Des adressesdenten RPDC ont échangé 200 000 $ via MetaMask dans ce qui ressemble à un test de blanchiment de cryptomonnaies

Des adressesdentcomme appartenant à des pirates informatiques nord-coréens ont permis de blanchir 200 000 $ en cryptomonnaie via MetaMask. Ce type d'échange engendre des frais élevés, mais peut constituer une porte de sortie pour les pirates.

Une liste d'adresses liées à des attaques de pirates informatiques nord-coréens a été découverte lors de plusieurs échanges sur MetaMask. Ces adresses n'ont échangé que 200 000 $ en cryptomonnaies, laissant 1 985 $ de frais d'échange. Le routeur MetaMask est réputé pour ses frais élevés, mais il peut être rapide et accessible aux pirates informatiques qui souhaitent dissimuler l'origine des fonds ou éviter le gel des jetons.

Bien que la somme fût modeste, l'événement en lui-même était inquiétant, étant donné l'idée reçue que les pirates informatiques nord-coréens ne font pas de transactions, mais effectuent des tests. L'activité de piratage a ralenti au cours du second semestre 2024, mais des signes de blanchiment d'argent et de tentatives de dissimulation persistent.

La découverte concernant MetaMask fait suite à un autre incident impliquant des adresses de pirates informatiques utilisant des services Web3, des DEX et le routeur natif du portefeuille. Récemment, des entrées de fonds provenant d'adresses de pirates ont été détectées sur le pont Hyperliquid. Bien que le DEX de contrats à terme perpétuels n'ait pas été exploité, l'événement a également été considéré comme un test de transfert de fonds. Certains estiment qu'Hyperliquid demeure vulnérable en raison du nombre limité de ses validateurs susceptibles d'être exploités.

MetaMask n'a pas été compromis et est resté un portefeuille sécurisé, hormis les erreurs d'utilisation. Taylor Monahan (@tayvano) a également signalé que le portefeuille a été la cible de multiples attaques de la part de pirates informatiques nord-coréens, toujours à la recherche de moyens de déverrouiller les cryptomonnaies stockées.

« MetaMask est et a toujours été préoccupé… Nous tracattentivement la RPDC car elle représente la plus grande menace pour les entreprises de cryptomonnaies. Nous tractous les autres acteurs malveillants du secteur des cryptomonnaies car la RPDC est la plus importante, mais pas la seule », a déclaré @tayvano dans un récent article surX.

Les pirates informatiques nord-coréens évitent l'USDC comme actif verrouillable

Tout en ralentissant leurs activités, les pirates informatiques nord-coréens ont continué à échanger des fonds et à passer d'une chaîne de blocs à une autre.

La liste des portefeuilles utilisant MetaMask pour les échanges révèle également une longue tradition d'utilisation de divers protocoles décentralisés. Ces portefeuilles permettent d'effectuer des échanges entre Ethereum (ETH) et les stablecoins USDT et USDC.

En théorie, ces deux stablecoins sont gelables, mais l'USDC l'est particulièrement. C'est pourquoi les portefeuilles effectuent systématiquement une conversion vers l'ETH ou d'autres tokens, ou migrent vers la blockchain Arbitrum pour certaines opérations. Malgré la forte utilisation de ce token, les portefeuilles ne conservent jamais longtemps de solde en USDC.

Les deux adresses ont été très actives, interagissant avec des comptes ENS, des utilisateurs d'OpenSea et des protocoles web3. Les échanges se sont poursuivis ces dernières heures, toujours dans le but principal de transférer des fonds à une échelle relativement modeste.

0x52263cAEc2e144C3A84cc16d014157360Ac85A89

0x070cA92f568037d351666b3918a0F6ba7ad20ED1

Les activités liées à ces portefeuilles et à leurs contreparties concernent certains des protocoles les plus récents et les plus actifs, ainsi que des tokens dérivés de mèmes, des NFT et d'autres actifs. Cependant, la plupart de ces activités consistent en des conversions temporaires en stablecoins.

L'activité du portefeuille soulève davantage de préoccupations quant à la sécurité d'Hyperliquid

Les échanges récents étaient relativement mineurs, avec des transactions inférieures à 500 $. Cependant, certaines contreparties de portefeuilles ont montré des interactions avec des DEX et DeFi , effectuant souvent des transactions via le Hyperliquid .

Les historiques des portefeuilles du pirate présumé contiennent également des interactions avec Hyperliquid au cours des dernières heures et des derniers jours. Pour l'instant, le protocole n'a pas été directement attaqué, mais certains y voient un outil supplémentaire pour mélanger des fonds ou réaliser des transactions visant à masquer l'origine des jetons. Le pont Hyperliquid représente la plus grande source d'inquiétude face aux attaques, car la valeur de la plateforme a connu une croissance exponentielle. Ce pont, qui détient plus de 2 milliards de dollars, pourrait ne pas être suffisamment protégé, selon @tayvano.

Pour l'instant, aucun lien direct n'a été établi entre les MetaMask et une éventuelle attaque contre le pont. Ces échanges de données via MetaMask pourraient s'inscrire dans une pratique courante de transfert d'actifs avec un minimum trac.

Les pirates informatiques nord-coréens auraient doublé leurs gains en 2024, dérobant potentiellement jusqu'à 1,3 milliard de dollars sur le marché des cryptomonnaies. L'activité s'est principalement concentrée sur le premier semestre, les piratages majeurs ayant ralenti au dernier trimestre.