Le vol de 1,4 milliard de dollars chez Bybit, orchestré par le groupe Lazarus, a mis à l’épreuve la résilience de l’industrie des cryptomonnaies. L’attaque, révélée le 21 février, a entraîné des mesures de sécurité rapides et une solidarité entre échanges, dont Bitget et Crypto.com. Malgré une chute de la valeur des actifs de Bybit, l’échange a continué à traiter les retraits. Les fonds dérobés ont été dissimulés à travers divers portefeuilles, compliquant leur traçabilité.
Le vol de 1,4 milliard de dollars chez Bybit ne se limite pas à être la plus grande attaque dans le domaine des cryptomonnaies ; il représente également un test décisif des compétences en gestion de crise de l’industrie, illustrant son évolution depuis l’effondrement de FTX.
Le 21 février, le groupe Lazarus, originaire de Corée du Nord, a dérobé 1,4 milliard de dollars en Ether (ETH) et en jetons associés. Cette violation a suscité une grande inquiétude dans le milieu des cryptomonnaies, mais l’industrie a rapidement uni ses forces pour soutenir Bybit dans la gestion de la situation.
Voici un récapitulatif de l’attaque, des mesures prises par Bybit et des mouvements des fonds dérobés.
21 février : Le piratage de Bybit
Le piratage a été initialement détecté par l’analyste onchain ZachXBT, qui a alerté les plateformes et les échanges pour qu’ils bloquent les adresses liées à cette attaque.
Peu après, Ben Zhou, le co-fondateur et PDG de Bybit, a confirmé l’incident et a commencé à fournir des mises à jour sur la situation.
Un rapport préliminaire de Chainalysis a d’abord suggéré que Lazarus avait utilisé des attaques de phishing pour accéder aux fonds de l’échange. Cependant, cette analyse a été révisée pour indiquer que les hackers avaient réussi à infiltrer l’ordinateur d’un développeur de Safe plutôt que de compromettre les systèmes de Bybit.
Les attaquants ont réussi à « rediriger » environ 401 000 ETH, équivalant à 1,14 milliard de dollars au moment de l’attaque, et à les transférer à travers un réseau de portefeuilles intermédiaires.
21 février : Sécurité des portefeuilles et situation d’Ethena
L’échange a rapidement rassuré ses utilisateurs sur la sécurité de ses portefeuilles restants, annonçant quelques minutes après la confirmation du piratage que « tous les autres portefeuilles froids de Bybit restent entièrement sécurisés. Tous les fonds des clients sont en sécurité, et nos opérations continuent normalement sans interruption. »
Quelques heures après l’attaque, les retraits des clients sont restés ouverts. Zhou a déclaré lors d’une session de questions-réponses que l’échange avait approuvé et traité 70 % des demandes de retrait à ce moment-là.
La plateforme de finance décentralisée Ethena a également informé ses utilisateurs que son stablecoin générant des intérêts, USDe, restait solvable après le piratage. Bien qu’elle ait eu une exposition de 30 millions de dollars à des produits dérivés sur Bybit, elle a réussi à compenser les pertes grâce à son fonds de réserve.
22 février : Solidarité de l’industrie crypto et mesures contre les hackers
De nombreux échanges de cryptomonnaies ont offert leur aide à Bybit. La PDG de Bitget, Gracy Chen, a annoncé que son échange avait prêté environ 40 000 ETH (environ 95 millions de dollars à l’époque) à Bybit.
Kris Marszalek, le PDG de Crypto.com, a indiqué qu’il mobiliserait son équipe de sécurité pour apporter son soutien. D’autres entreprises ont commencé à geler des fonds associés au piratage. Paolo Ardoino, le PDG de Tether, a révélé sur X que son entreprise avait gelé 181 000 USDt (USDT) liés à cette attaque. De plus, Mudit Gupta, le responsable de la sécurité de l’information chez Polygon, a mentionné que l’équipe de Mantle avait pu récupérer environ 43 millions de dollars de fonds auprès des hackers.
Lié : Adam Back critique la ‘mauvaise conception de l’EVM’ comme cause principale du piratage de Bybit
Zhou a exprimé sa gratitude sur X, en remerciant plusieurs entreprises de premier plan qui ont apporté leur aide, y compris Bitget, Galaxy Digital, la Fondation TON et Tether.
Bybit a également mis en place un programme de récompense, offrant jusqu’à 10 % des fonds récupérés, mettant en jeu jusqu’à 140 millions de dollars.
22 février : Afflux de retraits et mouvements des fonds de Lazarus
A la suite de l’incident, les retraits des utilisateurs ont provoqué une chute de plus de 5,3 milliards de dollars de la valeur totale des actifs de l’échange.
Malgré cet afflux de retraits, Bybit a continué à accepter les demandes, bien qu’avec des retards. L’auditeur indépendant des réserves de Bybit, Hacken, a confirmé que les réserves dépassaient toujours les passifs.
Parallèlement, les analyses blockchain ont montré que Lazarus continuait à diviser les fonds en plusieurs portefeuilles intermédiaires, rendant leur suivi encore plus difficile.
Un exemple cité par la société d’analyse blockchain Lookonchain a révélé que Lazarus avait transféré 10 000 ETH, d’une valeur proche de 30 millions de dollars, vers un portefeuille identifié comme « Bybit Exploiter 54 » pour commencer à blanchir les fonds.
Selon la société de sécurité blockchain Elliptic, il est probable que ces fonds soient destinés à un mixeur, un service qui dissimule les liens entre les transactions blockchain, bien que cela puisse s’avérer difficile en raison du volume élevé des biens volés.
23 février : eXch, Bybit et l’allongement des listes noires
Les analystes blockchain ZachXBT et Nick Bax ont tous deux affirmé que les hackers avaient réussi à blanchir des fonds sur l’échange de cryptomonnaies non-Know Your Customer eXch. ZachXBT a rapporté qu’eXch avait blanchi 35 millions de dollars des fonds, mais avait accidentellement envoyé 34 ETH à un portefeuille chaud d’un autre échange.
eXch a nié avoir blanchi des fonds pour la Corée du Nord, mais a admis avoir traité une « portion insignifiante de fonds du piratage de Bybit. »
Les fonds « sont finalement entrés dans notre adresse 0xf1da173228fcf015f43f3ea15abbb51f0d8f1123, ce qui représente un cas… »