Le 21 février 2025, 400 000 ETH ont été volés à l’exchange Bybit, soit une valeur équivalente à 1,5 milliard d’USDT. Cette attaque représente le plus grand vol cybercriminel crypto de l’histoire.
Impliquant Lazarus, un groupe de hackers nord-coréens bien connu, nous allons découvrir aujourd’hui ce que sont devenus ces centaines de milliers d’Ethereum.
Un vol ingénieux
Cette attaque sans précédent a pu se réaliser grâce l’ingénierie sociale, en ciblant un développeur de SAFE, car Bybit utilisait cette technologie afin de sécuriser davantage les transactions importantes.
En effet, la technologie SAFE permet d’exiger une signature de différents wallets pour une seule et unique transaction. Par exemple, si l’utilisateur A veut transférer 5 000 BTC à l’utilisateur B, il ne pourra pas valider la transaction seul. Les utilisateurs D, E et F, que l’utilisateur A aura choisi, devront, eux aussi, valider cette transaction avant qu’elle ne soit exécutée. Cela permet d’éviter le vol lors de fuite de clé privée ou d’enlèvement.
Dans le cas du hack Bybit, il s’agissait d’une transaction en Ethereum, d’un cold wallet vers un hot wallet. De nombreuses personnes étaient impliquées dans la signature de cette transaction, et cette faille a été exploitée pour voler les 400 000 ETH.
Cette technologie de validation multiple utilise en fait une interface graphique afin de faciliter la signature des différentes transactions. Le problème est que le groupe Lazarus a justement exploité les faiblesses des bibliothèques utilisées par cette interface graphique afin d’implanter un malware en JavaScript. Ce malware a modifié l’information de transaction entre ce qui était affiché sur l’interface utilisateur et la transaction réelle on-chain.
Les validateurs, dont le CEO Bybit Ben Zhou, ont vu une transaction d’un de leur cold Wallet vers un de leur hot wallet, mais c’était en réalité à destination d’un wallet du groupe Lazarus.
Lazarus : groupe leader de la cybercriminalité crypto
Lazarus est un collectif de hackers nord-coréens dont la réputation n’est plus à faire auprès de l’État américain. Ce groupe est actif depuis au moins 2007, selon le FBI, et utilise diverses stratégies de hacking pour voler des montants, plus ou moins importants, de crypto-monnaies. C’est une référence dans la cybercriminalité crypto.
Soutenus par le régime nord-coréen, ces hackers ont pour objectif de financer ce dernier via des cyberattaques. En volant des cryptomonnaies, ils contournent alors les sanctions internationales et se retrouvent à accumuler plusieurs centaines de millions de dollars.
D’après les données fournies par Arkham, ce groupe détient aujourd’hui près d’1,2 milliard de dollars en crypto-monnaies.
Pourquoi blanchir de la crypto ?
Suite au vol des 400 000 ETHs, le groupe cybercriminel nord-coréen s’est vu obligé de trouver un moyen de blanchir cet argent afin de pouvoir l’utiliser sur des exchanges.
En effet, il existe un moyen sur la blockchain de marquer des crypto-monnaies issues d’une transaction illicite ou d’un vol.
Des entreprises comme Chainalysis, Elliptic ou Arkham Intelligence permettent cela.
Par conséquent, si un exchange centralisé comme Binance reçoit un dépôt de crypto-monnaies indiqué comme volé, le compte dépositaire se retrouvera instantanément gelé. Le groupe Lazarus s’est alors vu obligé de trouver un moyen de rendre ces ETHs propres afin de pouvoir les utiliser librement.
Comment (essayer de) blanchir 1,46 milliard de dollars
En plus de l’investissement des autorités, du FBI et d’entreprises spécialisées, un acteur bien connu de l’investigation crypto a permis une avancée énorme des recherches : ZachXBT.
Lazarus Group just connected the Bybit hack to the Phemex hack directly on-chain commingling funds from the intial theft address for both incidents.
Overlap address:
0x33d057af74779925c4b2e720a820387cb89f8f65Bybit hack txns on Feb 22, 2025:… pic.twitter.com/dh2oHUBCvW
— ZachXBT (@zachxbt) February 22, 2025
Déjà réputé pour son efficacité dans la résolution de plusieurs affaires cybercriminelles passées, ZachXBT est un expert dans le suivi on-chain. Comme le montre son post sur X, il a décortiqué minutieusement le mouvement des ETHs volés, ce qui a permis de faciliter cette analyse.
