Une enquête menée par Sygnia Labs et Verichains a confirmé que les pirates de Bybit ont exploité une machine de développement Safe Wallet compromise pour voler des fonds. Bien que la bourse affirme que ses systèmes n'ont pas été piratés, Safe a reconfiguré son infrastructure pour éliminer les vulnérabilités.
Bybit, l'une des plus grandes bourses de crypto-monnaie au monde, a subi un vol d'Ethereum d'une valeur de plus de 1.400 milliard de dollars. Les détails de l'attaque, révélés dans un récent rapport médico-légal mené conjointement par Sygnia Labs et Verichains, pointent vers un vecteur inhabituel : la manipulation de code dans la plateforme de Safe Wallet, un fournisseur de portefeuilles matériels multi-signatures utilisés par les institutions.
Selon le rapport, les attaquants ont eu accès à une machine de développement Safe pour remplacer le fichier JavaScript sur app.safe.global, le portail officiel de gestion des actifs. Le code malveillant a été activé lors d'une transaction Bybit de routine, redirigeant des fonds vers des adresses contrôlées par le groupe Lazarus, un groupe de pirates informatiques lié à la Corée du Nord qui a été accusé d'être à l'origine de l'attaque.
PRÉPAREZ VOTRE PORTEFEUILLEBien que Bybit affirme que ses propres systèmes n'ont pas été compromis, l'incident expose des risques critiques pour la sécurité opérationnelle des fournisseurs de services blockchain.
Safe Wallet, de son côté, a confirmé la vulnérabilité et annoncé la reconfiguration complète de son infrastructure. Toutefois, des experts comme Michael Lewellen de Blockaid soulignent que l'attaque aurait pu être évitée par une vérification indépendante des transactions, une norme qui fait encore défaut sur de nombreuses plateformes.
Ingénierie silencieuse : comment le code fantôme s'est infiltré
Selon l’analyse médico-légale présentée par les entreprises, l’attaque contre Bybit a commencé des semaines avant le vol. Les pirates du groupe Lazarus ont compromis un ordinateur de développement de Safe Wallet en utilisant des techniques d'ingénierie sociale. Selon Sygnia Labs, le fichier safe-transaction.js sur le site app.safe.global a été remplacé par une version malveillante stockée sur Amazon S3 et distribuée via CloudFront, les services d'hébergement et de diffusion de contenu d'AWS.
Ce code camouflé Cela a fonctionné comme un cheval de Troie, car il est resté inactif jusqu'à ce que Bybit lance une transaction de routine à partir de son portefeuille matériel multi-signatures. À cette époque, les pirates informatiques Ils ont modifié les adresses de destination sans altérer l'interface visible par les signataires. En conséquence, trois dirigeants de Bybit ont approuvé la transaction en la considérant comme légitime, tandis que le script a détourné les fonds vers des adresses contrôlées par les pirates.
ACHETER DES BITCOINSVerichains a identifié que L'attaque a été programmée pour coïncider avec un transfert prévu, maximisant l'impact. Le code malveillant a été supprimé deux minutes après le vol, tentant d'effacer des preuves, mais a été enregistré dans des archives publiques telles que la Wayback Machine.
Bybit contre Safe : la bataille pour la responsabilité du piratage informatique
Alors que Bybit maintient que ses systèmes internes n'ont pas été piratés, Safe Wallet attribue l'incident à une violation sur une seule machine de développement. Le PDG de Bybit, Ben Zhou, a partagé les détails du rapport médico-légal sur X, tandis que Safe a reconnu qu'un ordinateur de développement avait été compromis, permettant le piratage. Elle a également déclaré avoir ajouté des mesures de sécurité pour éliminer le vecteur d'attaque.
« L'examen médico-légal de l'attaque menée par Lazarus contre Bybit a conclu que cette attaque ciblant le Safe Wallet de Bybit a été réalisée via une machine compromise d'un développeur de Safe Wallet, entraînant la proposition d'une transaction malveillante déguisée. « Lazarus est un groupe de piratage informatique nord-coréen sponsorisé par l'État, bien connu pour ses attaques d'ingénierie sociale sophistiquées contre les identifiants des développeurs, parfois combinées à des exploits zero-day », a-t-il déclaré.
Certificat
Cours sur la Blockchain
Niveau basiqueSuivez ce cours où nous expliquons la blockchain de manière claire, simple et concise afin que vous ayez une idée très claire de ce en quoi consiste cette nouvelle technologie.
Groupe Lazarus : le spectre mystérieux de la Corée du Nord
Les analystes en cybersécurité, tels que ZachXBT, ont retracé les fonds volés jusqu'à un réseau de portefeuilles numériques, dont beaucoup sont liés à des piratages antérieurs tels que ceux de Phemex et d'Atomic Wallet. Le groupe Lazarus, financé par le régime nord-coréen, a perfectionné des méthodes pour échapper aux sanctions économiques en utilisant des crypto-monnaies.
INVITÉ ET GANALe piratage de Bybit met en évidence un problème systémique dans la sécurité de l’infrastructure blockchain : le recours à des tiers expose même les plus grands acteurs à des risques imprévisibles. Cet épisode malheureux renforce la nécessité pour les entreprises de mettre en place des vérifications à plusieurs niveaux, de l’analyse des transactions à la gestion rigoureuse des accès internes.
Pour les utilisateurs, la leçon est double : les portefeuilles multi-signatures, bien que sécurisés en théorie, ne sont pas invulnérables en cas d’échec des processus opérationnels. Et face à des acteurs comme le groupe Lazarus, dont la sophistication rivalise avec celle des États-nations, l’industrie doit privilégier la collaboration plutôt que la concurrence.
L'investissement en cryptoactifs n'est pas entièrement réglementé, peut ne pas convenir aux investisseurs particuliers en raison de la forte volatilité et il existe un risque de perdre tous les montants investis.
