Comment la Corée du Nord a réalisé un vol de cryptomonnaies de 1,5 Md $, le plus important de l'histoire. L'attaque de Bybit n'a pas piraté l'infrastructure ni exploité le code des contrats intelligents

Comment la Corée du Nord a réalisé un vol de cryptomonnaies de 1,5 Md $, le plus important de l'histoire. L'attaque de Bybit n'a pas piraté l'infrastructure ni exploité le code des contrats intelligents

Des pirates nord-coréens ont dérobé 1,5 milliard de dollars en cryptomonnaies à Bybit. Les experts ont décrit ce vol comme le plus important de l'histoire des cryptomonnaies. Les chercheurs en sécurité et les analystes de la blockchain tentent toujours de comprendre comment les pirates ont réussi ce hold-up. En attendant, une enquête préliminaire a révélé que les pirates ont déployé « une attaque sophistiquée » qui a modifié la logique du contrat intelligent de Bybit et masqué l'interface de signature, ce qui leur a permis de prendre le contrôle du portefeuille contenant les pièces d'Ethereum et de les transférer vers des portefeuilles sous leur contrôle.

Les experts cherchent encore des réponses au piratage de Bybit

Bybit est une bourse de cryptomonnaies basée à Dubaï. Le 21 février 2025, les responsables de Bybit ont révélé que la plateforme a été victime d'un piratage au cours duquel les pirates ont dérobé plus de 400 000 pièces d'Ethereum. L'annonce indique que le butin était stocké dans un portefeuille froid multisignature (Multisig Cold Wallet) lorsque, d'une manière ou d'une autre, il a été transféré vers l'un des portefeuilles chauds (hot wallets) de la bourse.

À partir de là, le butin a été transféré hors de Bybit et dans des portefeuilles contrôlés par les attaquants inconnus. Des chercheurs de la société d'analyse de la blockchain Elliptic ont rapporté après une enquête que l'attaque porte la signature d'acteurs de la menace affiliés à la Corée du Nord.


Les pirates informatiques affiliés à ce pays isolé d'Asie sont en effet régulièrement cités dans les vols de cryptomonnaies. Selon les données disponibles, en 2024, des pirates informatiques liés à la Corée du Nord ont volé pour 1,3 milliard de dollars de cryptomonnaies, représentant 61 % des pertes mondiales.

Les experts pensent que la Corée du Nord utilise ces fonds pour financer ses activités et ses recherches dans le domaine militaire, notamment le développement d'armes nucléaires. Les cibles privilégiées des pirates sont les plateformes de cryptomonnaies centralisées. Bien que les vols aient diminué au second semestre de 2024, en partie en raison de la coopération accrue entre la Russie et la Corée du Nord, la tendance reste préoccupante pour l'avenir.

Bybit a été victime d'une attaque inédite. Les attaquants ont emporté non seulement le plus gros butin de l'histoire, mais ont également déployé des techniques que l'industrie des monnaies numériques n'avait jamais observées auparavant. En effet, les chercheurs en cybersécurité de Bybit n'y ont vu que du feu.

Rappels sur les notions de « cold wallet » et de « hot wallets »

Les portefeuilles numériques sont des comptes qui utilisent un chiffrement puissant pour stocker des cryptomonnaies. Une paire de clés de chiffrement est attribuée à chaque portefeuille. La clé publique sert d'adresse au portefeuille pour que les autres sachent comment le trouver, bien que certains choisissent de la garder privée. Dans ce cas, le titulaire du portefeuille doit chaque fois partager sa clé publique avec la personne avec qui il souhaite interagir.

La partie privée de la paire de clés, quant à elle, est une longue chaîne alphanumérique nécessaire pour transférer des fonds hors du portefeuille. Les transferts nécessitent des portefeuilles chauds (hot wallets). Il s'agit de portefeuilles qui sont toujours connectés à Internet et qui stockent la clé privée.

