Passer au contenu

Comment les hackers nord-coréens sont passés maîtres dans le vol de cryptomonnaies

Le deuxième plus grand hack de tous les temps — 500 millions d’euros siphonnés auprès de Ronin Network — vient d’être attribué aux pirates de Pyongyang. Ces derniers dévalisent la cryptofinance depuis cinq ans avec succès.

Le 29 mars dernier, Ronin Network, une plate-forme de cryptomonnaies, annonce la disparition de 173 000 Ethers et 25,5 millions d’US Coins, soit l’équivalent d’environ 500 millions d’euros. C’est le plus grand vol de cryptomonnaies de tous les temps, après celui de Poly Network, qui s’est fait dépouiller de l’équivalent de 554 millions d’euros.

Le FBI vient maintenant de déterminer les auteurs de ces méfaits.

« Grâce à notre enquête, nous avons pu confirmer que Lazarus Group et APT38, des cyberacteurs associés à la République populaire de Corée du Nord, sont responsables du vol de 620 millions de dollars en Ethereum signalé le 29 mars », peut-on lire dans un tweet de l’agence fédérale.

Le département du trésor américain, de son côté, a interdit toutes transactions avec les adresses de portefeuille utilisées par les pirates.

A découvrir aussi en vidéo :

 

Comment les hackers de Pyongyang ont-ils réussi ce coup ? En exploitant savamment des failles dans le service « bridge », de Ronin Network, qui permet aux utilisateurs de passer d’une blockchain à une autre.
Pour réaliser ce type de transaction, il fallait obtenir l’accord d’au moins cinq nœuds de validation sur les neuf existants. Quatre nœuds sont gérés par Sky Mavis, l’entreprise vietnamienne, qui a créé Ronin Network. Les autres sont détenus par des tiers.

Les hackers nord-coréens ont réussi à récupérer les clés privées des nœuds de Sky Davis, probablement en utilisant des techniques d’ingénierie sociale. Ils ont également pu mettre la main sur la clé privée d’un nœud de validation tiers. Pour des raisons de gestion transactionnelle, celui-ci avait été mis temporairement sous le contrôle de Sky Mavis, mais ce droit n’a jamais été révoqué. Une négligence qui coûte cher.

Les analystes d’Elliptic ont établi qu’environ 20% des fonds volés ont d’ores et déjà été blanchis, principalement au travers de la plate-forme décentralisée Tornado Cash, une espèce de lessiveuse qui permet de brouiller les pistes dans les transactions Ethereum.
Ce vol est loin d’être le premier réalisé par les hackers de Pyongyang. Selon Chainanalysis, ils auraient récupéré l’équivalent de plus d’un milliard de dollars depuis 2017. Pas de doute, ce sont de vrais pros qui profitent du piètre niveau de sécurité des plates-formes de cryptomonnaie. Et ce n’est pas fini.

Sources : Elliptic, Chainanalysis, Ronin Network

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN