Vol chez Bybit : un pirate blanchit plus de 50 % des 1,4 milliard de dollars volés en Ethereum

Un pirate informatique responsable du vol de 1,4 milliard de dollars chez Bybit a blanchi plus de 50 % des Ethereum volés en seulement cinq jours, poussant les volumes de transactions de THORChain à des niveaux record.

Selon la société d'analyse de blockchain Spot On Chain, l'attaquant a transféré 266 309 Ethereum (ETH), d'une valeur d'environ 614 millions de dollars, à un rythme moyen de 48 420 ETH par jour.

Si ce rythme se maintient, les 233 086 ETH restants pourraient être entièrement blanchis d’ici cinq jours.

La recrudescence des transactions illicites a mis en lumière les vulnérabilités des protocoles de finance décentralisée (DeFi), THORChain ayant enregistré un volume de transactions sans précédent de 2,91 milliards de dollars entre le 22 et le 27 février.

Cette augmentation soudaine met en lumière la manière dont les plateformes DeFi peuvent être exploitées pour le blanchiment d'argent à grande échelle, soulevant des inquiétudes quant aux lacunes réglementaires dans le secteur des cryptomonnaies.

Les volumes de transactions THORChain ont atteint un record.

THORChain, un protocole de liquidité décentralisé, est devenu le principal canal de blanchiment des Ethereum volés. Avant l'attaque, le volume quotidien moyen des transactions sur THORChain s'élevait à 80 millions de dollars.

Depuis que le pirate informatique a commencé à transférer des fonds, les volumes quotidiens ont grimpé à 580 millions de dollars.

Le pic le plus spectaculaire a eu lieu le 26 février, lorsque THORChain a traité un montant record de 859,61 millions de dollars en échanges, suivi de 210 millions de dollars supplémentaires le 27 février, portant le total sur deux jours à plus d'un milliard de dollars.

Cette augmentation sans précédent a également généré des profits importants pour THORChain. Le réseau a gagné 3 millions de dollars de frais grâce à cette soudaine augmentation d'activité, soulignant l'impact financier des transactions illicites sur les plateformes DeFi.

Cette situation soulève des inquiétudes quant à la capacité des plateformes d'échange décentralisées à détecter et à prévenir les opérations de blanchiment d'argent à grande échelle.

Le FBI relie le piratage à la Corée du Nord.

Le Bureau fédéral d'investigation (FBI) américain a officiellement établi un lien entre le piratage de Bybit et des cybercriminels nord-coréens parrainés par l'État.

Dans un communiqué publié le 26 février, le FBI a identifié l'attaque comme faisant partie d'une campagne cybernétique plus large connue sous le nom de « TraderTraitor », qui a été utilisée pour cibler des entreprises de cryptomonnaies et des institutions financières dans le monde entier.

Des groupes de pirates informatiques nord-coréens, notamment le groupe Lazarus, ont été liés à plusieurs vols de cryptomonnaies de grande envergure ces dernières années.

Les fonds volés lors de telles attaques sont souvent utilisés pour financer le programme d'armement du pays, faisant du piratage de Bybit non seulement un crime financier, mais aussi une préoccupation géopolitique.

Le blanchiment rapide des actifs volés via les plateformes DeFi complique encore davantage les efforts de suivi et de récupération des fonds illicites, car les protocoles décentralisés ne bénéficient pas de la surveillance des systèmes financiers traditionnels.

Les attaquants ont exploité le fournisseur d'infrastructure.

Les enquêtes forensiques menées par Sygnia Labs et Verichain ont révélé que l'infrastructure de sécurité de Bybit est restée intacte malgré la violation.

Au lieu de cela, la vulnérabilité a été retracée jusqu'à une machine de développeur Safe Wallet compromise. Les attaquants ont exploité ce maillon faible pour injecter du code JavaScript malveillant dans l'interface utilisateur de Gnosis Safe, ciblant le portefeuille froid de Bybit.

Cet incident met en lumière un changement de tactique chez les pirates informatiques. Au lieu de s'attaquer directement aux plateformes d'échange, les cybercriminels ciblent de plus en plus les fournisseurs d'infrastructure qui soutiennent les principales plateformes de cryptomonnaies.

Bien que Safe ait affirmé que ses contrats intelligents restent sécurisés, l'attaque souligne la nécessité d'une sécurité renforcée dans l'ensemble de l'écosystème crypto, y compris chez les fournisseurs de portefeuilles et les développeurs tiers.

Pour atténuer les dommages, Bybit a lancé un site web pour suivre les mouvements des fonds volés. La plateforme propose également une récompense à toute plateforme ou personne qui aidera à récupérer les actifs.

Avec plus de la moitié des Ethereum volés déjà blanchis, la probabilité d'une récupération complète diminue rapidement.