Un « phishing » sophistiqué pour le plus grand vol de l'histoire des crypto-monnaies : 1,4 milliard de dollars ont été dérobés sur le compte Bybit

Vendredi dernier, le monde de la cryptographie est passé d’un état euphorique, après que la SEC a abandonné son procès contre Coinbase , à une profonde dépression. L'industrie a une fois de plus vécu un cauchemar qui la hante depuis toute son histoire : Bybit, la deuxième plus grande bourse au monde en nombre de transactions et avec plus de 40 millions d'utilisateurs dans le monde, a été piratée. La société a annoncé que des cybercriminels avaient vidé son portefeuille froid Ethereum, emportant quelque 401 jetons, d'une valeur de plus de 1,4 milliard de dollars à l'époque. La panique a éclaté parmi les investisseurs suite à ce qui est devenu le plus grand vol de fonds de l’histoire du secteur.

Ce qui s'est passé?

Des pirates ont attaqué le cold wallet d'Ethereum : également appelé cold wallet , c'est un système sans connexion Internet qui stocke les clés d'accès aux crypto-monnaies et est considéré comme le plus sécurisé. En fait, il s’agit d’un portefeuille multi-signatures, qui nécessite plusieurs autorisations pour approuver une transaction. Vendredi, les dirigeants de l'entreprise ont transféré des fonds de leur portefeuille froid vers un portefeuille chaud (qui stocke les clés dans des endroits connectés au réseau) dans le cadre d'un processus opérationnel de routine, qui est généralement effectué lorsque davantage de liquidités sont nécessaires sur la plateforme.

Le PDG de la plateforme, Ben Zhou, a été le dernier à valider la transaction , mais pas celle qu'il souhaitait. Les attaquants, grâce à un système sophistiqué, ont conçu une fausse interface reproduisant parfaitement la plateforme de gestion de portefeuille utilisée par Bybit. Cette interface affichait des adresses et des URL vérifiées, ce qui donnait l'impression que les transactions étaient légitimes. Une fois la transaction approuvée par les signataires, les pirates ont détourné les fonds vers un portefeuille inconnu. Cette méthode d’attaque était si efficace que les systèmes de sécurité de Bybit ne détectaient les anomalies que lorsqu’il était trop tard. Une version extrêmement sophistiquée du phishing, une technique couramment utilisée par les pirates informatiques cherchant à tromper les utilisateurs par le biais du vol d'identité pour voler des informations personnelles ou accéder à des comptes ou mots de passe en ligne.

Peu de temps après l’attaque, la société de recherche Arkham Intelligence a détecté que des fonds avaient commencé à être transférés vers de nouvelles adresses et étaient vendus. À ce jour, la collaboration entre Bybit et d’autres plateformes a permis de bloquer et de geler près de 43 millions de dollars de fonds volés. D'autres sont blanchis par le biais de diverses techniques d'obfuscation, notamment le chain hopping , qui consiste à convertir une forme de cryptomonnaie en une autre et à la déplacer sur plusieurs blockchains : TRM Labs estime que dimanche soir, 160 millions de dollars avaient été acheminés par des canaux illicites.

Pourquoi Ethereum est-il plus vulnérable ?

Le réseau Ethereum est très apprécié par l’industrie pour la myriade de cas d’utilisation qu’il offre. Grâce au code Solidity, en effet, des applications et des contrats intelligents peuvent être créés et développés sur cette blockchain . « Mais ce sont aussi des points de vulnérabilité dont les pirates informatiques profitent », explique Javier Pastor, directeur de formation chez Bit2Me.

Adolfo Contreras, conseiller stratégique chez Blockstream, explique que le problème réside dans les défauts de conception d'Ethereum. Ce réseau utilise EVM, une machine virtuelle capable d’exécuter une large gamme d’instructions et d’exécuter des contrats intelligents. L'expert estime que ce système est très complexe et génère trop de transactions différentes qui ne peuvent pas être « supportées » par le portefeuille matériel, un petit appareil qui permet de stocker et de protéger les clés privées : c'est-à-dire qu'il n'a pas la capacité suffisante pour interpréter l'énorme nombre de transactions que génère l'EVM. « La conséquence est que lors de la signature d’une transaction EVM, si elle est trop complexe et que le portefeuille n’est pas en mesure de l’interpréter, une signature aveugle est effectuée . « Sur le petit écran de l'appareil, on voit une séquence alphanumérique et on signe en gros tout ce qui apparaît », explique-t-il.

