Principaux à retenir
- Le FBI a confirmé que le groupe de Lazarus de la Corée du Nord était à l’origine du piratage de 1 milliard de dollars.
- L’agence a exhorté les plates-formes crypto et les services Defi pour bloquer les adresses de portefeuille qui blanchissaient les fonds volés.
- Les pirates ont exploité le partenaire du portefeuille de Bybit, Safe, en injectant du code malveillant dans son interface utilisateur.
Le Federal Bureau of Investigation (FBI) a officiellement lié le piratage de 1,5 milliard de dollars au groupe de Lazare parrainé par l’État de 1,5 milliard de dollars.
La brèche, qui s’est produite le 21 février, a ciblé l’un des portefeuilles froids de Bybit, volant plus de 401 000 ETH. L’attaque marque le dernier d’une série de crates de crypto de haut niveau attribués aux pirates nord-coréens.
Le FBI a publié un conseil public exhortant les échanges de crypto, les services Defi, les sociétés d’analyse de blockchain et les fournisseurs d’infrastructures pour bloquer les transactions impliquant des adresses associées aux pirates.
Sommaire
Les pirates blanchissent des millions en crypto volés
Selon le FBI, plus de 250 millions de dollars d’Ethereum (ETH) ont déjà été blanchis depuis le piratage de Bybit.
Les pirates ont divisé les fonds volés en transactions plus petites et les ont déplacées sur plusieurs réseaux de blockchain dans le but d’obscurcir leurs origines.
Le FBI a identifié Plus de 100 adresses Ethereum liées à l’opération de blanchiment et demande aux plates-formes d’empêcher le mouvement supplémentaire des fonds.
L’avertissement de l’agence fait suite à un modèle observé lors des précédentes attaques de groupes de Lazare, où les actifs volés sont rapidement distribués sur divers réseaux pour échapper à la détection.
Bybit n’était pas directement compromis – son partenaire de Wallet était
UN Analyse post mortem de l’attaque a révélé que le recours lui-même n’était pas directement violé. Au lieu de cela, les pirates ont exploité une vulnérabilité dans son fournisseur de services de portefeuille, Safe.
Selon les enquêteurs, le groupe Lazare a compromis le seau AWS S3 de Safe et a injecté JavaScript malveillant dans son interface utilisateur. Cela leur a permis d’exécuter des transactions non autorisées sans déclencher d’alarmes.
L’exploit a spécifiquement ciblé le relais, modifiant l’interface utilisateur sûr pour tromper les signataires de l’échange pour approuver une transaction apparemment légitime. En réalité, le script malveillant a redirigé les fonds vers les pirates.
La méthode d’attaque démontre la sophistication croissante des cybercriminels nord-coréens, qui ont commencé à cibler les fournisseurs de portefeuilles tiers plutôt que les échanges eux-mêmes.
Une menace croissante pour la sécurité de la cryptographie
Le groupe Lazare reste l’une des organisations de piratage les plus notoires de l’industrie crypto, volant des milliards de dollars au cours de la dernière décennie.
Leurs tactiques ont évolué, passant des violations d’échange direct à l’exploitation des tours de sécurité dans les partenaires de portefeuille et les fournisseurs de garde. Le Hack Bybit partage des similitudes avec la violation de Wazirx de 235 millions de dollars, où les attaquants ont compromis les clés privées de son partenaire de garde.
Malgré les sanctions en cours et les efforts d’application de la loi, les pirates nord-coréens continuent de s’adapter, constituant une menace persistante pour les plateformes crypto du monde entier.