Introduction

Le soir du 21 février 2025, la bourse de cryptomonnaie mondiale Bybit a connu le plus grand piratage de l'histoire de l'industrie de la cryptomonnaie. Au cours de la violation, plus de 500 000 ETH, stETH et mETH ont été prélevés des portefeuilles de Bybit, les pertes totales dépassant 1,46 milliard de dollars selon les prix du marché de ce jour-là. Les actifs volés ont été rapidement transférés à des adresses de portefeuille non identifiées. Cette attaque a dépassé le piratage de Poly Network en 2021, qui a vu 611 millions de dollars volés, en en faisant le vol de cryptomonnaie le plus important.

Source: https://www.ic3.gov/PSA/2025/PSA250226

Source: https://x.com/benbybit/status/1894768736084885929

Fondée en 2018, Bybit est l'une des plus grandes bourses de crypto-monnaies au monde, avec un volume moyen de transactions quotidien dépassant 36 milliards de dollars. Selon CoinMarketCap, Bybit détenait environ 16,2 milliards de dollars d'actifs avant le piratage, ce qui signifie que l'Ethereum volé représentait environ 9% de ses avoirs totaux.

L'analyste en chaîne ZachXBT a fourni des preuves suggérant que le piratage a probablement été effectué par le groupe de piratage lié à la Corée du Nord, Lazarus Group. Il a reçu une prime de 30 000 $ pour son enquête sur la vulnérabilité.

Source :https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

Chronologie de l'incident

Le Hack

Les attaquants ont utilisé une interface utilisateur (UI) falsifiée pour infiltrer l'ordinateur d'un employé de Safe (fournisseur de portefeuille), ciblant spécifiquement l'interface frontale du système Safe de Bybit. En imitant une interface utilisateur légitime, les pirates informatiques ont pu compromettre le portefeuille froid multi-signatures ETH de Bybit. Les pirates ont discrètement modifié le contenu de la transaction pendant ce qui semblait être un processus de transaction normal.

Étant donné que les signataires croyaient qu'ils autorisaient une transaction légitime, ils n'ont pas détecté qu'elle avait été remplacée par un contrat malveillant. Cela a entraîné le transfert non autorisé de 1,46 milliard de dollars d'ETH vers des adresses inconnues contrôlées par les attaquants.

Flux d'attaque, méthodes et défense :

Mouvement de fonds et blanchiment d'argent

Entre 15h00 et 16h30 le 21 février 2025, les pirates ont achevé la majorité des transferts de fonds. Après l’attaque, il ne restait plus qu'environ 3 millions de dollars d'ETH dans le portefeuille principal. L'ETH volé a été divisé en 40 transactions de 10 000 ETH chacune, tandis que le stETH et le mETH ont été distribués à plusieurs portefeuilles différents pour obscurcir la trace des fonds. Par la suite, les pirates ont utilisé des échanges décentralisés (DEX) pour fragmenter et blanchir davantage les fonds, dans le but d'effacer toutes les traces.

Source: https://www.lazarusbounty.com/fr?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

Impact sur le marché

Même avant que Bybit ne confirme officiellement le piratage, les prix du BTC et de l'ETH ont commencé à baisser. Dans les heures suivant l'annonce, le Bitcoin a chuté de 3%, tandis qu'Ethereum a baissé de 7%.

Pendant le week-end, l'ETH a rebondi à 2 800 $ suite à un rachat initié par Bybit, mais a de nouveau baissé d'ici lundi. Le pirate informatique est désormais le 14e plus grand détenteur d'ETH, et une telle concentration de fonds peut exercer une pression à la baisse sur les perspectives de marché d'Ethereum.

Source: https://x.com/Bybit_Official/status/1893585578706227545

Controverse sur les protocoles de chaîne croisée

Le groupe Lazarus utilise fréquemment des protocoles d'échange inter-chaînes comme THORChain pour convertir les actifs volés en Bitcoin. THORChain facilite les échanges directs entre différentes blockchains, telles que ETH à BTC, sans passer par des échanges centralisés.