Qu'a fait l'entreprise ?

Vendredi à 16h51, l'entreprise a signalé l'attaque sur ses réseaux sociaux. Un peu plus d'une heure plus tard, le PDG a répondu aux questions des utilisateurs et des investisseurs via une apparition en streaming , communiquant les détails de l'attaque et les mises à jour qui étaient connues. À tout moment, il a assuré que les autres portefeuilles étaient en sécurité et n'avaient pas été affectés : « Bybit est solvable. Même si cette perte n'est pas récupérée , tous les actifs des clients sont garantis 1 pour 1, nous pouvons couvrir la perte », a-t-il ajouté.

Ils ont immédiatement demandé la collaboration de l’industrie, promettant de reverser 10% des fonds volés à ceux qui les aideraient à récupérer ces fonds. D'autres exchanges ont également pris des mesures, bloquant le portefeuille utilisé par ce hacker et tous ceux où est envoyée une partie des fonds volés. « Toute action de l’attaquant qui souhaite récupérer les crypto-monnaies volées sera bloquée par l’ échange. « Ces portefeuilles sont étiquetés à l'aide d' un logiciel qui suit tous les mouvements du pirate, grâce à la blockchain », explique Cristina Carrascosa, PDG et fondatrice d'ATH21.

Ce matin, Ben Zhou a annoncé que Bybit avait déjà reconstitué les fonds volés et disposait à nouveau de suffisamment d'actifs pour couvrir 100 % des dépôts de ses clients. La société a déclaré avoir reconstitué 446,87 unités d'Ethereum, d'une valeur de plus de 1,2 milliard de dollars aux prix actuels, grâce à des prêts, des dépôts de grands investisseurs et des achats directs du jeton.

Qui est derrière l’attaque ?

Des sociétés d'analyse telles qu'Arkham et TRM Labs ont suivi la trace des fonds volés, leurs recherches désignant le groupe nord-coréen Lazarus comme le coupable du piratage. « L’attaque a suivi leur stratégie bien connue, et les pirates informatiques nord-coréens ne cachent pas leurs traces car ils opèrent hors de portée des forces de l’ordre », a déclaré Ari Redbord, directeur mondial des politiques et des affaires gouvernementales chez TRM Labs. En une seule journée, les pirates informatiques nord-coréens ont presque doublé le montant qu’ils ont volé en 2024 : en fait, l’année dernière, ils ont été responsables d’environ 35 % de tous les fonds volés, soit environ 800 millions de dollars en cryptomonnaie volés lors d’opérations à fort impact. Une étude récente de Chainalysis évalue ce chiffre à 1,34 milliard de dollars pour 47 incidents l’année dernière.

Y a-t-il eu des cas similaires ?

TRM Labs affirme que les attaques contre les portefeuilles chauds et les contrats intelligents sont courantes, mais que les violations dans les portefeuilles froids à cette échelle sont rares. Il y a cependant eu d’autres attaques similaires. Contreras note que ce dernier piratage lui rappelle le piratage de Parity en 2017 : à cette occasion, les pirates ont exploité une vulnérabilité dans les contrats intelligents du logiciel , qui permettait la gestion de portefeuilles multi-signatures. Les attaquants ont pris le contrôle de certains portefeuilles et détourné les fonds : ils ont emporté environ 150 000 unités d'Ethereum, valant environ 30 millions de dollars à l'époque.

Suite à ce dernier incident, les experts estiment que les plateformes consacreront davantage de budget à la cyberdéfense. Redbord note que la vitesse à laquelle les attaquants déplacent cette somme d’argent était inimaginable il y a seulement un an. « L’ampleur et la rapidité de cette opération de blanchiment d’argent marquent une évolution dangereuse dans la manière dont les pirates informatiques parrainés par l’État peuvent exploiter l’écosystème des cryptomonnaies, en profitant de la technologie et de réseaux de blanchiment d’argent robustes. Cela indique un besoin urgent de coopération transfrontalière en matière d’application de la loi. »

Ils reconnaissent toutefois l'efficacité de la réponse de l'entreprise à un accident d'une telle ampleur. « Nous parlons d’un piratage de 1,4 milliard qui n’a même pas causé de problème dans la liquidité de l’ échange . Si on y réfléchit bien, on parle d’un montant très élevé, et il pourrait continuer à fonctionner sans ce montant. « C’est sans aucun doute le standard vers lequel tendent tous ceux qui travaillent dans ce secteur », conclut Carrascosa.