Aller de l'avant : Le braquage de Bybit

Ce qu’il s’est passé

Le 21 février 2025, l'unité de cybercrime nord-coréenne dirigée par ce qui est connu sous le nom de Lazarus Group, et plus spécifiquement désignée par le Federal Bureau of Investigation sous le nom de TraderTraitor, a intercepté un transfert routinier de Bybit entre un portefeuille froid et un portefeuille chaud, dérobant ainsi des actifs numériques d'une valeur de 1,46 milliard de dollars ou 401,000 ETH.

Ce montant exorbitant a été détenu à travers des milliers d'adresses sur plusieurs blockchains en attendant d'être blanchi. Dix jours après l’attaque, les 401,000 ETH avaient été blanchis en bitcoin, mais l’opération de traçage continue.

Les autorités s'attendent à ce que les cryptoactifs soient convertis de différentes cryptomonnaies en monnaie fiduciaire et que l'argent soit utilisé pour financer le programme nucléaire et de missiles balistiques de la Corée du Nord. Les efforts pour récupérer ces cryptoactifs se poursuivent tandis que les "esprits les plus brillants" du secteur de la cybersécurité se joignent à la tâche, et que des incitations et récompenses attirent des chasseurs de primes du monde entier.

L'ampleur de cette attaque la place parmi les plus grands vols de cryptomonnaies de l'histoire, dépassant même les précédents exploits du groupe Lazarus, comme le piratage de Ronin Bridge en 2022, qui avait entraîné une perte de 625 millions de dollars. Cette escalade met en évidence la sophistication croissante des opérations de cybercriminalité soutenues par des États et soulève des inquiétudes quant à l'évolution des défis de sécurité auxquels sont confrontées les plateformes d'actifs numériques.

Si les premiers rapports concernant le piratage de Bybit indiquent que le Lazarus Group a exploité les vulnérabilités des contrats intelligents dans le protocole de conservation Safe, les rapports d'expertise révèlent que l'infrastructure elle-même ne contenait pas de vulnérabilités.

Au lieu de cela, il semble qu'un développeur de Safe ait été ciblé par des tactiques d'ingénierie sociale. Le Lazarus Group a obtenu l'accès à ses informations d'identification et les a utilisées pour mettre en œuvre des logiciels malveillants qui masquent les détails de la transaction, permettant ainsi à des acteurs frauduleux de prendre le contrôle de la transaction et d'en détourner les fonds. Ces pirates sophistiqués ont exploité les lacunes dans la visibilité des transactions au sein des systèmes multisignatures pour tromper les gardiens du portefeuille et les amener à signer une transaction qui leur semblait routinière, mais qui en était en vérité une version malveillante.

Les analystes en sécurité ont souligné que cette violation met en évidence le danger croissant des attaques sur la chaîne d'approvisionnement au sein de l'écosystème des cryptomonnaies. Plutôt que de cibler directement les contrats intelligents ou l'infrastructure des échanges, les attaquants se concentrent désormais sur la compromission de l'élément humain—développeurs et équipes de sécurité—par le biais de campagnes de phishing sur mesure, d'offres d'emploi infectées par des logiciels malveillants et de techniques sophistiquées d'usurpation d'identité.

Ce qu’on en retient

Le piratage de Bybit a rappelé à la communauté crypto qu'elle doit prendre, d'une part, des mesures plus importantes pour se protéger contre les attaques d'ingénierie sociale, que l'on soit un employé d'une société de cryptomonnaie, un trader régulier ou un utilisateur occasionnel. D'autre part, le vol a permis de mieux faire connaître les vulnérabilités des systèmes de portefeuilles à signatures multiples, notamment en ce qui concerne l'approbation aveugle de transactions qui semblent de routine mais qui sont en fait malveillantes.

Dans le sillage de cette crise d'envergure, Bybit a réagi rapidement et de manière transparente, en collaborant avec les autorités compétentes et en communiquant avec ses clients. Plusieurs échanges concurrents ont également fait preuve de solidarité à l’égard de Bybit en plaçant les portefeuilles des pirates sur liste de rejet afin d'empêcher les fonds de circuler et d'être convertis sans pouvoir être retracés dans une démonstration impressionnante de la force de l'industrie.

Les discussions à l'échelle de l'industrie se sont intensifiées sur la nécessité d'établir des cadres de sécurité standardisés pour les échanges de cryptomonnaies et les services de garde. Les régulateurs et les organismes de conformité poussent désormais à la mise en place d'audits de sécurité plus robustes, de tests de pénétration obligatoires et de systèmes de détection d'anomalies en temps réel capables de signaler des transactions suspectes avant leur validation.

L'incident a également ravivé les débats sur la question de savoir si les entités centralisées devraient avoir une plus grande autorité pour intervenir dans les transactions on-chain dans des circonstances extraordinaires. Alors que certains plaident pour la capacité de geler les fonds volés et d'inverser les transactions malveillantes, les critiques soutiennent que de telles mesures compromettraient la nature décentralisée des cryptomonnaies, établissant potentiellement un précédent dangereux pour de futures interventions.

Désormais, la sécurité, la vigilance et la communauté seront renforcées au sein de l'industrie cryptographique, mais pour éviter qu'un tel événement ne se reproduise, les formations à la sécurité et la sensibilisation au phishing doivent être améliorées. Les systèmes multisignatures doivent être révisés afin de ne pas reposer sur l'approbation aveugle des transactions sans information supplémentaire.