Update on Safe{Wallet} Restart

The Safe{Wallet} UI displayed the correct-appearing transaction information according to ByBit, yet a malicious transaction that had all valid signatures was executed onchain. Our investigation so far shows:

• No codebase breach found: The Safe…

— Safe.eth (@safe) February 22, 2025

Au cours de la dernière décennie, les portefeuilles chauds ont été vidés de leurs pièces de monnaie numérique. C'est ainsi que les pirates ont réussi à dérober aux investisseurs et aux bourses des milliards de dollars en cryptomonnaies. En général, ces attaques sont dues au fait que les attaquants ont obtenu la clé privée d'une manière ou d'une autre et qu'ils ont vidé le portefeuille avant que le propriétaire ne se rende compte que la clé a été compromise.

Étant donné la vulnérabilité des portefeuilles chauds au vol, de nombreux titulaires de comptes stockent leurs clés privées hors ligne, de manière à ce qu'elles soient séparées de l'adresse. Ces portefeuilles hors ligne sont appelés portefeuilles froids et peuvent stocker les clés privées de différentes manières.

La pratique la plus sûre consiste à sécuriser les clés dans un matériel spécial, souvent sous la forme d'un dongle USB, qui ne les déchiffrera qu'après certaines étapes d'authentification. En plus, les portefeuilles froids multisignatures (Multisig Cold Wallet) vont plus loin avec des couches de sécurité supplémentaires.

De la même manière que les systèmes d'armes nucléaires sont conçus pour nécessiter l'authentification d'au moins deux personnes autorisées avant le lancement d'un missile, ces portefeuilles nécessitent les signatures numériques d'au moins deux personnes autorisées avant de pouvoir accéder aux actifs.

Bybit piraté en dépit des mesures de sécurité mises en place

Bybit suivait largement les meilleures pratiques en ne stockant que la quantité de monnaie nécessaire aux activités quotidiennes dans les portefeuilles chauds, et en conservant le reste dans les portefeuilles froids multisignatures. Le transfert de fonds hors des portefeuilles froids multisignatures nécessitait l'approbation coordonnée de plusieurs employés de haut niveau de la bourse de cryptomonnaies. Mais les pirates ont quand même réussi leur coup.

Ben Zhou, PDG de Bybit, a déclaré que les cryptomonnaies ont été dérobées dans un portefeuille froid multisignature, qui est censé être plus sûr. La société, qui affirme avoir plus de 60 millions d'utilisateurs, a déclaré qu'aucun autre portefeuille n'a été touché et que les retraits semblent se dérouler normalement.


L'hypothèse immédiate a été que le portefeuille froid multisignature drainé, ou l'infrastructure qui l'héberge, fournie par une société appelée Safe, avait été compromis d'une manière ou d'une autre. Cette hypothèse était assez plausible, puisque ce type de vol est généralement réalisé en exploitant des vulnérabilités dans le code d'exécution des contrats intelligents de cryptomonnaie ou dans l'infrastructure qui les héberge. Mais

Cette spéculation était également cohérente avec les comptes rendus des employés de Bybit. Selon Safe, les interfaces de portefeuilles froids des employés de Bybit concernés affichaient les informations de transaction correctes. Mais une transaction malveillante avec des conséquences graves, qui avait toutes les signatures valides, a été exécutée sur la chaîne. (Safe a interrompu temporairement ses services Safe{Wallet} à la suite de l'attaque.

Cette théorie a été écartée après qu'une enquête menée par Safe a révélé qu'il n'y avait aucun signe d'accès non autorisé à son infrastructure, aucune compromission d'autres portefeuilles Safe et aucune vulnérabilité évidente dans la base de code de Safe. Les enquêteurs ont fini par trouver la véritable cause.

Bybit a déclaré que la transaction frauduleuse avait été rendue possible grâce à « une attaque sophistiquée » qui a modifié la logique du contrat intelligent et masqué l'interface de signature, permettant aux pirates de prendre le contrôle du portefeuille froid multisignature contenant les pièces d'Ethereum.

