurs wallets, a exécuté des swaps d'ETH vers BTC par lots pour ne pas épuiser la liquidité du pool, et a distribué le BTC résultant sur des centaines d'adresses. En une semaine, 605 millions sont passés par THORChain. Au total, plus de 1,2 milliard.
THORChain a perçu environ 5 millions de dollars en frais de swap. Ces frais ont été automatiquement distribués aux fournisseurs de liquidité (LPs) et aux nœuds validateurs — les personnes qui apportent du capital et traitent les transactions. Il n'y a pas de trésorier, pas de compte d'entreprise : les frais sont directement versés aux participants du protocole.
Lorsque la communauté a proposé de restituer les frais générés par Lazarus, la proposition a échoué. L'argument technique : il n'est pas possible de séparer quelle portion des frais d'un LP provenait des swaps de Lazarus par rapport aux swaps légitimes. L'argument philosophique : restituer les frais crée un précédent de censure rétroactive. Si aujourd'hui vous restituez parce que le FBI le demande, demain vous restituerez parce que la Chine l'exige.
Pourquoi les validateurs ont-ils voté pour NE PAS censurer ?
Le 26 février 2025 — cinq jours après le hack — trois validateurs de THORChain ont voté pour suspendre le trading d'ETH sur le réseau et bloquer les flux de Lazarus. Quatre validateurs ont voté contre. La suspension a été annulée en 30 minutes.
L'argument de ceux qui ont voté NON :
- "THORChain a été construit à l'image de Bitcoin — décentralisé et résistant à la censure." Si vous censurez aujourd'hui pour Lazarus, demain vous censurerez sur ordre d'un gouvernement. Le précédent détruit la thèse.
- "Nous ne sommes pas des juges." Les validateurs traitent les transactions selon les règles du protocole. Ils n'ont pas pour fonction de décider quelles transactions sont légitimes. Si le code permet le swap, le swap est exécuté.
- "Si nous censurons, les utilisateurs légitimes souffrent." Suspendre le trading d'ETH affecte tout le monde — pas seulement Lazarus. Des milliers d'utilisateurs avec des swaps légitimes sont bloqués.
L'argument de ceux qui ont voté OUI :
- "Nous facilitons le financement d'armes de destruction massive par un État-nation." 40 % du programme d'armes de destruction massive de la Corée du Nord est financé par des cryptos volées.
- "La résistance à la censure ne signifie pas une complicité active." Il y a une différence entre ne pas pouvoir censurer (Bitcoin) et pouvoir le faire mais refuser (THORChain a un mécanisme de pause — il a simplement choisi de ne pas l'utiliser).
Pourquoi les développeurs de THORChain abandonnent-ils le projet ?
Pluto, le développeur principal non officiel de THORChain, a annoncé sa démission immédiatement après l'annulation du vote. Son message était clair : il a construit THORChain pour être résistant à la censure, pas pour être l'infrastructure de blanchiment d'un État-nation. TCB, un autre développeur central, a indiqué qu'il partirait également si des mesures contre les flux illicites n'étaient pas mises en œuvre.
La crise a révélé une fracture qui va au-delà de THORChain. Les développeurs cypherpunk qui ont conçu ces protocoles avaient une vision : une monnaie libre de tout contrôle étatique, la confidentialité financière comme droit, la résistance à la censure comme principe. Mais lorsque ce principe se matérialise en 1,2 milliard de dollars blanchis pour le programme nucléaire de la Corée du Nord, l'abstraction se transforme en conséquence concrète.
L'exode des développeurs a une implication pratique : les personnes qui maintiennent le code, qui corrigent les bugs, qui conçoivent les mises à jour de sécurité — abandonnent le projet. THORChain fonctionne avec environ 120 nœuds, mais le code est maintenu par quelques dizaines de développeurs. Si les plus expérimentés partent, le protocole perd de sa capacité technique alors qu'il traite des volumes records. C'est un paradoxe : le succès commercial (800 millions de volume du hack de KelpDAO) coïncide avec le vide technique du projet.
Pourquoi le hacker de KelpDAO a-t-il choisi THORChain pour convertir 175 millions de dollars en Bitcoin ?
Oui. À partir du 21 avril 2026, l'attaquant de KelpDAO a converti environ 75 700 ETH (environ 175 millions de dollars) en Bitcoin via THORChain. Cette activité a généré 800 millions de dollars de volume de trading pour le protocole.