Selon THORChain Explorer, le volume du protocole sur 24 heures le 5 mars a atteint 93 millions de dollars. Les développeurs à l’origine du protocole ont été sévèrement critiqués pour avoir prétendument permis des transactions illicites par des pirates nord-coréens.

Source : https://thorchain.net/dashboard

Qu'est-ce que le groupe Lazarus ?

Lazarus Group est l’une des organisations de piratage les plus actives et les plus notoires au monde. Le nom « Lazare » vient de la figure biblique ramenée à la vie, symbolisant la résilience et la résurgence.

Aussi appelé "Gardiens", "Paix", ou "Équipe Whois", l'adhésion du groupe et sa structure interne restent largement inconnues. Cependant, il est largement admis qu'il opère sous le contrôle direct du gouvernement nord-coréen. Initialement en tant que gang de cybercriminels, Lazarus a évolué au fil du temps en raison de l'ampleur et de la sophistication de ses attaques. Il est maintenant considéré comme un groupe de Menace Persistante Avancée (APT).

Différentes institutions appellent Lazarus par divers noms :

• Le Département de la Sécurité intérieure des États-Unis l'appelle « Hidden Cobra »
• Microsoft le désigne sous le nom de « ZINC » ou « Diamond Sleet »

Selon l'ancien officier du renseignement nord-coréen Kim Kuk-song, le groupe est connu en interne en Corée du Nord sous le nom de Bureau de liaison 414.

Le Département de la Justice des États-Unis a déclaré que le groupe Lazarus opère comme une extension de l'État nord-coréen. Ses activités vont au-delà de la perturbation cybernétique et comprennent des efforts pour contourner les sanctions internationales et générer des revenus illicites. En menant des cyberattaques à faible coût et à fort impact, la Corée du Nord peut déployer de petites équipes de pirates informatiques qui posent des menaces importantes aux systèmes financiers mondiaux et aux infrastructures critiques, en particulier en Corée du Sud et dans les pays occidentaux.

Source: https://fr.wikipedia.org/wiki/Groupe_Lazarus

Structure organisationnelle

Le groupe Lazarus est principalement composé de deux branches:

1. BlueNorOff

Aussi connu sous le nom de APT38, Stardust Chollima, ou BeagleBoyz, BlueNorOff se concentre sur la cybercriminalité financière, impliquant souvent des transactions SWIFT frauduleuses pour déplacer des fonds illégalement. Le groupe a ciblé des institutions financières dans divers pays, les fonds volés étant censés soutenir les programmes de missiles et d'armes nucléaires de la Corée du Nord.

Leur opération la plus tristement célèbre a eu lieu en 2016, lorsqu'ils ont tenté de voler près de 1 milliard de dollars via le réseau SWIFT. Une faute d'orthographe dans l'une des instructions a empêché la Réserve fédérale de New York de mener à bien une partie des transferts. BlueNorOff utilise des tactiques telles que le phishing, les portes dérobées, les exploits et les logiciels malveillants (par exemple DarkComet, WannaCry). Ils collaborent également avec d'autres groupes de cybercriminels pour étendre les canaux d'argent illicites, augmentant ainsi les risques mondiaux en matière de cybersécurité.

2. Andariel

Aussi connu sous le nom de "Silent Chollima," "Dark Seoul," "Rifle," et "Wassonite," Andariel se spécialise dans les cyberattaques ciblant la Corée du Sud, et est connu pour ses opérations furtives. Selon un rapport de l'armée américaine de 2020, le groupe est composé d'environ 1 600 membres responsables de la reconnaissance cybernétique, des évaluations de vulnérabilité et de la cartographie des infrastructures réseau ennemies pour préparer des attaques futures.

Outre la Corée du Sud, Andariel a également lancé des attaques contre des agences gouvernementales, des infrastructures critiques et des entreprises dans d'autres pays.

