- Le Lazarus Group a été identifié comme le cerveau du vol massif de 1,4 milliard de dollars d’Ethereum sur la bourse de crypto-monnaies Bybit.
- En réponse, alors que l’enquête sur l’attaque se poursuit, Bybit a reçu le soutien de plusieurs échanges majeurs, y compris OKX et Coinbase.
Le célèbre Lazarus Group, un syndicat de pirates informatiques soutenu par l’État nord-coréen, a de nouveau été impliqué dans un vol massif de crypto-monnaies. L’analyste de sécurité en chaîne ZachXBT a identifié le groupe comme le cerveau du récent piratage de 401 346 ETH sur l’échange de crypto-monnaies Bybit. Ce qui représente un montant stupéfiant de 1,4 milliard de dollars en fonds volés.
À la suite de l’attaque, l’enquête de ZachXBT a permis de découvrir des preuves essentielles liant la violation au Lazarus Group. Ses conclusions ont ensuite été validées par Arkham Intelligence, une société d’analyse de la blockchain qui avait lancé une campagne de primes pour retrouver les auteurs de l’attaque.
Arkham a confirmé le lien dans un post sur X, déclarant :
Sa soumission comprenait une analyse détaillée des transactions de test et des portefeuilles connectés utilisés avant l’exploit, ainsi que de multiples graphiques médico-légaux et des analyses de synchronisation.
La campagne de récompense d’Arkham, qui proposait 50 000 jetons ARKM (d’une valeur approximative de 31 500 dollars), visait à recueillir des pistes crédibles sur les responsables de l’attaque.
Comment le piratage de Bybit s’est déroulé
La brèche a d’abord été détectée par l’analyste de sécurité de la chaîne ZachXBT, qui a signalé des transactions suspectes liées à l’attaque. Le PDG de Bybit, Ben Zhou, s’est rendu sur X pour expliquer comment l’exploit s’est produit. Selon le PDG de Bybit, Ben Zhou, le piratage a eu lieu à la suite d’une transaction masquée ciblant le cold wallet Ethereum multisig de la bourse. Expliquant l’incident, Zhou a déclaré que le portefeuille froid de Bybit a exécuté un transfert vers son portefeuille chaud, qui semblait initialement légitime.
Cependant, la transaction était masquée, affichant l’adresse correcte et une URL @safe apparemment authentique, trompant ainsi tous les signataires. À leur insu, le message de signature modifiait en fait la logique du contrat intelligent du portefeuille froid ETH de Bybit, ce qui permettait au pirate d’en prendre le contrôle. En conséquence, le pirate a réussi à vider le portefeuille. Il a ensuite transféré les fonds ETH vers une adresse non identifiée, exposant ainsi une vulnérabilité de sécurité critique dans le processus de signature.
Le pirate a exploité une vulnérabilité dans le processus de signature. Il a manipulé les détails de la transaction de sorte que l’équipe de Bybit autorise à son insu un transfert qui a donné le contrôle du portefeuille au pirate. Les actifs volés ont été rapidement dispersés dans plusieurs portefeuilles. Au moins 200 millions de dollars de stETH ont déjà été liquidés sur des bourses décentralisées.
Malgré la brèche, Bybit est resté opérationnel, continuant à traiter les retraits et à rassurer les utilisateurs sur la sécurité de leurs actifs. La bourse détient toujours plus de 20 milliards de dollars d’actifs, et ses portefeuilles froids, à l’exception de celui qui a été compromis, n’ont pas été touchés.
Conor Grogan, directeur de Coinbase, a salué la résistance de Bybit, soulignant que contrairement à FTX, qui s’est effondré en raison de problèmes de liquidité, Bybit reste financièrement stable. En outre, OKX, une bourse de crypto-monnaies basée aux Seychelles, a déployé son équipe de sécurité pour contribuer à l’enquête.
Le Lazarus Group s’est forgé une réputation notoire en orchestrant certains des plus grands vols de crypto-monnaies de l’histoire, ce qui témoigne d’une approche sophistiquée de la cybercriminalité. L’une de leurs premières brèches majeures s’est produite en 2017, lorsqu’ils ont volé 60 millions de dollars à l’échange sud-coréen Youbit, le forçant à la faillite.
En 2018, ils ont infiltré Bithumb, une autre bourse sud-coréenne, et se sont emparés de 30 millions de dollars. Cependant, en mars 2022, ils ont exécuté l’un des plus grands hacks cryptographiques jamais réalisés, en pénétrant dans le Ronin Network. C’était une sidechain basée sur Ethereum utilisée par le célèbre jeu de blockchain Axie Infinity. Ils y ont dérobé 625 millions de dollars.
