Des pirates informatiques liés à la Corée du Nord ont dérobé 1,46 milliard de dollars sur la plateforme d’échange de cryptomonnaies Bybit, l’un des plus grands vols financiers jamais recensés dans l’histoire.
Un article de Sander Stople. Publication originale sur Geopolitika. Traduction de Conflits.
Le Lazarus Group, rattaché à la Corée du Nord, a secoué le milieu de la cybersécurité en menant une attaque d’envergure contre la plateforme Bybit, au cours de laquelle ce groupe a dérobé 1,46 milliard de dollars (soit environ 15,7 milliards de couronnes).
Les experts de CyberScoop ont souligné la rapidité inhabituelle du blanchiment des fonds volés, perçue comme une nouvelle menace sérieuse dans le domaine de la cybercriminalité.
– « Ce qui distingue cette attaque des précédentes, c’est la rapidité hors du commun du blanchiment », a déclaré Ari Redbord, responsable des politiques mondiales chez TRM Labs, dans un courriel adressé à CyberScoop.
Selon Redbord, le groupe de pirates informatiques a pu transférer 160 millions de dollars via des voies illégales en l’espace de deux jours.
À lire aussi : Corée du Nord: du nucléaire à la guerre cyber ?
– « Il aurait été inimaginable de déplacer une telle somme aussi vite il y a seulement un an. Cette situation pose de graves questions sur la capacité de la Corée du Nord à blanchir de l’argent. Jamais des groupes criminels n’avaient bougé autant de fonds à une telle allure », a souligné Redbord.
Sommes considérables liées à la Corée du Nord
Plusieurs entreprises spécialisées dans l’analyse de la chaîne de blocs ont lié l’attaque au Lazarus Group. Selon TRM Labs, le financement initial du contrat de l’attaquant venait d’un portefeuille bien connu contrôlé par la Corée du Nord, et les méthodes de blanchiment rappelaient d’anciennes cyberattaques soutenues par l’État nord-coréen.
– « Les fonds volés à Bybit ont été mélangés à ceux de divers vols précédents attribués à la République populaire démocratique de Corée », a déclaré Tom Robinson, cofondateur et responsable de la recherche chez Elliptic.
Selon Elliptic, des pirates associés à la Corée du Nord ont dérobé plus de 6 milliards de dollars en cryptomonnaies depuis 2017. Le plus récent vol, imputé au Lazarus Group, dépasse à lui seul la valeur de tous les vols de cryptomonnaies menés par la Corée du Nord durant l’année 2024, d’après la société d’analyse Chainalysis.
Désire d’une coopération internationale plus étroite
Cette attaque a accentué les revendications en faveur d’une collaboration internationale renforcée pour endiguer le blanchiment via la technologie de la chaîne de blocs. Redbord a insisté sur l’importance cruciale d’un engagement transnational plus solide, d’une surveillance accrue et de règles plus rigoureuses concernant la lutte contre le blanchiment.
Néanmoins, le dernier rapport de Chainalysis montre que les transactions illégales ne représentaient que 0,34 % du volume total des échanges de cryptomonnaies en 2023, contre 0,42 % l’année précédente.
Cela montre que la cryptomonnaie n’est généralement pas un canal majeur pour la criminalité, comparé aux réseaux financiers traditionnels, où l’argent liquide et les devises numériques nationales restent les outils privilégiés des activités illégales.
À lire aussi : L’Union européenne face à la cybermenace
Parallèlement, plusieurs autorités chargées de la sécurité (dont le FBI) et des experts mènent des actions pour geler ou saisir les fonds volés. Redbord a indiqué que plus de 40 millions de dollars (environ 432 millions de couronnes) ont été bloqués en 24 heures, tandis qu’Elliptic a annoncé avoir aidé à geler 243 000 dollars lundi.
Le directeur de Bybit assume ses responsabilités
Ben Zhou, cofondateur et directeur général de Bybit, a annoncé mardi que la plateforme lançait un site dédié pour tracer les fonds volés et soutenir d’autres victimes de Lazarus Group. Deux heures après l’attaque, il a tenu une séance d’information en direct destinée aux clients de Bybit.
– « Lorsque nous avons observé la transaction, elle semblait tout à fait normale », a expliqué Zhou pendant la séance en direct.
