La nouvelle année a commencé avec l'annonce que l'entrepreneur notable du Web3, Kevin Rose, a été victime d'une escroquerie par phishing au cours de laquelle il a perdu plus d'un million de dollars de tokens non fongibles (NFT).

Alors que les institutions financières grand public commencent à fournir des services liés au Web3, à la crypto et aux NFT, elles seraient les dépositaires des actifs des clients. Elles doivent protéger leurs clients contre les mauvais acteurs, et déterminer si les actifs des clients ont été obtenus par des activités illicites.

L'industrie de la crypto n'a pas facilité les fonctions de lutte contre le blanchiment d'argent (AML) au sein des organisations. Le secteur a innové en créant des constructions telles que des ponts cross-chain, des mixers et des chaînes de confidentialité, que les pirates et les voleurs de cryptomonnaie peuvent utiliser pour obscurcir les actifs volés. Très peu d'outils ou de cadres techniques peuvent aider à naviguer dans ce trou à rat.

Les régulateurs ont récemment sévi contre certaines plateformes de cryptomonnaies, faisant pression sur les exchanges centralisés pour qu'ils retirent de la cotation les tokens de protection de la vie privée. En août 2022, la police néerlandaise a arrêté le développeur de Tornado Cash, Alexey Pertsev, et s'efforce depuis lors de contrôler les transactions par le biais de mélangeurs.

Alors que la gouvernance centralisée est considérée comme contraire à l'éthique du Web3, le pendule devra peut-être aller dans l'autre sens avant d'atteindre un juste milieu, qui protège les utilisateurs et ne freine pas l'innovation.

Alors que les grandes institutions et les banques doivent s'attaquer aux complexités technologiques du Web3 pour fournir des services d'actifs numériques à leurs clients, elles ne seront en mesure d'assurer une protection adéquate des clients que si elles disposent d'un cadre solide de lutte contre le blanchiment d'argent.

Les dispositifs de lutte contre le blanchiment d'argent nécessiteront plusieurs compétences que les banques devront évaluer et mettre en place. Ces compétences peuvent être développées en interne ou en collaborant avec des solutions tierces.

Solidus Labs, Moralis, Cipher Blade, Elliptic, Quantumstamp, TRM Labs, Crystal Chain et Chainalysis sont quelques fournisseurs dans ce domaine. Ces entreprises s'attachent à fournir aux banques et aux institutions financières des cadres holistiques de lutte contre le blanchiment d'argent.

Pour que les plateformes de ces fournisseurs offrent une approche holistique de la lutte contre le blanchiment d'argent, en ce qui concerne les actifs numériques, elles doivent disposer de plusieurs intrants. Le prestataire en fournit plusieurs, tandis que d'autres proviennent de la banque ou de l'institution avec laquelle il travaille.

Sources de données et intrants

Les institutions ont besoin d'une multitude de données provenant de sources variées, pour identifier efficacement les risques liés à la lutte contre le blanchiment d'argent. L'étendue et la profondeur des données auxquelles un établissement peut accéder déterminent l'efficacité de sa fonction de lutte contre le blanchiment d'argent. Voici quelques-unes des principales données nécessaires à la lutte contre le blanchiment d'argent, et à la détection des fraudes.

La politique de lutte contre le blanchiment d'argent est souvent une définition générale de ce qu'une entreprise doit surveiller. Elle est généralement décomposée en règles et en seuils, qui contribueront à la mise en œuvre de la politique.

Une politique de lutte contre le blanchiment d'argent pourrait stipuler que tous les actifs numériques liés à un État-nation sanctionné, comme la Corée du Nord, doivent être signalés et traités.

La politique pourrait également prévoir que les transactions seront signalées, si plus de 10 % de la valeur de la transaction peut être retracée jusqu'à une adresse de portefeuille qui contient le produit d'un vol d'actifs connu.

Par exemple, si un bitcoin (BTC) est envoyé pour être conservé dans une banque de premier rang et que 0,2 BTC provient d'un portefeuille contenant le produit du piratage de Mt. Gox - même si l'on tente de cacher la source en faisant passer le montant par au moins 10 étapes avant d'atteindre la banque -, un signal d'alarme AML serait émis pour alerter la banque de ce risque potentiel.

À lire également : La mort dans le metaverse : Le Web3 entend apporter de nouvelles réponses à de vieilles questions

Les plateformes de lutte contre le blanchiment d'argent utilisent plusieurs méthodes pour étiqueter les portefeuilles, et identifier la source des transactions. Il s'agit notamment de consulter des renseignements de tiers tels que des listes gouvernementales (sanctions et autres mauvais acteurs), de faire du web scraping d'adresses de cryptomonnaies, du darknet, de sites web de financement du terrorisme ou de pages Facebook, d'employer des heuristiques de dépenses courantes qui peuvent identifier des adresses de cryptomonnaies contrôlées par la même personne, et des techniques d'apprentissage automatique comme le clustering qui peuvent identifier des adresses de cryptomonnaies contrôlées par la même personne ou le même groupe.

Les données collectées grâce à ces techniques constituent la base des compétences fondamentales, que les départements de lutte contre le blanchiment d'argent des banques et des institutions de services financiers doivent mettre en place pour traiter les actifs numériques.

Surveillance et filtrage des portefeuilles

Les banques devront procéder à une surveillance et à un filtrage proactifs des portefeuilles des clients, ce qui leur permettra d'évaluer si un portefeuille a interagi directement ou indirectement avec des acteurs illicites tels que des pirates informatiques, des réseaux terroristes, des mélangeurs, etc.