Le nombre fait la force
Pour brouiller les traces à la suite du hack, Lazarus a commencé par transférer une partie des fonds volés sur d’autres wallets que celui utilisé initialement lors du hack. Cette technique de blanchiment s’avère bien connue des hackers puisqu’elle permet de compliquer la tâche de suivi des fonds volés. Les fonds se trouvent répartis dans plusieurs centaines de wallet, sur plusieurs réseaux, qui eux même envoient une partie de ces fonds à d’autres wallets, et ainsi de suite.
Malheureusement pour Lazarus, l’enquête de ZachXBT a permis de prouver que les fonds de certains wallets se sont retrouvés sur une adresse qui comportait également d’autres fonds volés en ETH. Ces autres fonds provenaient en fait d’un second hack, celui de l’exchange Phemex.
Pourquoi le groupe Lazarus mélange les fonds de différents vols ?
Tout simplement parce que cette stratégie permet de complexifier le travail de suivi. En mélangeant les ETHs issus de deux vols différents, on ne sait plus en sortie l’origine de l’argent envoyé. Cela rend alors le suivi beaucoup plus compliqué pour les enquêteurs.
Le groupe a donc répété la procédure une nouvelle fois en mélangeant les fonds avec ceux du hack BingX de septembre 2024. Pour rappel, ce hack représentait tout de même un vol de plus de 40 millions de dollars.
Le mixeur : l’indispensable
Ces étapes peuvent en effet perdre les enquêteurs s’ils font des erreurs ou s’ils manquent de temps, mais elles ne sont pas suffisantes. À la fin, on sait toujours au bout d’un moment où est l’argent volé. C’est pourquoi des mixeurs comme Tornado Cash ont leur rôle à jouer.
Pour faire court, un mixeur permet d’augmenter la confidentialité des transactions on-chain grâce à une “boîte noire”. Plusieurs personnes déposent le même montant dans cette “boîte noire”, les fonds alors mélangés se retrouvent ensuite redistribués à chaque personne. En sortie, la personne A peut se trouver avec les fonds de la personne B.
Le groupe Lazarus a utilisé un mixeur pour mélanger les ETHs volés avec des ETHs propres afin de compliquer le suivi. A la suite de ces mélanges, des fonds se sont retrouvés sur un wallet ou étaient présents des ETHs issus du hack Poloniex de 2023. Ils ont ensuite été mélangés avec une partie des 400 000 ETHs volés à Bybit.
Transaction après transaction, mixeur après mixeur, on ne sait plus l’origine des Ethereums volés. Tout ce que l’on sait aujourd’hui, c’est que le groupe Lazarus est derrière les hacks de Bybit, Poloniex, Phemex et BingX.
Patienter et recommencer
Lazarus se retrouve aujourd’hui avec quasiment 1,2 milliard de crypto volées et la majorité des ETHs issus du hack Bybit se retrouvent convertis en BTC.
Il ne reste pas la totalité des 1,4 milliard volé puisqu’une infime quantité a fait l’objet d’un gel et que le montant a été sensible aux fluctuations du marché.
Depuis le hack, le groupe ne cesse d’interagir quotidiennement avec de nombreux wallets et répète les étapes précédentes.
D’après Arkham, plusieurs centaines de milliers de dollars sont encore en transfert chaque heure, ce qui laisse à penser que le hack n’était que le début d’une longue poursuite.
Même si on peut penser que ces milliers de transactions sont le meilleur moyen de brouiller les traces, parfois, il suffit simplement de ne pas trop attirer l’attention. C’est pourquoi sur certains wallet, les fonds déposés n’ont pas bougé et ne bougeront sûrement pas d’ici à plusieurs mois ou années. Ces wallets risquent alors de tomber dans l’oubli et, dans quelques années, referont surface quand plus personne n’y fera attention.
Sources : CoinMarketCap, ic3.gov, Arkham Intelligence
Sur le même sujet :
- Le Bitcoin a-t-il encore la force de rebondir et de faire de nouveaux records cette année ?
- Hack ByBit : le groupe nord-coréen Lazarus à l’origine des 1,46 milliard de dollars de fonds perdus ?
- ZachXBT révèle l’identité de la baleine Hyperliquid
Cet article ne représente en aucun cas un conseil en investissement. Les informations fournies ici ne doivent pas être utilisées comme base pour prendre des décisions financières. Les investissements en crypto-monnaie comportent des risques et peuvent entraîner des pertes importantes. Il convient d’investir uniquement ce que vous pouvez vous permettre de perdre et d’effectuer vos propres recherches avant de prendre toute décision d’investissement.
Partager
Mathéo Delaune
