Des enquêteurs médico-légaux ont découvert que des pirates informatiques nord-coréens Lazarus avaient volé 1,5 milliard de dollars à Bybit après avoir piraté l’appareil d’un développeur sur la plate-forme de portefeuille multisig Safe{Wallet}.
Le PDG de Bybit, Ben Zhou, a partagé les conclusions de deux enquêtes menées par Sygnia et Verichains, qui ont toutes deux révélé que l’attaque provenait de l’infrastructure de Safe{Wallet}.
« L’attaque a spécifiquement ciblé Bybit en injectant du JavaScript malveillant dans l’application.en sécurité.global, auquel les signataires de Bybit ont accédé. La charge utile a été conçue pour s’activer uniquement lorsque certaines conditions étaient remplies. Cette exécution sélective a permis à la porte dérobée de ne pas être détectée par les utilisateurs réguliers tout en compromettant des cibles de grande valeur », a déclaré Verichains.
« Sur la base des résultats de l’enquête sur les machines des signataires de Bybit et de la charge utile JavaScript malveillante mise en cache trouvée sur l’archive Wayback, nous concluons fermement que la clé de compte/API AWS S3 ou CloudFront est sûre. Global a probablement été divulgué ou compromis. »
« Deux minutes après l’exécution et la publication de la transaction malveillante, de nouvelles versions des ressources JavaScript ont été téléchargées dans le compartiment AWS S3 de Safe{Wallet}. Le code malveillant a été supprimé de ces versions mises à jour », a ajouté Sygnia.
Sygnia a également découvert que le code JavaScript malveillant (ciblant le portefeuille froid Ethereum Multisig de Bybit) servi à partir du compartiment AWS S3 de Safe{Wallet} et utilisé pour rediriger les actifs cryptographiques de Bybit vers un portefeuille contrôlé par un attaquant avait été modifié deux jours avant l’attaque du 21 février. À la suite de l’incident, l’enquête médico-légale de Sygnia sur l’infrastructure de Bybit n’a révélé aucune preuve de compromission.
Leurs conclusions ont également été confirmées aujourd’hui par la Safe Ecosystem Foundation dans un communiqué révélant que l’attaque a été menée en piratant d’abord une machine de développeur sécurisée {Wallet}, qui a fourni aux acteurs de la menace l’accès à un compte exploité par Bybit.
« L’examen médico-légal de l’attaque ciblée du Groupe Lazarus sur Bybit a conclu que cette attaque ciblée sur le coffre-fort Bybit a été réalisée grâce à une machine de développement sécurisée{Wallet} compromise, ce qui a abouti à la proposition d’une transaction malveillante déguisée », a déclaré Safe.
Depuis l’incident, l’équipe Safe{Wallet} a restauré Safe{Wallet} sur le réseau principal Ethereum avec un déploiement progressif qui a temporairement supprimé l’intégration native du Grand livre, le périphérique/méthode de signature utilisé dans le braquage cryptographique Bybit.
Le déploiement progressif pour restaurer les services{Wallet} sécurisés a également ajouté des mesures de sécurité supplémentaires, notamment des alertes de surveillance améliorées et des validations supplémentaires pour le hachage des transactions, les données et les signatures.
L’équipe de Safe{Wallet} dit qu’elle a entièrement reconstruit et reconfiguré toute l’infrastructure et fait pivoter toutes les informations d’identification pour s’assurer que le vecteur d’attaque a été supprimé et ne peut pas être utilisé dans de futures attaques.
Bien qu’un examen médico-légal effectué par des chercheurs en sécurité externes n’ait révélé aucune vulnérabilité dans les contrats intelligents sécurisés ou le code source de son interface et de ses services, Safe conseille aux utilisateurs de rester vigilants et de « faire preuve d’une extrême prudence » lors de la signature des transactions.
Le plus grand casse de crypto de l’histoire
Comme l’a rapporté Breachtrace, les pirates nord-coréens ont intercepté un transfert planifié de fonds de l’un des portefeuilles froids de Bybit vers un portefeuille chaud. Ils redirigent ensuite les actifs cryptographiques vers une adresse blockchain sous leur contrôle, leur permettant de siphonner plus de 1,5 milliard de dollars dans ce qui est maintenant considéré comme le plus grand braquage de crypto de l’histoire.
« Le 21 février 2025, vers 12h30 UTC, Bybit a détecté une activité non autorisée dans l’un de nos portefeuilles froids Ethereum (ETH) lors d’un processus de transfert de routine. Le transfert faisait partie d’un transfert programmé d’ETH de notre portefeuille froid ETH Multisig vers notre portefeuille chaud », a déclaré Bybit dans un post-mortem publié vendredi.
« Malheureusement, la transaction a été manipulée par une attaque sophistiquée qui a modifié la logique du contrat intelligent et masqué l’interface de signature, permettant à l’attaquant de prendre le contrôle du portefeuille froid ETH. En conséquence, plus de 400 000 ETH et stETH d’une valeur de plus de 1,5 milliard de dollars ont été transférés à une adresse non identifiée. »
Depuis lors, Bybit a rétabli ses réserves d’ETH et le PDG a déclaré que l’échange cryptographique est solvable même si les actifs perdus ne seront pas entièrement récupérés.
En enquêtant sur l’attaque, l’enquêteur sur la fraude cryptographique ZachXBT a découvert des liens entre les pirates informatiques Bybit et le tristement célèbre groupe de menaces nord-coréen Lazarus après que les attaquants aient envoyé une partie des fonds Bybit volés à une adresse Ethereum précédemment utilisée dans les piratages Phemex, BingX et Poloniex.
Les conclusions de ZachXBT ont également été confirmées par la société de renseignement blockchain TRM Labs et la société d’analyse blockchain Elliptic, qui ont constaté « des chevauchements substantiels observés entre les adresses contrôlées par les pirates Bybit et celles liées à des vols antérieurs en Corée du Nord » et ont partagé plus d’informations sur les tentatives des pirates de ralentir les tentatives de traçage.
En décembre, la société d’analyse de chaînes de blocs Chainalysis a déclaré que des pirates nord-coréens avaient volé 1,34 milliard de dollars lors de 47 vols de crypto en 2024.
Elliptic a ajouté cette semaine qu’ils avaient « volé plus de 6 milliards de dollars d’actifs cryptographiques depuis 2017, dont le produit aurait été dépensé pour le programme de missiles balistiques du pays. »