La semaine dernière, l’industrie crypto a été marquée par une cyberattaque d’envergure contre la plateforme Bybit. Orchestrée par les pirates nord-coréens de Lazarus, l’attaque s’est soldée par le vol de plus de 1,5 milliard de dollars en cryptomonnaies. En dépit du montant colossal dérobé par les cybercriminels, l’exchange est vite parvenu à assurer toutes les demandes de retrait de ses utilisateurs, et à combler le déficit en quelques jours.
Alors que la poussière retombe, les efforts combinés des chercheurs en sécurité, des experts de la blockchain et des équipes de Bybit sont venus lever le voile sur le déroulement de la cyberattaque. Une semaine après les faits, on sait désormais comment les pirates s’y sont pris pour organiser le plus gros casse de l’histoire des cryptomonnaies.
A lire aussi : Le Bitcoin continue sa dégringolade et passe sous les 80 000 dollars
L’origine du hack de Bybit
Lazarus a d’abord pris le temps d’identifier les protocoles de sécurité employés par Bybit. L’exchange avait pris l’habitude de stocker une grande partie des Ethers de ses utilisateurs sur un portefeuille froid, conformément aux meilleures pratiques de l’industrie. Pour plus de sécurité, Bybit a ajouté un système de multisignatures. Il faut impérativement l’accord de plusieurs entités pour réaliser des transactions.
La plateforme s’appuie sur Safe (anciennement connu sous le nom de Gnosis Safe), une solution de gestion d’actifs numérique qui repose sur un système multisig (multi-signature) pour accroitre la protection des cryptomonnaies. Lazarus a estimé que Safe était le maillon faible de la sécurité de l’exchange.
De facto, les hackers ont commencé par pirater l’un des développeurs de Safe. Avec le compte du développeur, ils ont pu accéder à l’un des serveurs Amazon utilisés par Safe. On ignore complètement comment les criminels de Lazarus ont pu compromettre le compte. Le développeur a pu tomber dans le piège d’une attaque phishing ou ses identifiants ont pu être récoltés par un virus.
Un script malveillant a piégé Bybit
Comme l’indiquent les chercheurs de Sygnia et de Verichains, Lazarus s’est alors empressé de glisser un script Javascript malveillant dans l’interface de Safe. Celui-ci a été programmé pour modifier l’interface de Safe. Concrètement, le script devait altérer les adresses des transactions de routine réalisées par les équipes de Bybit. Piégés par la version compromise de Safe, les employés ont validé la transaction, sans se rendre compte qu’ils envoyaient les cryptos des utilisateurs sur une adresse blockchain inconnue. Le code malveillant a été repéré dans le cache de Chrome sur l’ordinateur des trois signataires de la transaction. Il a aussi été découvert dans une sauvegarde archivée sur Wayback Machine.
— Safe.eth (@safe) February 26, 2025
Safe n’a pas tardé à confirmer qu’un de ses ingénieurs avait effectivement été piraté. Par contre, « l’examen médico-légal des chercheurs en sécurité externes n’a indiqué aucune vulnérabilité dans les contrats intelligents Safe ou dans le code source », affirme Safe, cherchant à rassurer ses utilisateurs.
À lire aussi : les 7 événements crypto les plus attendus de 2025
Blanchiment d’argent en cours
Toutes les parties impliquées dans l’enquête s’accordent à dire que c’est bien Lazarus qui s’est attaqué à Bybit. Le FBI a confirmé dans un communiqué que « la Corée du Nord (République populaire démocratique de Corée) était à l’origine du vol ». Les cryptomonnaies volées doivent en effet venir gonfler les finances du gouvernement de Kim Jong Un, et financer son programme de missiles balistiques. Les sociétés d’analyse Elliptic et TRM Labs sont arrivées à la même conclusion.
Une fois leur butin entre leurs mains, les pirates nord-coréens n’ont pas tardé à blanchir les fonds. Ils sont d’abord passés par une quarantaine d’adresses blockchain différentes et plusieurs services de mixages, comme eXch, ce qui brouille considérablement les pistes. Les hackers ont massivement converti les actifs en Bitcoin, afin d’échapper à d’éventuelles mesures de blocage.
Le processus de blanchiment d’argent est toujours en cours. Ils « avancent rapidement et ont déjà converti une partie des actifs volés en Bitcoin et en d’autres cryptomonnaies, répartis sur des milliers d’adresses à travers plusieurs blockchains », ajoute le FBI. Des recoupements ont été constatés entre les adresses utilisées par les pirates de Bybit et celles associées à d’anciens vols attribués à la Corée du Nord.
« La Corée du Nord a développé une expertise avancée et redoutablement efficace, non seulement pour infiltrer les organisations ciblées et dérober des cryptoactifs, mais aussi pour dissimuler ces fonds à travers des milliers de transactions sur la blockchain », relate Elliptic dans son rapport sur l’affaire.
Plus de 50 % des cryptos déjà blanchies
Avec l’aide des chercheurs en sécurité, Bybit fait tout son possible pour geler les fonds avant qu’ils ne disparaissent dans les caisses de Lazarus. L’exchange offre une prime à toutes les personnes qui participent à la traque des pirates à travers les réseaux blockchain. N’importe quel participant peut gagner jusqu’à 10 % du montant récupéré grâce à ses actions.
Malgré les efforts de Bybit, Lazarus est parvenu à blanchir plus de la moitié des cryptomonnaies dérobées, selon la plateforme Lookonchain. Dans la journée du vendredi 28 février, soit une semaine après l’attaque, 54 % du butin a été blanchi. Il ne peut plus être récupéré. Comme le souligne Elliptic, « la Corée du Nord est l’acteur le plus sophistiqué et le mieux financé du marché en matière de blanchiment de crypto-actifs, ajustant en permanence ses méthodes pour éviter toute identification et confiscation des fonds volés ».
The #Bybit hacker is laundering funds via #THORChain!
So far, the #Bybit hacker has laundered 270K $ETH($605M, 54% of the stolen funds) and still holds 229,395 $ETH($514M). pic.twitter.com/NtcKUpxsxc
— Lookonchain (@lookonchain) February 28, 2025
Bonne nouvelle, un peu plus de 40 millions de dollars ont tout de même pu être gelés avant que Lazarus réagisse, révèle Chainalysis dans son propre rapport. Gageons que davantage de cryptomonnaies seront interceptées dans les jours et les semaines à venir.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
