Le groupe Lazarus nord-coréen démasqué comme étant à l'origine du piratage de Bybit

Bybit a été piraté aujourd'hui, et nous savons désormais qui en est responsable. Le tristement célèbre groupe Lazarus, organisation cybercriminelle nord-coréenne soutenue par l'État, a été identifié comme le cerveau de l'attaque qui a coûté 1,5 milliard de dollars à Bybit, soit le plus important vol de cryptomonnaies de l'histoire.

La confirmation est venue de ZachXBT, l'un des enquêteurs on-chain les plus respectés du secteur, qui a fourni des preuves irréfutables reliant Lazarus à l'attaque.

Arkham Intelligence, qui avait offert une prime de 50 000 ARKM pourdentles auteurs de l'attaque, a rapidement confirmé les conclusions. L'analyse aurait porté sur les connexions de portefeuilles, les transactions de test et les données forensiques de la blockchain, toutes pointant directement vers Lazarus Group.

ZachXBT, en collaboration avec Josh de ChainFeeds (CF), a établi un lien entre la faille de sécurité chez Bybit et une attaque précédente contre Phemex, une autre plateforme d'échange de cryptomonnaies. Leurs recherches ont démontré que les mêmes adresses, les mêmes schémas de blanchiment et les mêmes méthodes d'exploitation avaient été utilisés dans les deux cas. C'était clair : Lazarus était derrière tout cela.

BREAKKING : LA RÉCOMPENSE DE PIRATAGE DE BYBIT D'UN MILLIARD DE DOLLARS EST RÉSOLUE PAR ZACHXBT

Aujourd'hui à 19h09 UTC, @zachxbt a soumis defique cette attaque contre Bybit a été menée par le GROUPE LAZARUS.

Sa soumission comprenait une analyse détaillée des transactions de test et des portefeuilles connectés utilisés avant… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5

– Arkham (@arkham) 21 février 2025

La prime offerte par Arkham, d'une valeur de 32 000 $, était une goutte d'eau dans l'océan comparée à la perte que Bybit venait de subir. Mais la rapidité avec laquelle elle a été versée est incroyable. En moins d'une heure, ZachXBT avait résolu l'affaire.

Le Lazare nord-coréen drainematicl'industrie des cryptomonnaies depuis des années, finançant le programme de missiles balistiques de Pyongyang grâce aux cryptomonnaies volées.

Le PDG de Bybit, Ben Zhou, a confirmé que la plateforme reste pleinement opérationnelle après le piratage, assurant aux utilisateurs : « Les portefeuilles chauds, tièdes et froids de Bybit sont intacts. Seul le portefeuille froid ETH a été piraté. Tous les retraits sont normaux. »

Dans une déclaration ultérieure, Zhou a réaffirmé que Bybit restait solvable malgré le vol de fonds. « Tous les actifs des clients sont garantis à parité. Nous pouvons couvrir la perte. »

Avant le piratage de Bybit d'aujourd'hui, la plus grande faille de sécurité de l'histoire des cryptomonnaies était l'attaque du réseau Ronin, d'un montant de 600 millions de dollars, le 23 mars 2022.

Zhou a expliqué que le portefeuille froid multisignature Ethereum (ETH) de Bybit avait effectué un transfert vers le portefeuille chaud de la plateforme environ une heure avant l'attaque. La transaction semblait normale au premier abord.

« Il semblerait que cette transaction ait été masquée », a déclaré Zhou. « Tous les signataires ont vu une interface utilisateur masquée affichant l'adresse correcte, et l'URL provenait de Safe. »

Mais le message de signature a modifié la logique dutracintelligent du portefeuille froid ETH de Bybit. Cela a permis au pirate de prendre le contrôle du portefeuille et de transférer tous les ETH vers une adresse nondent.