Dans un coup dur pour l'industrie de la cryptomonnaie, Bybit a confirmé vendredi qu'il était tombé victime d'une cyberattaque hautement sophistiquée, entraînant le vol de plus de 1,5 milliard de dollars d'un de ses portefeuilles froids. Cette violation sans précédent est désormais la plus grande cyberattaque de crypto à ce jour, dépassant des incidents notoires comme ceux de Ronin Network (624 millions de dollars), Poly Network (611 millions de dollars) et BNB Bridge (586 millions de dollars).

L'Attaque : Une Manipulation Trompeuse

Le PDG de Bybit, Ben Zhou, a révélé que la violation s'était produite lors d'un transfert de routine impliquant le portefeuille froid multisig ETH de l'échange. Les attaquants ont exploité une technique de manipulation avancée pour modifier la logique sous-jacente du contrat intelligent tout en gardant l'interface de signature inchangée. Cette tromperie a induit le système en erreur en exécutant des transferts non autorisés vers une adresse inconnue.

« La transaction semblait légitime en surface, mais les attaquants ont masqué l'interface de signature tout en modifiant la logique réelle du contrat intelligent, » a expliqué Bybit dans une déclaration sur X. En conséquence, plus de 400 000 ETH et des jetons stETH—d'une valeur de plus de 1,5 milliard de dollars—ont été siphonnés.

Groupe Lazarus Lié à la Violation

Les entreprises d'intelligence blockchain Elliptic et Arkham Intelligence ont rapidement identifié le groupe Lazarus soutenu par l'État nord-coréen comme le coupable probable. Le chercheur indépendant ZachXBT a en outre lié le piratage de Bybit à une violation similaire chez Phemex le mois dernier, renforçant les soupçons d'implication de Lazarus.

La Corée du Nord a été qualifiée de « sans doute l'entreprise criminelle cybernétique la plus importante au monde » par Google, le groupe Lazarus orchestrant de nombreux vols de crypto-monnaies très médiatisés pour financer le régime. Rien qu'en l'année dernière, Chainalysis a estimé que le groupe avait volé 1,34 milliard de dollars lors de 47 hacks, représentant 61 % de toutes les cryptos volées.

Elliptic a rapporté que Lazarus suit un schéma de blanchiment distinct, convertissant rapidement les actifs volés en jetons blockchain natifs comme l'ETH pour éviter les gels d'actifs. Suite à la violation de Bybit, des stETH et cmETH volés—d'une valeur de plusieurs centaines de millions—ont été rapidement convertis en ETH et transférés par le biais de 50 portefeuilles différents avant d'être échangés contre des Bitcoins via des plateformes comme eXch.

Une Nouvelle Ère de Cyberattaques

Check Point Research a noté que cette attaque signifie un changement dans les tactiques de cybercriminalité, les hackers exploitant désormais les vulnérabilités de la chaîne d'approvisionnement et manipulant les interfaces utilisateur plutôt que de cibler uniquement les faiblesses des protocoles.

« L'incident de Bybit souligne une faille de sécurité critique—les portefeuilles froids multisig ne sont aussi sûrs que les individus autorisant les transactions, » a averti Check Point, en faisant référence à l'exploitation de la fonction execTransaction du protocole Gnosis Safe pour tromper les signataires.

TRM Labs a corroboré ces conclusions, affirmant avec une grande confiance que Lazarus était derrière l'attaque en raison d'une activité blockchain chevauchante avec des vols précédemment liés à la Corée du Nord.

Conséquences sur le Marché et Rassurances aux Clients

Les nouvelles de la violation ont provoqué des ondes de choc sur le marché crypto, faisant chuter le prix de l'Ethereum de plus de 4 % alors que les fonds volés étaient liquidés. Dans les 30 premières minutes, près de 200 millions de dollars de Lido Staked Ether (stETH) avaient été liquidés, amplifiant encore la volatilité du marché.

Pour rassurer les clients, le PDG de Bybit, Zhou, a souligné que tous les autres portefeuilles froids restent sécurisés et que les retraits fonctionnent normalement. L'échange a également sécurisé un prêt relais auprès de partenaires non divulgués pour couvrir d'éventuelles pertes et garantir la poursuite des opérations. Cependant, les craintes d'insolvabilité ont poussé de nombreux utilisateurs à retirer des fonds par précaution.

Implications pour l'Industrie et Leçons Tirées

Ce vol record souligne les vulnérabilités dans l'écosystème crypto, en particulier les risques associés à l'erreur humaine et à l'ingénierie sociale. Bien que les portefeuilles froids soient traditionnellement considérés comme sécurisés en raison de leur nature hors ligne, cette violation met en lumière l'importance de mesures de sécurité améliorées.

« Les vols de crypto sont en hausse en raison de leurs paiements lucratifs, de la difficulté à tracer les fonds volés, et du manque général de familiarité avec la sécurité Web3 parmi les organisations, » a averti le cabinet de cybersécurité Mandiant le mois dernier.

Alors que les enquêtes se poursuivent, les experts exhortent les échanges à adopter des mesures de sécurité plus strictes, à éduquer le personnel sur le phishing et les vulnérabilités des contrats intelligents, et à renforcer la coopération mondiale entre les agences d'application de la loi et les entreprises d'analyse blockchain pour lutter contre les menaces cybernétiques.

Pour l'instant, la communauté crypto attend anxieusement de nouvelles mises à jour, espérant que cette violation historique servira de catalyseur pour des protocoles de sécurité renforcés. D'ici là, le piratage de Bybit reste un rappel frappant de l'évolution constante du paysage de la cybercriminalité à l'ère numérique.

Sources :

CNBC

TechCrunch

Investing.com

The Hacker News

Cet article a été publié à l'origine sur Crypto Reporter.