Le FBI a confirmé que des pirates nord-coréens avaient volé 1,5 milliard de dollars à l’échange de crypto-monnaie Bybit vendredi dans le plus grand braquage de crypto enregistré jusqu’à présent.
Le FBI a également encouragé les opérateurs de nœuds RPC, les échanges, les ponts, les services DeFi, les sociétés d’analyse de chaînes de blocs et d’autres fournisseurs de services de crypto-monnaie à bloquer les transactions provenant d’adresses utilisées par les pirates nord-coréens pour blanchir les actifs volés.
Vendredi, le groupe de piratage parrainé par l’État (suivi sous les noms de TraderTraitor, Lazarus Group et APT38) a intercepté un transfert programmé de fonds de l’un des portefeuilles froids de Bybit vers un portefeuille chaud, redirigeant ensuite la crypto-monnaie vers une adresse blockchain sous leur contrôle.
« Le Federal Bureau of Investigation (FBI) publie ce message d’intérêt public pour informer que la République Populaire démocratique de Corée (Corée du Nord) était responsable du vol d’environ 1,5 milliard de dollars d’actifs virtuels sur l’échange de crypto-monnaie, Bybit, le ou vers le 21 février 2025 », a déclaré le FBI dans un message d’intérêt public publié mercredi.
« Les acteurs de TraderTraitor procèdent rapidement et ont converti une partie des actifs volés en Bitcoin et d’autres actifs virtuels dispersés sur des milliers d’adresses sur plusieurs chaînes de blocs. On s’attend à ce que ces actifs soient encore blanchis et éventuellement convertis en monnaie fiduciaire. »
Depuis l’incident, l’enquêteur sur la fraude cryptographique ZachXBT a découvert plusieurs liens avec le tristement célèbre groupe de menaces nord-coréen après que les attaquants aient envoyé une partie des fonds Bybit volés à une adresse Ethereum utilisée dans les piratages Phemex, BingX et Poloniex précédemment liés aux pirates du groupe Lazarus.
Les conclusions de ZachXBT ont été confirmées par la société d’analyse de chaînes de blocs Elliptic et la société de renseignement sur les chaînes de blocs TRM Labs, qui ont partagé plus d’informations sur les tentatives des pirates pour ralentir les tentatives de traçage et ont constaté « des chevauchements substantiels observés entre les adresses contrôlées par les pirates Bybit et celles liées à des vols antérieurs en Corée du Nord. »
Mercredi, le PDG de Bybit, Ben Zhou, a également partagé deux autopsies préliminaires de l’incident de la société de cybersécurité Sygnia et de la société de sécurité financière Verichains, qui ont révélé que l’attaque provenait d’une infrastructure exploitée par la plate-forme de portefeuille multisig Safe{Wallet}.
La Safe Ecosystem Foundation a confirmé ses conclusions, révélant que l’attaque avait été menée en piratant d’abord une machine de développeur sécurisée{Wallet}, qui permettait aux pirates nord-coréens d’accéder à un compte exploité par Bybit.
« L’examen médico-légal de l’attaque ciblée du Groupe Lazarus sur Bybit a conclu que cette attaque ciblée sur le coffre-fort Bybit a été réalisée grâce à une machine de développement sécurisée{Wallet} compromise, ce qui a abouti à la proposition d’une transaction malveillante déguisée », a déclaré Safe.
L’agence fédérale américaine chargée de l’application de la loi a également partagé les adresses 51 Ethereum de ceux qui détenaient ou détiennent encore une crypto-monnaie volée à Bybit vendredi et qui étaient liés aux pirates de Lazarus.
Pour mettre en perspective la quantité de crypto-monnaie volée lors du braquage de crypto Bybit, la société d’analyse de blockchain Chainalysis a déclaré que des pirates nord-coréens avaient volé 1,34 milliard de dollars lors de 47 braquages de crypto tout au long de 2024.
Elliptic a également ajouté la semaine dernière que les acteurs de la menace nord-coréens avaient » volé plus de 6 milliards de dollars d’actifs cryptographiques depuis 2017, le produit aurait été dépensé pour le programme de missiles balistiques du pays. »