La séquence a été la suivante : Arbitrum a gelé 30 766 ETH (environ 71 millions de dollars) dans un wallet de l'attaquant. L'attaquant a répondu en déplaçant le reste — tout ce qu'Arbitrum n'a pas pu geler — vers Bitcoin via THORChain. Une fois en BTC, les fonds sont pratiquement irrécupérables : Bitcoin n'a pas de fonction de gel, il n'y a pas d'émetteur centralisé, et les swaps vers Monero via THORChain ajouteraient une couche supplémentaire de confidentialité.
Le schéma de Lazarus en 2025-2026 :
| Hack | Montant | Date | Blanchiment via THORChain |
|---|---|---|---|
| Bybit | 1 460 M$ | Fév 2025 | ~1 200 M$ (85 %). THORChain a perçu ~5 M$ de frais |
| Drift Protocol | 285 M$ | Avr 2026 | Partiel (USDC → ETH → bridges) |
| KelpDAO | 292 M$ | Avr 2026 | ~175 M$ en ETH → BTC. 800 M$ de volume généré |
THORChain est devenu l'outil de blanchiment préféré de Lazarus — non pas parce qu'il est compromis, mais parce qu'il fonctionne exactement comme promis : swaps sans permission, sans KYC, sans intermédiaire qui puisse dire "non".
Comment les autres DEX gèrent-ils les adresses sanctionnées ?
THORChain n'est pas le seul DEX à avoir été confronté à la question de la censure. Mais c'est le seul qui a activement voté NON à la censure après avoir identifié des flux illicites provenant d'un État-nation.
| Protocole | Mécanisme de filtrage | Niveau de censure | Résultat |
|---|---|---|---|
| Uniswap | Frontend bloque les wallets OFAC via TRM Labs | Seule l'interface web — les contrats restent ouverts | Censure cosmétique : n'importe qui peut utiliser les contrats directement ou un frontend alternatif |
| 1inch | Géo-blocage + liste OFAC dans l'API | Interface + API restreintes | L'accès direct au contrat reste disponible |
| dYdX | Géo-blocage par juridiction (US, UK, Canada) | Frontend + API | Blocage géographique, non par wallet sanctionné |
| THORChain | Aucun — un mécanisme de pause existe mais les validateurs ont voté pour ne pas l'utiliser | Zéro censure au niveau du protocole ou de l'interface | 1,4 milliard de dollars de Lazarus traités |
La différence clé : Uniswap, 1inch et dYdX ont mis en œuvre la censure au niveau du frontend — la couche que les utilisateurs voient — tout en maintenant les smart contracts ouverts. C'est un compromis pragmatique : ils se conforment formellement à l'OFAC sans altérer le protocole sous-jacent. Un utilisateur technique peut contourner le blocage en utilisant le contrat directement, mais la plupart ne le font pas.
THORChain a même rejeté cette censure cosmétique. Et il y a un argument technique légitime : sur THORChain, les swaps cross-chain ne passent pas par un frontend web contrôlé par une entreprise. Les utilisateurs interagissent directement avec le réseau de nœuds via des wallets comme THORSwap. Le protocole n'a pas d'entité qui puisse être contrainte de mettre en œuvre des filtres OFAC — ou du moins, c'est ce que soutiennent ses défenseurs.
Quels risques juridiques encourent les validateurs de THORChain ?
Le précédent le plus pertinent est Tornado Cash. En août 2022, l'OFAC a sanctionné Tornado Cash — un mixer Ethereum — pour avoir facilité le blanchiment de 7 milliards de dollars, y compris des fonds de Lazarus. Alexey Pertsev, l'un des développeurs, a été condamné en mai 2024 par un tribunal néerlandais à 64 mois de prison pour blanchiment d'argent.
La différence entre Tornado Cash et THORChain est significative — mais pas nécessairement favorable à THORChain :
- Tornado Cash n'avait pas de mécanisme de gouvernance actif — c'était un contrat immuable. Les validateurs de THORChain ont la capacité d'agir et ont choisi de ne pas le faire.
- Les nœuds de THORChain reçoivent une compensation directe — ils perçoivent des frais pour chaque swap, y compris ceux de Lazarus. Cela établit un bénéfice économique pour faciliter des transactions illicites.