Cela signifie que plusieurs systèmes de Bybit ont été piratés d'une manière qui a permis aux attaquants de manipuler l'interface utilisateur du portefeuille Safe sur les appareils de chaque personne devant approuver le transfert. Cette révélation a provoqué une sorte d'eurêka pour de nombreux acteurs du secteur.

Sécurité des cryptomonnaies : un défi majeur pour les entreprises

Le piratage de Bybit a remis en lumière les problèmes persistants en matière de sécurité dans le domaine des cryptomonnaies et de la finance décentralisée (DeFi). Les piratages ont fortement augmenté ces dernières années. « Le piratage de Bybit a fait voler en éclats des hypothèses de longue date sur la sécurité des cryptomonnaies », ont écrit dimanche Dikla Barda, Roman Ziakin et Oded Vanunu, chercheurs à la société de cybersécurité Check Point.

Ils ajoutent : « quelle que soit la solidité de la logique de votre contrat intelligent ou de vos protections multisignatures, l'élément humain reste le maillon le plus faible. Cette attaque prouve que la manipulation de l'interface utilisateur et l'ingénierie sociale peuvent contourner même les portefeuilles les plus sécurisés ».

À ce jour, on ne sait toujours pas comment les attaquants ont réussi à pirater les interfaces utilisateur de plusieurs employés de Bybit dont les signatures étaient nécessaires pour que les fonds soient transférés hors du portefeuille froid. Bybit et ses partenaires poursuivent leurs investigations.

Par ailleurs, comme le soulignent les experts en sécurité Dan Guido, Benjamin Samuels et Anish Naik, de la société de sécurité Trail of Bits, les pirates informatiques affiliés au gouvernement nord-coréen ont depuis longtemps déployé des outils malveillants sophistiqués qui :

• fonctionnent de manière transparente sur Windows, macOS et diverses interfaces de portefeuilles ;
• présentent des signes minimes de compromission tout en restant persistants ;
• fonctionnent comme des portes dérobées pour exécuter des commandes arbitraires ;
• téléchargent et exécutent des charges utiles malveillantes supplémentaires ;
• manipulent ce que les utilisateurs voient dans leurs interfaces.

Les pirates affiliés à la Corée du Nord sont connus depuis longtemps pour leurs prouesses incessantes en matière d'ingénierie sociale. Ils passent souvent des semaines, voire des mois, à créer des personnalités en ligne qui finissent par gagner la confiance de leurs cibles.

Cette persistance a probablement permis aux voleurs de Bybit d'altérer d'une manière ou d'une autre les interfaces utilisateur de chaque employé de la société dont la signature numérique était nécessaire pour transférer les fonds du portefeuille froid, le tout à une vitesse fulgurante.

Comme le soulignent les chercheurs en sécurité de Check Point et de Trail of Bits, les leçons tirées ici ramènent la sécurité des cryptomonnaies à certains des éléments les plus fondamentaux, tels que la segmentation des réseaux internes, l'adoption de pratiques de défense en profondeur qui incluent de multiples contrôles se chevauchant pour détecter et prévenir les attaques sophistiquées, et la préparation à des scénarios précisément comme celui-ci.

Sources : Bybit, Check Point, Trail of Bits, Elliptic

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du piratage de Bybit et des techniques déployées par les attaquants ?

Voir aussi

Des pirates informatiques dérobent 1,5 milliard de dollars de cryptomonnaies à une bourse de cryptomonnaies dans le cadre du "plus grand casse numérique jamais réalisé"

Les vols liés au piratage des cryptomonnaies doublent pour atteindre 1,4 milliard de dollars au cours du premier semestre 2024, selon un rapport des chercheurs de TRM Labs

Des pirates nord-coréens ont volé 1,3 milliard de dollars de cryptomonnaies cette année, représentant 61 % des pertes mondiales