Source : https://home.treasury.gov/news/press-releases/sm774

Opérations passées

Au fil des ans, le groupe Lazarus a lancé une série de cyberattaques dans le monde entier. À partir des premières campagnes de DDoS comme l'opération Troy (2009) et les dix jours de pluie (2011), ils ont évolué vers des opérations plus complexes impliquant :

• Effacement de données (par exemple, Opération Dark Seoul, 2013)
• Vol de données (p. ex., Sony Pictures Hack, 2014)
• Braquages financiers (à partir de 2015)

Depuis 2017, le groupe a ciblé fortement le secteur de la cryptomonnaie, lançant des attaques sur:

• Les échanges comme Bithumb, Youbit, Atomic Wallet et WazirX
• Les ponts inter-chaînes comme Horizon Bridge
• Jeux blockchain comme Axie Infinity

Leurs campagnes ont volé des milliards de dollars d'actifs numériques.

Ces dernières années, Lazarus a continué à se développer dans de nouveaux secteurs, notamment la santé, la cybersécurité et les jeux en ligne. En 2023 seulement, le groupe a causé environ 300 millions de dollars de pertes, ce qui représente 17,6% de tous les dommages causés par le piratage dans le monde.

Source: https://x.com/Cointelegraph/status/1894180646584516772

Comment les plateformes répondent aux attaques de pirates informatiques

Les bourses de crypto adoptent généralement une stratégie de sécurité globale basée sur quatre piliers clés : la prévention, la détection, la réponse aux incidents et la récupération.

1. Mesures préventives (Défense proactive)

• Renforcer l'architecture de sécurité : mettre en œuvre la séparation des portefeuilles froids et chauds, stocker la plupart des actifs dans des portefeuilles froids hors ligne, et utiliser des mécanismes d'autorisation multi-signatures (multi-sig).
• Contrôle d'accès strict : Limitez l'accès des employés aux données sensibles et adoptez un modèle de sécurité Zero Trust pour atténuer les menaces internes ou les systèmes internes compromis.
• Renforcer la sécurité des contrats intelligents : Effectuer des audits approfondis des contrats intelligents pour éviter les vulnérabilités telles que les attaques de réentrance et les débordements d'entiers.
• Authentification multi-facteur (MFA) : Exiger que tous les administrateurs et utilisateurs activent l'authentification à deux facteurs (2FA) pour réduire le risque de prise de contrôle de compte.
• Protection contre les attaques DDoS : utilisez des réseaux de diffusion de contenu (CDN) et des proxies inverses pour vous défendre contre les attaques par déni de service distribué (DDoS), garantissant la disponibilité de la plateforme.

2. Détection en temps réel (Identification rapide des menaces)

• Surveillance des anomalies : tirez parti de l'IA et de l'apprentissage automatique pour détecter les schémas de transactions suspects et signaler les retraits inhabituels ou les transferts importants.
• Analyse On-Chain : Collaborer avec des sociétés de renseignement blockchain comme Chainalysis et Elliptic pour surveiller les adresses blacklistées et bloquer les flux de fonds illicites.
• Journaux d'audit : Maintenir des journaux complets de toutes les opérations sensibles (par exemple, retraits, modifications de permissions) et réaliser des audits en temps réel.

Source : demo.chainalysis.com

3. Réponse aux incidents (protocoles post-attaque)

• Gel immédiat du compte : Dès la détection de retraits suspects, suspendre rapidement les comptes concernés et geler les transferts de fonds pour éviter de nouvelles pertes.
• Notifier les partenaires : alertez rapidement les autres plateformes d’échange, les sociétés de sécurité blockchain et les organismes d’application de la loi pour qu’ils suivent les actifs volés.
• Corriger les vulnérabilités : analyser rapidement le vecteur d'attaque, sceller toutes les vulnérabilités et prévenir les récidives.
• Communication transparente avec les utilisateurs : publier rapidement des annonces pour informer les utilisateurs de l'incident et des mesures de remédiation.

