OnionEmpire Market : l'exit scam à 30 millions de dollars qui a fait trembler le dark web
Le 22 août 2020, vers 6 heures du matin UTC, Empire Market — la plus grande marketplace du dark web du moment, successeur direct d'AlphaBay après la chute de 2017 — est devenue silencieusement inaccessible. Pas de message d'au revoir. Pas de communiqué officiel. Pas de migration vers un miroir. Juste des adresses .onion qui refusent les connexions, un silence total sur Dread et les forums communautaires, et environ 30 millions de dollars en Bitcoin qui venaient de sortir des wallets d'escrow vers des destinations inconnues. Le plus gros exit scam de l'histoire du dark web était en cours. Cet article retrace la chronologie, les signaux précurseurs, l'impact sur les 1,3 million d'utilisateurs du site, et les tentatives — largement vaines — de retracer les opérateurs.
⚫ Page filtrée. Le catalogue complet est sur Tor. Accès Tor →L'origine : Empire Market et l'après-AlphaBay
Empire Market ouvre en février 2018, soit six mois après la saisie d'AlphaBay (juillet 2017) et dans le contexte de vide qu'avait créé l'Opération Bayonet. Le site est présenté par ses opérateurs — sous les pseudonymes « Dopenugget » et « Melvin » — comme le successeur naturel d'AlphaBay, avec une interface quasi-identique, une structure de commissions similaire, et une promesse de stabilité technique.
Le timing est parfait. Les utilisateurs ex-AlphaBay et ex-Hansa (Hansa ayant été fermé en même temps dans l'Opération Bayonet) cherchent un nouveau port d'attache. Dream Market fonctionne encore mais commence à montrer des signes de faiblesse technique. Wall Street Market monte mais avec une réputation mitigée. Empire arrive avec des arguments solides : support Monero (XMR) dès le départ, architecture multi-signature, équipe de modération expérimentée (dont d'anciens modérateurs AlphaBay).
L'ascension fulgurante (2018-2020)
La croissance d'Empire est spectaculaire. Les métriques publiques (DNStats, Dark.Fail, Dread) montrent une progression quasi-linéaire :
- Février 2018 — Lancement. 2 000 annonces, 100 vendeurs.
- Fin 2018 — 25 000 annonces, 1 200 vendeurs.
- Mi-2019 — 50 000 annonces, 3 500 vendeurs.
- Fin 2019 — 100 000 annonces, 5 000 vendeurs.
- Été 2020 (pic) — 1,3 million d'utilisateurs enregistrés, environ 14 000 vendeurs, 180 000 annonces actives.
À son pic, Empire détient environ 50 % du marché dark web mondial en volume de transactions. Les chiffres d'affaires mensuels oscillent entre 40 et 60 millions de dollars selon les périodes. La commission standard est de 4 %, soit des revenus bruts estimés à 1,5 à 2,5 millions de dollars par mois pour les opérateurs.
Les signaux précurseurs de juillet-août 2020
Avec le recul, plusieurs signes avant-coureurs étaient visibles dans les semaines précédant l'exit scam.
Attaques DDoS et maintenance prolongée
Empire Market a subi des attaques DDoS massives à partir de mai 2020. Les opérateurs ont invoqué ces attaques pour justifier des périodes de maintenance, des ralentissements, et — détail crucial — des fenêtres où les retraits étaient désactivés. Ces fenêtres, initialement de quelques heures, se sont allongées à des jours entiers en juillet et août 2020.
La communication décalée
Dopenugget, qui communiquait régulièrement sur Dread (le forum dark web de référence), a progressivement espacé ses messages. Ses derniers posts datent du 15 août 2020, une semaine avant la disparition. Le ton se voulait rassurant, mais plusieurs observateurs expérimentés ont noté un changement de style qui suggérait soit que quelqu'un d'autre tenait le clavier, soit que Dopenugget écrivait sous forte pression.
Les retraits bloqués
Dans les 10 jours précédant la fermeture, de nombreux vendeurs ont signalé sur Dread que leurs demandes de retrait étaient systématiquement « en cours de traitement » sans jamais aboutir. Certains dépôts étaient acceptés, mais plus rien ne sortait. Ce pattern est la signature absolue d'un exit scam en préparation — les opérateurs acceptent encore des fonds entrants (pour maximiser le butin) mais bloquent les sorties.
Le 22 août 2020 : la disparition
Le 22 août vers 3 heures du matin UTC, les wallets d'escrow d'Empire commencent à vider leur contenu vers un ensemble de wallets intermédiaires. Les analystes blockchain identifieront ces transactions dans les jours suivants — environ 2 638 Bitcoins (soit 30 millions de dollars au cours du 22 août) transférés en une vingtaine de transactions successives, visiblement automatisées.
À 6h00 UTC, les adresses .onion officielles d'Empire Market (il y en avait trois en rotation pour résister aux DDoS) deviennent toutes inaccessibles simultanément. Les URL des miroirs officiels aussi. Les comptes des administrateurs sur Dread deviennent silencieux. L'absence totale de communication exclut l'hypothèse d'une saisie policière (qui aurait été publiquement revendiquée par les autorités) ou d'un incident technique (qui aurait provoqué un communiqué).
