Comment le piratage de Bybit a eu lieu
Étape 1 : Le hacker a tendu un piège à l'avance
Le 19 février 2025, le hacker a créé un faux système de sécurité (un contrat malveillant) à l'adresse 0xbDd077f651EBe7f7b3cE16fe5F2b025BE2969516. Ce contrat n'a pas été utilisé immédiatement, mais c'était une préparation pour la véritable attaque.
Étape 2 : Tromper l'approbation multi-signature
Le portefeuille de Bybit utilise un système multi-signature, ce qui signifie que plusieurs approbations de haut niveau sont nécessaires pour tout changement majeur. Cependant, le 21 février, le hacker a réussi à obtenir trois signatures clés (soit volées, soit falsifiées). Avec celles-ci, ils ont remplacé le contrat de sécurité original par le leur, malveillant.
Ce changement est enregistré dans le hash de transaction :
0x46deef0f52e3a983b67abf4714448a41dd7ffd6d32d32da69d62081c68ad7882
Analogie : C'est comme un voleur entrant dans une banque avec une clé fausse et disant : "Je suis le propriétaire, je veux changer les serrures," et la banque l'approuvant sans rien remarquer de suspect.
Étape 3 : Planter une porte dérobée cachée
Le hacker a utilisé un truc DELEGATECALL, qui fonctionne comme une lettre d'autorisation invisible. Cela leur a permis d'insérer une porte dérobée cachée profondément à l'intérieur du système de portefeuille de Bybit à STORAGE[0x0].
L'adresse du contrôleur de la porte dérobée : 0x96221423681A6d52E184D440a8eFCEbB105C7242
Elle contenait deux fonctions secrètes :
sweepETH → Vole de l'Ethereum
sweepERC20 → Vole des tokens
Analogie : Le hacker a construit un compartiment caché à l'intérieur du coffre-fort de la banque, auquel seul lui pouvait accéder.
Étape 4 : Vidanger les fonds
Avec la porte dérobée en place, le hacker a activé les fonctions cachées et a vidé le portefeuille d'un clic, tout comme ouvrir à distance un coffre-fort et prendre tout ce qu'il y a à l'intérieur.
Résultat final : Tous les actifs du portefeuille chaud de Bybit ont été vidés avant que quiconque ne s'en aperçoive.