4. Récupération d'actifs (Atténuation des pertes)

• Collaboration en matière d'application de la loi : Travailler avec des agences internationales telles que le FBI, Interpol et des sociétés de traçage de la blockchain pour récupérer les fonds volés.
• Indemnisation d'assurance : Certaines plateformes maintiennent des polices d'assurance contre le piratage pour indemniser les utilisateurs affectés.

• Fonds d’urgence : Établissez des fonds d’urgence tels que le SAFU (Secure Asset Fund for Users) de Gate.io pour protéger les actifs des utilisateurs lors d’incidents critiques.

  Au 5 mars 2025, le fonds de réserve de Gate.io s'élevait à 10,328 milliards de dollars, soulignant sa force financière et ses capacités de protection des utilisateurs.

Source : www.gate.io

Source: https://www.gate.io/safu-user-assets-security-fund

La pierre angulaire de la cybersécurité d'une plateforme crypto réside dans le principe :

"Prévention d'abord, détection rapide, réponse efficace et forte récupération."

Les plateformes peuvent maximiser la protection des actifs des utilisateurs en combinant une architecture de sécurité optimisée, une analyse on-chain et des mécanismes de réponse rapide.

Comment les utilisateurs peuvent-ils protéger leurs actifs crypto

Les crypto-monnaies sont entièrement numériques, et une fois perdues ou volées, il est généralement impossible de les récupérer par des moyens traditionnels (par exemple, les banques). Par conséquent, il est essentiel de prendre des précautions de sécurité strictes. Vous trouverez ci-dessous les principales stratégies de protection de vos crypto-actifs :

1. Choisissez des méthodes de stockage sécurisées

Stockage à froid :

• Utilisez des portefeuilles matériels (comme Ledger, Trezor) ou des portefeuilles papier pour stocker la plupart des actifs hors ligne, à l’abri des attaques sur Internet.
• Remarque : Manipulez les portefeuilles matériels avec soin pour éviter tout dommage ou perte physique. Vérifiez toujours soigneusement les transactions avant de les signer, ne confirmez jamais aveuglément.

Portefeuilles chauds :

• Utilisez uniquement pour stocker de petites sommes destinées aux transactions quotidiennes. Évitez de stocker de gros avoirs.
• Choisissez des portefeuilles réputés (par exemple, MetaMask, Trust Wallet) et maintenez le logiciel régulièrement à jour.

Source: https://metamask.io/

2. Protégez vos clés privées et phrases de récupération

• Ne partagez jamais : Votre clé privée ou votre phrase de récupération est le seul identifiant permettant d'accéder à vos actifs. Ne la partagez jamais avec quelqu'un.
• Sauvegarde sécurisée : Notez votre phrase de récupération et stockez-la dans un endroit ignifuge et étanche (par exemple, un coffre-fort). Évitez de l'enregistrer sur des appareils connectés à Internet.
• Stockage fractionné : envisagez de diviser la phrase de récupération en plusieurs parties et de stocker chacune d’entre elles dans des emplacements différents pour renforcer la sécurité.

3. Sécurité du compte et de l'échange

• Activer l'authentification à deux facteurs (2FA) : Utilisez des applications comme Google Authenticator au lieu de la 2FA basée sur SMS, qui est vulnérable au détournement. \
  Google Authenticator sur le Play Store
• Mots de passe forts : Utilisez un mot de passe d'au moins 12 caractères, comprenant des majuscules, des minuscules, des chiffres et des symboles. Changez régulièrement de mot de passe.
• Diversifier le stockage : Ne stockez pas tous vos actifs cryptographiques dans un seul portefeuille ou échange.
• Choisissez des échanges sécurisés : optez pour des plateformes dotées de fonctionnalités telles que la protection contre les attaques DDoS et le stockage à froid, et retirez rapidement les gros fonds vers des portefeuilles privés.
• Désactiver l'accès API inutile : Empêcher le vol via des exploits API.
• Utilisez des passkeys : Authentifiez-vous en toute sécurité avec une approbation basée sur l'appareil au lieu de mots de passe.