Il a précisé que l’attaque s’est produite durant un transfert planifié depuis le « cold wallet » de la plateforme, une opération qui se déroule toutes les deux ou trois semaines. Zhou a reconnu avoir cliqué sur un lien sans vérifier l’adresse de destination.
– « Après ma signature, nous avons reçu un appel d’urgence 30 minutes plus tard signalant que notre compte Ethereum était vide », a-t-il ajouté.
Malgré l’ampleur du vol, Zhou a assuré que les réserves de Bybit pouvaient absorber cette perte et qu’aucun autre solde n’avait été compromis.
Redbord a prévenu que cette attaque servait d’avertissement pour le secteur de la cryptomonnaie.
– « Les plateformes peuvent se prémunir contre ce genre d’offensive grâce à une stratégie de défense à plusieurs niveaux, englobant des contrôles de sécurité réguliers, un chiffrement renforcé, l’authentification à plusieurs facteurs et des méthodes de programmation sûres », a-t-il expliqué.
L’adresse d’origine du piratage de Bybit
Bien qu’aucun lien direct ne soit établi entre le pirate de Bybit et le Lazarus Group, l’examen des schémas de transactions et le recours à des services de mixage, que ce soit par l’intermédiaire de plateformes financières décentralisées (DeFi) ou de bourses centralisées comme eXc, ont éclairé leurs procédés.
Les dépôts du groupe Lazarus ces derniers jours. Capture d’écran : Arkham
0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 a reçu plus de 400 000 ETH après l’attaque (et a été qualifié de « Bybit hacker » par Arkham, note de la rédaction). Les fonds ont ensuite été distribués vers plusieurs sous-adresses, par blocs de 1 000 ETH, révélant une tactique de fragmentation et de dissimulation de leur origine.
À lire aussi : Opérations cybernétiques pendant la guerre russo-ukrainienne
L’une de ces sous-adresses, 0x4571bD67d14280E40BF3910Bd39FBF60834F900A, avait déjà été reliée au Lazarus Group en raison de transactions et de méthodes de blanchiment analogues.
Utilisation de services de mixage et de plateformes d’échange
Pour rendre le suivi plus complexe, les pirates recourent à des services de mixage et à différentes plateformes pour convertir et déplacer leurs avoirs.
Par exemple, une partie de l’argent volé a été échangée contre du Bitcoin via des services comme Chainflip, avant d’être envoyée vers des adresses sur le réseau Bitcoin. Il a également été rapporté que certains fonds ont transité par des plateformes décentralisées comme eXch, rendant encore plus difficile le repérage et l’identification des destinataires finaux.
L’équilibre entre réglementation et liberté économique
Bien que la lutte contre le blanchiment se renforce, cette attaque et les initiatives envisagées éveillent des craintes chez les investisseurs du secteur des cryptomonnaies. Beaucoup redoutent que des réglementations plus strictes, comme MiCA ou d’autres en préparation, ne servent à accroître le contrôle exercé par les autorités sur les investisseurs indépendants, limitant ainsi la liberté économique.
La place d’échange décentralisée eXch a suspendu les dépôts en ETH et en jetons ERC20 après le piratage de Bybit. Capture d’écran : eXch
Il ne s’agit pas de défendre les transactions illicites, mais de craindre un usage abusif des réglementations pour restreindre l’accès des particuliers aux outils financiers numériques. Dans un milieu où la décentralisation et l’anonymat sont centraux, beaucoup voient dans cette ingérence de l’État une menace pour la liberté et l’autonomie de l’écosystème cryptographique.
Par ailleurs, la cryptomonnaie, en particulier le Bitcoin, a montré son utilité pour les défenseurs des droits humains dans des régimes totalitaires tels que la Corée du Nord.
À lire aussi : Intégrer les opérations cyber à la guerre moderne
D’après la Human Rights Foundation, les actifs numériques permettent aux dissidents, aux journalistes et aux militants de contourner la censure, de préserver leur autonomie financière et d’accéder à des ressources sans passer par les systèmes contrôlés par l’État.
Des règles trop sévères risquent donc d’avoir des effets néfastes en restreignant la liberté des usagers honnêtes d’utiliser la cryptomonnaie pour préserver leur indépendance financière et leur liberté d’expression dans des États répressifs.
