Indodax piraté pour 22 millions de dollars, soupçonné de groupe Lazarus

La bourse de crypto-monnaie Indodax, basée en Indonésie, est la dernière victime d'une attaque dont les spéculations émergent selon lesquelles elle pourrait avoir été orchestrée par le groupe nord-coréen Lazarus.

Signalé par la plateforme de cybersécurité Cyvers et confirmé par d'autres plateformes comme PeckShield et SlowMist.

L'attaque a ciblé le portefeuille chaud d'Indodax et a réussi à siphonner environ 22 millions de dollars de diverses crypto-monnaies, notamment Bitcoin, Ether, Polygon et Tron, ainsi que d'autres jetons.

Cyvers affirme que le vol a été effectué sur plus de 150 transactions et que l'attaquant a immédiatement commencé à échanger les fonds contre de l'Ether, une tactique couramment utilisée par les criminels pour empêcher que les actifs volés ne soient mis sur liste noire.

Ethereum ne prend pas en charge la modification des autorisations d'adresse. En revanche, d'autres jetons ERC-20 peuvent implémenter une fonction de mappage dans leurs contrats intelligents pour maintenir une liste noire d'adresses.

Une fois les fonds volés convertis en ETH, les attaquants ont tendance à blanchir le butin via des mélangeurs de crypto-monnaie comme Tornado Cash.

Détails de l'attaque

Dans ce cas, le vol impliquait plus de 1,42 million de dollars en Bitcoin, environ 2,4 millions de dollars en jetons basés sur Tron, plus de 14,6 millions de dollars en divers jetons ERC-20, environ 2,58 millions de dollars en POL et 900 000 dollars supplémentaires en ETH de la blockchain Optimism.

Selon Cyvers, l'attaque proviendrait d'une fuite de la clé privée du portefeuille chaud, probablement due à une faille dans la machine de signature d'Indodax, l'appareil utilisé pour signer et approuver les transactions.

Cependant, SlowMist a estimé que l'exploit résultait d'une vulnérabilité dans le système de retrait de l'échange qui permettait à l'attaquant de siphonner les fonds des portefeuilles chauds.

Entre-temps, Indodax a suspendu tous les services sur sa plateforme après avoir reconnu la violation et son site Web était également en panne au moment de la publication.

Dans un message publié sur X, la plateforme a déclaré qu'elle « procédait à une maintenance complète » et a assuré aux utilisateurs que leurs fonds étaient en sécurité.

Dans une publication ultérieure, la bourse a également averti les utilisateurs d'éviter toute entité se faisant passer pour Indodax et proposant des services de récupération de fonds.

Il s’agit d’une tactique d’escroquerie courante dans laquelle les fraudeurs incitent les victimes de failles de sécurité à envoyer de l’argent, en promettant faussement de les aider à récupérer leurs fonds perdus.

Pour soulager un peu ses utilisateurs pendant la maintenance en cours, la bourse a annoncé un concours, offrant 3 millions de roupies (environ 200 dollars) toutes les heures à trois gagnants. Une mesure qui n'est pas typique dans une situation comme celle-ci.

Cependant, avec un solde de réserve de 369 millions de dollars, selon les données de CoinMarketCap, Indodax dispose d'un coussin important qui pourrait être utilisé pour aider à indemniser les investisseurs concernés.

Le groupe Lazarus est suspecté

Entre-temps, Yosi Hammer, responsable de l'IA chez Cyvers, a suggéré que l'attaque présentait des similitudes avec les piratages précédents menés par le groupe nord-coréen Lazarus, connu pour ses vols de crypto-monnaies sophistiqués.

Le groupe Lazarus aurait également été à l'origine de l'attaque du 18 juillet contre la bourse indienne de crypto-monnaies WazirX. Dans la même veine, 230 millions de dollars d'actifs ont été volés dans les portefeuilles chauds de la bourse et blanchis via Tornado Cash.

La gravité de l'attaque a conduit à la fermeture complète de la plateforme qui poursuit désormais un plan d'arrangement à Singapour.

Comme indiqué précédemment par Invezz, le groupe de hackers soutenu par l'État nord-coréen a été impliqué dans plus de 25 piratages sur diverses blockchains d'août 2020 à octobre 2023.