Source: play.google.com

4. Prévenir les attaques cybernétiques

• Méfiez-vous de l’hameçonnage : vérifiez toujours les URL des sites Web et évitez de cliquer sur des e-mails, des SMS ou des liens de médias sociaux inconnus.
• Appareil dédié: envisagez d'utiliser un appareil séparé exclusivement pour les transactions de crypto afin d'éviter l'exposition aux logiciels malveillants ou aux sites Web risqués.
• Vérifier les adresses de transfert : vérifiez l’adresse avant d’envoyer des fonds pour éviter le détournement du presse-papiers. \
  Source: Kratikal on Clipboard Hijacking
• Évitez le Wi-Fi public : utilisez un VPN et évitez de faire des transactions sur des réseaux non sécurisés.

Source: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5. Sécurité des contrats intelligents et DeFi

• Utilisez uniquement des contrats intelligents de confiance : n'engagez-vous qu'avec des contrats audités par des sociétés de sécurité bien connues.
  Meilleurs auditeurs blockchain par AlchemyTestez avec de petits montants: Commencez par une petite transaction de test avant de vous engager avec des fonds importants.
• Évitez les arnaques à haut rendement : soyez prudent à l'égard des projets DeFi, NFT ou de yield farming qui promettent des rendements inhabituellement élevés.

Source :https://www.alchemy.com/best/blockchain-auditing-companies

6. Stratégie de sécurité à long terme et planification d'urgence

• Utilisez des portefeuilles Multisig : Exigez plusieurs approbations pour autoriser les transactions, idéal pour la gestion d'actifs de grande valeur.
• Audits réguliers: Examinez périodiquement les soldes d'actifs et les historiques de transactions à la recherche d'anomalies.
• Planification juridique et successorale : incluez les avoirs en crypto dans votre plan successoral ou dans la documentation de votre fiducie pour éviter des pertes irréversibles dues à la perte de clés.
• Rester discret : ne pas étaler sa richesse en crypto sur les réseaux sociaux ou les forums publics pour éviter de devenir une cible des hackers.

Source: coindesk.com

Conclusion

Cet incident a non seulement entraîné des pertes financières importantes pour Bybit, mais a également soulevé des préoccupations plus larges concernant la confiance et la sécurité au sein de l'industrie de la cryptographie. À l'avenir, les échanges, les équipes de projets et les utilisateurs doivent accorder une plus grande importance aux pratiques de sécurité robustes. Les domaines clés sur lesquels il convient de se concentrer incluent la gestion des clés privées, la mise en œuvre de portefeuilles multi-signatures et des audits approfondis des contrats intelligents.

À mesure que les cybermenaces deviennent plus sophistiquées, on s'attend à ce que les organes de réglementation mondiaux introduisent des exigences de sécurité plus strictes. Le Groupe d'action financière (GAFI), par exemple, fait avancer de nouvelles propositions de lutte contre le blanchiment d'argent qui ciblent les protocoles inter-chaînes pour renforcer la surveillance des plateformes décentralisées et des interactions multi-chaînes. Parallèlement, des organismes tels que la SEC américaine et les régulateurs européens pourraient accroître leur vigilance à l'égard des normes de sécurité des échanges et plaider en faveur de mesures de conformité KYC et AML plus strictes.

Pour les investisseurs individuels, la protection des actifs numériques nécessite une approche proactive. Cela inclut le choix de plates-formes avec de solides antécédents en matière de sécurité, la diversification des méthodes de stockage des actifs et la prise de conscience des risques émergents. Alors que l'écosystème crypto continue d'évoluer, la sécurité doit rester une priorité essentielle pour garantir une croissance durable et la confiance des utilisateurs.