Vendredi dernier, Bybit, une importante plateforme d’échange de cryptomonnaies, a été victime d’une cyberattaque. Un pirate est parvenu à dérober 1,46 milliard de dollars en Ether (ETH) appartenant aux clients de l’exchange. En fait, les trois quarts des ethers déposés par des utilisateurs ont été subtilisés.
À lire aussi : le piratage de plateformes crypto est devenu « un travail à temps plein »
Un piratage record pour la crypto
C’est le « plus grand vol de cryptos de tous les temps », souligne Tom Robinson de la société de sécurité Elliptic. Le précédent record remonte en effet à 2022. Des cybercriminels avaient dérobé 624 millions de dollars à Ronin Network. Comme l’explique Ben Zhou, PDG de Bybit, les attaquants sont parvenus à compromettre un « portefeuille froid multisig » utilisé par l’entreprise. Prudent, Bybit stockait une partie de ses fonds sur un portefeuille froid, ou cold wallet, justement dans l’espoir de se protéger des pirates. L’exchange avait aussi mis en place un système de multisignatures. Les comptes de Bybit requièrent l’approbation de plusieurs entités pour valider une transaction. Les cryptomonnaies ne peuvent être transférées que si toutes les parties donnent leur accord. Malheureusement, les hackers sont parvenus à abuser d’un transfert prévu entre le cold wallet, non relié à Internet, et un autre portefeuille sous contrôle de l’exchange.
« Il semble que cette transaction ait été manipulée. Tous les signataires ont vu une interface utilisateur falsifiée affichant la bonne adresse. Cependant, le message de signature était conçu pour modifier la logique du contrat intelligent de notre portefeuille froid en ETH. En conséquence, le pirate a pris le contrôle de ce portefeuille et a transféré tous les ETH vers une adresse inconnue », relate Ben Zhou peu après l’attaque.
Bybit ETH multisig cold wallet just made a transfer to our warm wallet about 1 hr ago. It appears that this specific transaction was musked, all the signers saw the musked UI which showed the correct address and the URL was from @safe . However the signing message was to change…
— Ben Zhou (@benbybit) February 21, 2025
Les individus censés signer la transaction ont été manipulés. L’équipe de Bybit croyait valider un simple transfert entre ses portefeuilles. En réalité, elle signait une transaction qui modifiait le contrat intelligent du portefeuille froid, permettant au pirate de prendre le contrôle et de vider les fonds. In fine, les fonds ont été transférés sur des adresses blockchain détenues par les pirates. Dans les détails, les hackers ont envoyé l’argent sur près de 50 adresses différentes, dans l’espoir de brouiller les pistes. C’est ce qu’a découvert le chercheur spécialisé ZachXBT en consultant la blockchain. Bybit précise que ses systèmes internes n’ont pas été compromis. Le hack a uniquement affecté le wallet stockant ses ethers.
Vague de retraits sur Bybit
En dépit de ce piratage d’envergure, Bybit reste en mesure de rembourser tous ses utilisateurs. Le patron du groupe indique que Bybit reste « solvable même si cette perte due au piratage n’est pas récupérée, tous les actifs des clients sont garantis à un ratio de 1:1, et nous sommes capables d’absorber cette perte ». Plusieurs experts de la blockchain ont pu confirmer que la plateforme disposait bien des fonds nécessaires pour couvrir la perte.
Néanmoins, Bybit a annoncé la suspension temporaire des dépôts en ethers. Les retraits sont cependant restés ouverts pendant tout l’incident. Sans surprise, l’exchange a enregistré une explosion des demandes de retraits dans le sillage du piratage. De nombreux investisseurs, craignant pour leurs actifs, ont tenté de retirer leurs cryptomonnaies. La plateforme a enregistré un volume de transactions cent fois supérieur à la normale, ce qui ralentit le traitement des demandes, notamment pour les retraits de montants élevés. Des vérifications de sécurité renforcées seront cependant mises en place. Selon Ben Zhou, « Bybit a enregistré un nombre record de retraits, avec plus de 350 000 demandes au total ». À ce jour, « il en reste environ 2 100 à traiter ». Au total, « 99,994 % des retraits ont déjà été effectués ». Peu après, toutes les demandes ont été traitées, se félicite Ben Zhou :
« 12 heures après le pire piratage de l’Histoire. TOUS les retraits ont été traités. Notre système de retrait est maintenant entièrement revenu à son rythme normal, vous pouvez retirer n’importe quel montant et ne subir aucun retard ».
Dans ce contexte compliqué, Bybit a reçu l’aide de plusieurs autres géants de la cryptomonnaie, à commencer par Binance. Plusieurs mastodontes de l’industrie ont proposé une myriade de prêts en cryptos à Bybit afin de compenser au plus vite la perte de cryptos. Grâce à ces prêts, Bybit a pu combler le trou béant laissé par les cybercriminels au cours du week-end.
Un coup de Lazarus
Bien vite, il s’est avéré que l’attaque a été orchestrée par Lazarus, un gang de pirates financés par la Corée du Nord. Depuis des années, les cybercriminels dérobent des montagnes de cryptoactifs sur ordre du gouvernement nord-coréen. Ils sont notamment à l’origine du hack du Ronin Network, évoqué un peu plus haut. Selon les chercheurs blockchain d’Arkham Intelligence, il existe des preuves irréfutables que le vol a bien été perpétré par Lazarus, qui est devenu un expert dans le domaine. En un an, le gang dérobe généralement plus d’un milliard de dollars en cryptomonnaies.
BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT
At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.
His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5
— Arkham (@arkham) February 21, 2025
Tout au long du week-end, les cybercriminels de Lazarus ont tout mis en œuvre pour blanchir les fonds subtilisés et disparaitre des radars. Dans un premier temps, « les fonds volés ont été envoyés vers un portefeuille principal, qui les a ensuite redistribués vers plus de 40 portefeuilles », explique la firme Nansen à CoinDesk. Les attaquants « ont converti l’intégralité des stETH, cmETH et mETH en ETH, puis ont transféré l’ETH par tranches de 27 millions de dollars vers plus de 10 autres portefeuilles ».
Pour blanchir leur butin, les pirates de Lazarus disposent d’une solide expertise. Au fil des ans, ils ont mis au point plusieurs tactiques pour brouiller les pistes, et distancer les autorités. Ils passent notamment par plusieurs services de mixage, qui vont mélanger les actifs afin que ceux-ci soient difficiles à pister. Aux dernières nouvelles, 500 millions doivent encore être transférés par les pirates.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