Illustration des actifs d'un portefeuille classés et étiquetés. Source : Elliptic : Elliptic

Une fois les étiquettes apposées sur les portefeuilles, les règles AML sont appliquées pour s'assurer que l'examen des portefeuilles respecte les limites de risque.

Enquête sur la blockchain

L'investigation de la blockchain est essentielle pour s'assurer que les transactions effectuées sur le réseau n'impliquent pas d'activités illicites.

Une enquête est menée sur les transactions de la blockchain depuis la source ultime jusqu'à la destination ultime. Les plateformes des fournisseurs offrent des fonctionnalités telles que le filtrage sur la valeur de la transaction, le nombre de bonds ou même la capacité d'identifier automatiquement les transactions sur la rampe d'accès dans le cadre d'une enquête.

Illustration de la plateforme Elliptic retraçant une transaction sur le dark web. Source : Elliptic : Elliptic

Les plateformes offrent un diagramme illustré montrant chaque parcours d'un actif numérique à travers le réseau pour aller du premier au dernier portefeuille. Des plateformes comme Elliptic peuvent identifier les transactions qui proviennent même du dark web.

Surveillance des actifs multiples

La surveillance des risques lorsque plusieurs tokens sont utilisés pour blanchir de l'argent sur la même blockchain est une autre compétence essentielle que les plateformes AML doivent posséder. La plupart des protocoles de couche 1 ont plusieurs applications qui ont leurs propres tokens. Les transactions illicites pourraient se produire en utilisant n'importe lequel de ces tokens, et la surveillance doit être plus large qu'un seul token de base

Surveillance cross-chain

La surveillance des transactions cross-chain hante depuis un certain temps les analystes de données et les experts en lutte contre le blanchiment d'argent. En dehors des mélangeurs et des transactions sur le dark web, les transactions cross-chain sont peut-être le problème le plus difficile à résoudre. Contrairement à ces dernières, les transferts d'actifs cross-chain sont monnaie courante et constituent un véritable cas d'utilisation qui favorise l'interopérabilité.

En outre, les portefeuilles qui détiennent des actifs ayant transité par des mélangeurs et le dark web peuvent être étiquetés et marqués d'un drapeau rouge, car ils sont immédiatement considérés comme des drapeaux orange du point de vue de la lutte contre le blanchiment d'argent. Il ne serait pas possible de simplement signaler une transaction cross-chain, car elle est fondamentale pour l'interopérabilité.

Les initiatives de lutte contre le blanchiment d'argent concernant les transactions cross-chain ont constitué un défi par le passé, car les ponts cross-chain peuvent être opaques dans la manière dont ils transfèrent les actifs d'une blockchain à l'autre. Elliptic a donc mis au point une approche à plusieurs niveaux pour résoudre ce problème.

Illustration de la façon dont une transaction cross-chain entre Polygon et Ethereum est identifiée comme ayant sa source auprès d'un mélangeur de cryptomonnaies - une entité sanctionnée. Source : Elliptic

Le scénario le plus simple est celui où le pont fournit une transparence de bout en bout à travers les blockchains pour chaque transaction, et où la plateforme AML peut le récupérer à partir des blockchains. Lorsque cette traçabilité n'est pas possible en raison de la nature du pont, les algorithmes de lutte contre le blanchiment d'argent utilisent la correspondance de la valeur temporelle, où les actifs qui ont quitté une blockchain et sont arrivés à une autre sont mis en correspondance en utilisant l'heure du transfert et la valeur du transfert.

Le scénario le plus difficile est celui où aucune de ces techniques ne peut être utilisée. Par exemple, les transferts d'actifs vers Lightning Network à partir d'Ethereum peuvent être opaques. Dans ce cas, les transactions entre ponts peuvent être traitées de la même manière que les transactions entre mélangeurs et le dark web, et seront généralement signalées par l'algorithme en raison de leur manque de transparence.

Contrôle des smart contracts

Le contrôle des smart contracts est un autre domaine crucial pour protéger les utilisateurs de la finance décentralisée (DeFi). Ici, les smart contracts sont examinés pour s'assurer qu'il n'y a pas d'activités illicites avec les smart contracts dont les institutions doivent être conscientes.

Cet aspect est peut-être plus pertinent pour les fonds spéculatifs qui souhaitent participer à des pools de liquidités dans le cadre d'une solution DeFi. C'est moins important pour les banques à ce stade, car elles ne participent généralement pas directement aux activités DeFi. Cependant, à mesure que les banques s'impliquent dans la DeFi institutionnel, le contrôle au niveau des smart contracts deviendrait extrêmement critique.

Diligence raisonnable en matière de VASP

Les exchanges sont considérés comme des fournisseurs de services d'actifs virtuels (VASP). Le contrôle préalable portera sur l'exposition globale de l'exchange sur la base de toutes les adresses associées à celui-ci.

Certaines plateformes de fournisseurs de services de lutte contre le blanchiment d'argent présentent un aperçu du risque en fonction du pays d'incorporation, des exigences en matière de connaissance du client et, dans certains cas, de l'état des programmes de lutte contre la criminalité financière. Contrairement aux compétences précédentes, les contrôles VASP impliquent à la fois des données on-chain et off-chain.

L'analyse AML et on-chain est un espace qui évolue rapidement. Plusieurs plateformes s'efforcent de résoudre certains des problèmes technologiques les plus complexes qui aideraient les institutions à protéger les actifs de leurs clients. Cependant, il s'agit d'un travail en cours et il reste encore beaucoup à faire pour disposer de contrôles AML robustes pour les actifs numériques.