À 10h00 UTC, le diagnostic communautaire est posé : c'est un exit scam. Le post d'alerte de HugBunter, fondateur de Dread, devient l'un des threads les plus lus de l'histoire de ce forum, avec des milliers de réponses de vendeurs sidérés et d'utilisateurs comptant leurs pertes.
L'impact humain et financier
Les dégâts de l'exit scam d'Empire Market s'étalent sur plusieurs dimensions.
Les utilisateurs acheteurs
Environ 300 000 à 400 000 utilisateurs avaient des fonds en escrow ou en dépôt au moment de la fermeture. Les montants individuels varient de quelques dizaines de dollars (commandes en cours de livraison) à plusieurs milliers (gros acheteurs professionnels). La somme totale perdue côté acheteurs : environ 12 à 15 millions de dollars.
Les vendeurs
Les vendeurs ont été touchés plus durement. Chaque vendeur devait déposer entre 2 000 et 5 000 dollars en « vendor bond » (caution) pour être autorisé à publier. Avec 14 000 vendeurs actifs, cela représente au minimum 30 à 70 millions de dollars en cautions, dont la majorité n'a jamais été restituée. En plus, les ventes récentes non encore soldées ont été perdues.
Les effets d'écho
L'effondrement d'Empire a provoqué une crise de confiance massive dans tout l'écosystème dark web. Le volume total des transactions sur les marketplaces a chuté de près de 40 % dans les mois suivants. Les vendeurs professionnels ont préféré se tourner vers des canaux privés (Telegram chiffré, Signal, serveurs XMPP privés) plutôt que de recommencer avec un nouveau risque d'exit scam.
La traque blockchain des fonds
Les sociétés d'analyse blockchain — Chainalysis, Elliptic, TRM Labs — ont immédiatement tracé les transactions de sortie. Leurs rapports publics et confidentiels permettent de reconstituer le chemin des fonds.
- Étape 1 — 22-23 août 2020 : les 2 638 BTC sortis des wallets Empire sont consolidés en 5 gros wallets intermédiaires.
- Étape 2 — septembre 2020 : les fonds sont fragmentés en centaines de petites transactions et envoyés à des mixers (Wasabi, CoinJoin via Samourai, CryptoMixer).
- Étape 3 — octobre 2020 à mars 2021 : une fraction des fonds refait surface sur plusieurs petits exchanges d'Europe de l'Est et d'Asie centrale, où ils sont convertis en dollars ou en stablecoins.
- Étape 4 — 2021-2022 : le reste des fonds est blanchi via des activités DeFi (Uniswap, swaps vers Monero via ThorChain, etc.) ou reste dormant.
Les autorités américaines (FBI, HSI) et européennes (Europol) ont collaboré sur le dossier. En 2022, des agents du FBI ont récupéré environ 8 millions de dollars en Bitcoin via l'identification de wallets compromis d'un blanchisseur intermédiaire ukrainien. Ces fonds ont été saisis mais pas redistribués aux victimes (situation juridique complexe : les « victimes » sont elles-mêmes auteurs d'activités illégales et ne peuvent pas réclamer un préjudice indemnisable).
L'opsec des opérateurs
Ce qui distingue Empire Market de précédents exit scams est la qualité exceptionnelle de l'opsec des opérateurs. Six ans après les faits (en 2026), les identités civiles de Dopenugget et Melvin restent inconnues publiquement. Aucune des méthodes ayant permis l'identification de Ulbricht (posts BitcoinTalk historiques) ou de Cazes (email personnel) n'a fonctionné.
Les hypothèses les plus plausibles, avancées par des chercheurs indépendants en OSINT comme Chris Monteiro ou Rémi Oddoux, situent les opérateurs probablement en Europe de l'Est et en Ukraine. Aucune preuve directe n'a été publiée. Cela suggère que les opérateurs avaient tiré les leçons des échecs de leurs prédécesseurs : séparation absolue identité civile / identité opérationnelle, usage exclusif de Qubes OS et Tails, absence totale de présence sur les réseaux sociaux sous leur vraie identité, wallets multi-hop non liés à des comptes bancaires directs.
L'après-Empire : fragmentation du marché
Empire n'a jamais été remplacé. À partir d'août 2020, le marché du dark web se fragmente en plusieurs acteurs plus petits, chacun détenant 5 à 15 % du marché total, sans champion dominant. Cette fragmentation est en partie stratégique : les acheteurs professionnels craignent désormais de concentrer leurs volumes sur une seule plateforme.
Les années 2021-2024 ont vu défiler White House Market (fermeture volontaire des opérateurs en octobre 2021, avec restitution partielle aux utilisateurs — cas rare et salué), Versus Project, ASAP Market, Tor2Door, Archetyp, Incognito Market (saisie 2024). Aucune n'a atteint la taille d'Empire au pic.
Parallèlement, on a observé un glissement vers les canaux privés : Telegram chiffré avec bots de paiement crypto, groupes Signal, serveurs XMPP/Matrix .onion (voir notre guide sur Tor). Ces canaux échappent partiellement à la surveillance policière mais posent leurs propres risques (absence de système d'escrow, multiplication des arnaques individuelles).