Le groupe Lazarus récidive : une nouvelle victime est soupçonnée dans le piratage Tron une valeur de 3,1 millions de dollars

ZachXBT, le célèbre détective spécialisé dans les cryptomonnaies, a signalé qu'une victime avait été piratée sur Tron, entraînant la perte d'environ 3,19 millions de dollars en USDT. Les USDT volés ont été transférés sur Ethereum avant d'être répartis entre 10 adresses et déposés sur Tornado Cash. ZachXBT attribue ce piratage au tristement célèbre groupe nord-coréen Lazarus.

Onchain Lens a révélé que ZachXBT avait découvert une nouvelle attaque informatique, ayant entraîné la perte d'environ 3,19 millions d'USDT pour une victime inconnue. Selon TronCashCash CashCashEthereum , où ils ont été échangés contre de l'ETH, puis répartis entre 10 adresses avant d'être déposés dans Tornado(96 x 10 ETH, 4 x 100 ETH, 78 x 1 ETH, 5 x 0,1 ETH). , où ils ont été échangés contre de l'ETH, puis répartis entre 10 adresses avant d'être déposés dans Tornado(96 x 10 ETH, 4 x 100 ETH, 78 x 1 ETH, 5 x 0,1 ETH). CashCash CashCash , où ils ont été échangés contre de l'ETH, puis répartis entre 10 adresses avant d'être déposés dans Tornado(96 x 10 ETH, 4 x 100 ETH, 78 x 1 ETH, 5 x 0,1 ETH). , où ils ont été échangés contre de l'ETH, puis répartis entre 10 adresses avant d'être déposés dans Tornado(96 x 10 ETH, 4 x 100 ETH, 78 x 1 ETH, 5 x 0,1 ETH). 

ZachXBT a souligné que le pirate informatique avait réutilisé une adresse volée lors du piratage de Michael Kong (PDG de Fantom/Sonic) en octobre 2023, qui avait été précédemment attribuée au groupe Lazarus dans le cadre d'une « campagne de spearphishing » dans un rapport de mars 2024 publié par l'ONU.

Le 22 février, ZachXBT a également révélé que le groupe Lazarus avait directement lié le piratage de Bybit à celui de Phemex sur la blockchain en « mélangeant » les fonds provenant de l'adresse de vol initiale pour les deuxdent. 

Le groupe Lazarus ajoute une victime inconnue à la longue liste des vols de cryptomonnaies

Zach (@zachxbt) a signalé qu'un utilisateur a été escroqué par le groupe Lazarus sur Tron pour un montant d'environ 3,2 millions de dollars américains (USDT).

Les fonds volés ont été transférés de versTron #Ethereum .EthereumETH ont ensuite été répartis entre 10 adresses et déposés dans Tornado Cash comme suit : 96 x 10 ETH, 4 x 100 ETH… pic.twitter.com/JRQ03rtflA

— Onchain Lens (@OnchainLens) 1er mars 2025

Selon ZachXBT, le groupe Lazarus aurait frappé à nouveau, ciblant cette fois une victime inconnue sur Tron et dérobant plus de 3,19 millions d'USDT. Le butin a ensuite été rapidement transféré sur la blockchain Ethereum , échangé contre de l'ETH, puis réparti entre dix adresses avant d'être déposé sur Tornado Cash. Les données de TronScan ont révélé que le ou les pirates ont utilisé deux adresses, TYQ3455gFNeqyw et 0xcced1276382f4d, pour siphonner 3 199 779 USDT à une victime dont l'adresse est TDNaLds1A1g6vYRU.

L'attaque malveillante attribuée au groupe de pirates informatiques nord-coréen soupçonné d'être lié à l'État survient après un récent vol au cours duquel le groupe aurait dérobé plus d'un milliard de dollars à la plateforme d'échange Bybit. Bybit a été victime d'un piratage record d'environ 1,5 milliard de dollars Ethereum . Le groupe nord-coréen Lazarus était le principal suspect dans cette attaque sophistiquée au cours de laquelle les pirates ont infiltré le portefeuille hors ligne de Bybit et dérobé plus de 400 000 ETH. 

Selon les recherches d'Elliptic, le vol de Bybit est sans doute le plus important vol de cryptomonnaies de l'histoire. Le groupe Lazarus est soupçonné d'avoir dérobé plus de 6 milliards de dollars d'actifs numériques depuis 2017. Les fonds auraient été utilisés pour financer le programme de missiles balistiques de la Corée du Nord.

Elliptic suit les modèles du groupe Lazarus 

D'après les recherches d'Elliptic, le groupe Lazarus a suivi un schéma caractéristique pour blanchir les jetons cryptographiques volés. La première étape consistait à échanger ces jetons contre un actif blockchain « natif », tel que l'Ether. Le groupe aurait opté pour cette méthode car les jetons ont des émetteurs qui, dans certains cas, peuvent bloquer les portefeuilles contenant des actifs volés, contrairement à l'Ether ou Bitcoin, pour lesquels aucune autorité centrale ne peut bloquer ces actifs. 

C’est précisément ce qui s’est produit dans les minutes qui ont suivi le vol chez Bybit et le récent Tron piratage Les pirates ont utilisé des plateformes d’échange décentralisées (DEX) afin d’éviter tout gel des actifs qui pourrait survenir s’ils utilisaient des plateformes d’échange centralisées (CEX) pour blanchir des fonds volés. 

D'après le rapport d'Elliptic, la deuxième étape du blanchiment consiste à dissimuler la trace des transactions en « stratifiant » les fonds volés. Cette technique de stratification peut compliquer le trac, offrant ainsi aux blanchisseurs un temps précieux pour cash les actifs. Le processus de stratification inclut l'envoi de fonds via un grand nombre de portefeuilles de cryptomonnaies et leur transfert vers d'autres blockchains à l'aide de ponts inter-chaînes ou de plateformes d'échange. Il comprend également d'autres tactiques telles que le passage d'une cryptomonnaie à une autre via des DEX, des services d'échange de cryptomonnaies ou des plateformes d'échange, ainsi que l'utilisation de « mixeurs » comme Tornado Cash ou Cryptomixer. eXch s'est également révélé être un facilitateur majeur et actif de ce blanchiment.