Photo: Primakov / Shutterstock.com
Le 21 février, la plateforme d’échange de cryptomonnaies Bybit a été victime de l’un des plus gros piratages de l’histoire du secteur. Les pirates ont réussi à s’emparer de plus de 1,4 milliard de dollars d’actifs numériques, notamment de l’Ethereum (ETH) et d’autres cryptomonnaies.
L’attaque est attribuée au célèbre groupe de pirates nord-coréens Lazarus Group. La société de recherche Chainalysis a enquêté sur l’attaque et décrit comment les pirates ont opéré dans un nouveau rapport.
Qui est le Lazarus Group ?
Le Lazarus Group est l’un des groupes de pirates informatiques les plus connus au monde et est directement lié au gouvernement nord-coréen. Ses cyberattaques servent non seulement des objectifs financiers, mais aussi les stratégies géopolitiques du régime de Pyongyang.
Le groupe est apparu pour la première fois sous les feux de la rampe après le piratage très médiatisé de Sony Pictures en 2014, au cours duquel des données d’entreprise sensibles, des courriels privés et même des films inédits ont fait l’objet de fuites. Depuis lors, Lazarus s’est imposé comme un acteur redoutable de la cybercriminalité, en se concentrant sur le vol numérique et le sabotage financier.
Ces dernières années, le groupe s’est spécialisé dans les attaques contre les banques, les bourses de cryptomonnaies et les portefeuilles numériques. Il utilise des campagnes de phishing sophistiquées, des logiciels malveillants et l’ingénierie sociale pour accéder à ses cibles. Le secteur de la crypto a été particulièrement touché par leurs activités : ils sont tenus pour responsables de certains des plus gros piratages du secteur.
En 2018, ils ont réussi à voler 534 millions de dollars à la bourse japonaise Coincheck et, en 2022, ils ont mené une attaque contre Ronin Network au cours de laquelle 625 millions de dollars ont disparu. Les milliards capturés seraient utilisés pour financer le régime nord-coréen, notamment pour développer des armes et contourner les sanctions internationales.
Comment des pirates ont volé 1,4 milliard de dollars en cryptomonnaie à Bybit
Dans son rapport, Chainalysis décrit la manière dont les pirates ont procédé. L’attaque contre Bybit a commencé par une campagne d’hameçonnage ciblée sur les employés qui avaient accès aux portefeuilles froids de Bybit. Les pirates ont réussi à les amener à signer un contrat malveillant, ce qui leur a permis de remplacer la mise en œuvre d’un portefeuille à signatures multiples par une version manipulée.
Au cours d’un transfert de routine d’Ethereum d’un cold wallet vers un hot wallet, les attaquants ont intercepté le processus et envoyé 401 000 ETH à leurs propres adresses. Les fonds ont ensuite été répartis entre plusieurs portefeuilles intermédiaires afin d’en dissimuler l’origine.
Les pirates ont échangé une partie des ETH contre des BTC et des DAI par le biais d’échanges décentralisés, de ponts entre chaînes et de services d’échange sans obligation de rendre des comptes (no-KYC). Cependant, une grande partie des fonds volés n’a pas été touchée, une stratégie bien connue des pirates nord-coréens pour échapper à une vigilance accrue après un piratage et pour blanchir plus tard avec moins de risques.
Entre-temps, Bybit a déclaré la guerre au Lazarus Group.
Suivez nos dernières actualités sur les cryptomonnaies pour ne rien manquer des évolutions futures.