Skip to content
Retour aux chroniques
#crypto#lazarus-group#supply-chain

Le casse Bybit

Des opérateurs nord-coréens ont piégé un signataire Safe{Wallet} en lui faisant approuver une transaction malveillante. Une signature a déplacé 1,5 milliard de dollars d’Ether en un seul bloc.

Cyber Chronicle2 min de lecture

En février 2025, la plateforme d’échange de cryptomonnaies basée à Dubaï Bybit annonce que son opération de cold wallet a été compromise par une seule transaction qui a déplacé environ quatre cent mille Ether — soit environ 1,5 milliard de dollars à l’époque — vers des adresses contrôlées par les attaquants. C’est le plus grand vol de cryptomonnaies connu à ce jour.

Une interface de signature empoisonnée

L’intrusion ne vise pas directement l’infrastructure de Bybit. Les attaquants — attribués par la suite au Lazarus Group nord-coréen par le FBI et plusieurs sociétés d’analyse blockchain — compromettent l’environnement de développement de Safe{Wallet}, la plateforme de multi-signature que Bybit utilisait pour détenir ses réserves. Depuis le pipeline de build de Safe{Wallet}, ils modifient l’interface d’approbation de transaction destinée aux utilisateurs, de sorte qu’un transfert de routine que les signataires de Bybit s’attendaient à approuver allait, une fois validé, déléguer en réalité le contrôle complet du cold wallet à une logique contrôlée par les attaquants.

L’interface de signature affiche la transaction légitime. La blockchain enregistre la transaction malveillante. La fenêtre entre l’approbation et la confirmation irréversible on-chain se compte en secondes.

Une campagne de blanchiment à la vitesse d’internet

En quelques heures, l’Ether dérobé est fragmenté sur des centaines d’adresses et acheminé via des plateformes d’échange décentralisées. Les trackers de l’industrie, Chainalysis et Elliptic inclus, suivent le flux quasiment en temps réel, et une partie finit par être gelée par des plateformes coopérantes. Une fraction importante, non.

Ce que la chronique retient

Bybit a recadré la chaîne d’approvisionnement crypto. L’attaque n’a exploité ni un smart contract ni une clé privée. Elle a exploité la couche lisible par l’humain entre un signataire et la blockchain — l’hypothèse que ce que l’interface montre est ce que la chaîne reçoit. Chaque fournisseur de portefeuille de l’industrie a passé les semaines suivantes à publier des guides de durcissement de la simulation de transactions.