Au cours du week-end, des sociétés de sécurité blockchain et des experts ont lié le groupe de piratage Lazarus de Corée du Nord au vol de plus de 1,5 milliard de dollars de l’échange de crypto-monnaie Bybit.
Dans ce qui est maintenant considéré comme le plus grand vol de crypto de l’histoire, les attaquants ont intercepté un transfert planifié de fonds de l’un des portefeuilles froids de Bybit vers un portefeuille chaud, redirigeant les actifs cryptographiques vers une adresse blockchain sous leur contrôle.
« Le 21 février 2025, vers 12h30 UTC, Bybit a détecté une activité non autorisée dans l’un de nos portefeuilles froids Ethereum (ETH) lors d’un processus de transfert de routine. Le transfert faisait partie d’un transfert programmé d’ETH de notre portefeuille froid ETH Multisig vers notre portefeuille Chaud », a expliqué Bybit dans une autopsie publiée vendredi.
« Malheureusement, la transaction a été manipulée par une attaque sophistiquée qui a modifié la logique du contrat intelligent et masqué l’interface de signature, permettant à l’attaquant de prendre le contrôle du portefeuille froid ETH. En conséquence, plus de 400 000 ETH et stETH d’une valeur de plus de 1,5 milliard de dollars ont été transférés à une adresse non identifiée. »
Bien que cela ait conduit au vol de plus de 1,5 milliard de dollars d’ETH et de stETH, Bybit a déclaré que ses services n’étaient en grande partie pas affectés malgré une vague massive de demandes de retrait 580,000 après la divulgation de l’incident. Il a également ajouté que tous les autres portefeuilles et actifs froids restaient sécurisés.
L’échange cryptographique a depuis rétabli ses réserves d’ETH, et le PDG de la société a déclaré que Bybit est solvable même si les actifs perdus ne seront pas entièrement récupérés.
Crypto-hold-up Bybit lié aux pirates de Lazarus
Depuis l’attaque, l’enquêteur sur la fraude cryptographique ZachXBT a découvert des liens entre les pirates informatiques Bybit et le tristement célèbre groupe de menaces nord-coréen Lazarus après que les attaquants ont envoyé des fonds Bybit volés à une adresse Ethereum précédemment utilisée dans le piratage Phemex du mois dernier.
« Le groupe Lazarus vient de connecter le piratage Bybit au piratage Phemex directement sur la chaîne en mélangeant les fonds de l’adresse de vol initiale pour les deux incidents », a déclaré ZachXBT.
Le chercheur a également déclaré que les acteurs de la menace avaient lancé et échangé des pièces de monnaie Pump Fun Meme pour blanchir la crypto-monnaie volée, les fonds du piratage Bybit atteignant plus de 920 adresses blockchain. ZachXBT a également affirmé que les pirates de Lazarus blanchissaient des ETH volés à Bybit Hack en utilisant eXch (un mélangeur centralisé) et en transférant des fonds vers Bitcoin via Chainflip.
« L’équipe eXch a accidentellement envoyé 34 ETH (96K$) dans le portefeuille chaud d’un autre échange après avoir blanchi plus de 35M for pour le groupe Lazarus à partir du piratage de Bybit aujourd’hui », ont-ils déclaré.
Les conclusions de ZachXBT ont été confirmées par la société de renseignement blockchain TRM Labs, qui a déterminé avec une « grande confiance » que les pirates nord-coréens étaient à l’origine du piratage Bybit « sur la base de chevauchements substantiels observés entre les adresses contrôlées par les pirates Bybit et celles liées à des vols antérieurs nord-coréens. »
La société d’analyse de blockchain Elliptic a déclaré que les pirates de Lazarus avaient déjà déplacé les fonds volés dans un grand nombre de portefeuilles de crypto-monnaie pour dissimuler l’origine réelle des actifs et ralentir les tentatives de traçage.
« Un échange en particulier, eXch semble avoir sciemment blanchi des dizaines de millions de dollars d’actifs volés, malgré les appels de Bybit à y mettre fin », a déclaré Tom Robinson, cofondateur et scientifique en chef d’Elliptic, à Breachtrace. « Les actifs volés sont pour la plupart convertis en Bitcoin – si les schémas de blanchiment précédents sont suivis, nous pouvons nous attendre à voir l’utilisation de mélangeurs bitcoin ensuite – pour tenter de cacher la piste de l’argent. »
Cependant, eXch a nié avoir blanchi des fonds volés à Bybit, affirmant que « eXch ne blanchit PAS d’argent pour Lazarus / RPDC » et que « la partie insignifiante des fonds du piratage de ByBit est finalement entrée dans notre adresse [..] était un cas isolé et la seule partie traitée par notre bourse, honoraires dont nous serons reversés pour le bien public. »
En décembre, la société d’analyse de chaînes de blocs Chainalysis a déclaré que des pirates nord-coréens avaient volé 1,34 milliard de dollars lors de 47 vols de crypto en 2024, battant leur précédent record de 1,1 milliard de dollars de 2022.
Lors d’une seule attaque en mars 2022, deux groupes de piratage nord-coréens (Lazarus et BlueNorOff) ont volé 620 millions de dollars en crypto-monnaie (173 600 Ethereum et 25,5 Millions de jetons USDC) sur le pont du réseau Ronin d’Axie Infinity.