- L'OFAC a déjà établi que les protocoles DeFi peuvent être sanctionnés — l'argument "ce n'est que du code" a perdu de sa force juridique après la condamnation de Pertsev.
Si l'OFAC décide de sanctionner THORChain, chaque opérateur de nœud identifiable devient une cible légale. La CFTC veut déjà réglementer Hyperliquid — un protocole qui n'a rien blanchi. Combien de temps faudra-t-il pour qu'elle s'intéresse à THORChain, qui a traité 1,4 milliard de dollars de fonds d'un groupe que le FBI a publiquement identifié ?
THORChain est-il complice ou est-ce simplement du code ?
C'est la question à laquelle personne ne veut répondre — car la réponse a des implications pour toute la DeFi.
Si THORChain n'est "que du code", alors il ne peut pas être complice. Un routeur internet n'est pas complice lorsqu'un criminel envoie un e-mail. Une route n'est pas complice lorsqu'un voleur s'échappe en voiture. Le code n'a pas d'intention. Les validateurs exécutent des règles définies par le protocole.
Mais THORChain n'est PAS seulement du code. Il a un mécanisme de pause. Les validateurs peuvent voter pour arrêter le trading d'un actif. Ils l'ont fait — et ont choisi de ne pas le faire. Ce n'est pas de l'automatisme : c'est une décision humaine au sein d'une structure de gouvernance. Si vous pouvez agir et décidez de ne pas le faire, la question de la complicité est légitime.
L'analogie la plus précise n'est pas une route — c'est une entreprise de transfert qui voit la transaction marquée comme "fonds volés par un État-nation" dans son système et décide de la traiter quand même parce que sa politique dit "nous traitons tout sans poser de questions". Dans la finance traditionnelle, cela s'appelle un manquement à la lutte contre le blanchiment d'argent. Dans la DeFi, cela s'appelle "résistance à la censure".
Que signifie le cas THORChain pour la résistance à la censure dans la DeFi ?
THORChain a mis sur la table le dilemme que la DeFi a évité pendant des années :
| Position | Argument | Conséquence |
|---|---|---|
| Censure = trahison | Si vous censurez une fois, le précédent détruit la neutralité. Tout gouvernement peut exiger la même chose. | La DeFi maintient sa thèse mais facilite le blanchiment de milliards pour des États hostiles |
| Ne pas censurer = complicité | Avoir un mécanisme de pause et ne pas l'utiliser est une décision, pas de l'automatisme. Les validateurs gagnent des frais sur les transactions illicites. | La DeFi se positionne contre la communauté internationale et attire une réglementation agressive |
| Solution technique | Filtres au niveau de l'application (frontend), pas du protocole. Le code reste permissionless mais les interfaces ne montrent pas les transactions sanctionnées. | Censure cosmétique qui n'arrête pas Lazarus (ils utilisent la CLI, pas les frontends) |
L'article sur la centralisation de la DeFi analyse comment l'infrastructure "décentralisée" a des points centralisés cachés. THORChain démontre le problème inverse : quand quelque chose EST réellement décentralisé, il n'y a personne à appeler quand il est utilisé pour financer des armes nucléaires.
La confidentialité financière est un droit. Mais les droits ont des limites lorsqu'ils entrent en conflit avec la sécurité nationale. THORChain a pris position — et cette position a des conséquences pour tout l'écosystème. Si les régulateurs décident que les validateurs de THORChain sont des "transmetteurs d'argent" qui ont facilité le blanchiment pour un État sanctionné, le précédent affecte chaque nœud de chaque protocole permissionless du monde.
Le plus honnête que l'on puisse dire : THORChain fonctionne comme il a été conçu. Lazarus l'utilise parce qu'il fonctionne. Et le fait qu'il fonctionne exactement comme promis — sans exceptions, sans jugement moral, sans discrimination — est simultanément sa plus grande vertu et son plus grand problème.
Savez-vous par quels protocoles vos fonds transitent lorsque vous effectuez un swap cross-chain ?
CleanSky affiche votre portefeuille par chaîne et par protocole — pour que vous voyiez le chemin de vos actifs avant que le chemin ne devienne important. Sans custodier vos fonds. Découvrez comment cela fonctionne.