Près de 28 % des cryptomonnaies volées lors du piratage de Bybit (1,4 milliard de dollars) ont « disparu ».

Le PDG de Bybit a appelé à une augmentation du nombre de chasseurs de primes pour aider à retrouver les cryptomonnaies volées, car près de 28 % des 1,4 milliard de dollars pillés par le groupe Lazarus de Corée du Nord restent introuvables.

Dans un message publié sur X le 21 avril, le cofondateur et PDG Ben Zhou a détaillé le résumé des fonds piratés, indiquant qu'environ 386 millions de dollars de ces fonds avaient « disparu » après avoir été acheminés via des mixeurs et des ponts vers plusieurs plateformes pair-à-pair et de gré à gré.

Pour ceux qui ne le savent pas, les mixeurs de cryptomonnaies sont des services qui masquent l'origine des actifs numériques en mélangeant les fonds de plusieurs utilisateurs et en les redistribuant à de nouvelles adresses.

Ce processus rompt le lien en chaîne entre l'expéditeur et le destinataire, rendant le suivi beaucoup plus difficile.

Les mélangeurs de cryptomonnaies ont été initialement créés comme un outil d'amélioration de la confidentialité, mais ils sont également largement exploités pour le blanchiment de fonds volés.

Selon Zhou, les attaquants ont siphonné environ 500 000 ETH en février en prenant le contrôle d'un portefeuille froid.

Environ 68,6 % des fonds volés restent traçables, tandis que les efforts de recouvrement ont jusqu'à présent permis de geler un peu moins de 4 %, une part relativement faible, soit environ 54 millions de dollars.

Les ETH volés ont principalement été transférés en Bitcoin via THORChain, avec 432 748 ETH (environ 1,21 milliard de dollars) échangés.

Sur ce total, 342 975 ETH, d'une valeur d'environ 960 millions de dollars, ont été convertis en 10 003 BTC et répartis sur près de 36 000 portefeuilles.

5 991 ETH supplémentaires, soit environ 17 millions de dollars, restent sur Ethereum, répartis sur 12 000 portefeuilles.

Du côté Bitcoin, Zhou a révélé que 944 BTC (environ 90 millions de dollars) sont passés par le mixeur Wasabi, des montants plus faibles étant ensuite transférés vers d'autres services, tels que CryptoMixer, Tornado Cash et Railgun.

Des acteurs malveillants ont également exploité les échanges inter-chaînes via des plateformes telles que eXch, Lombard, LiFi, Stargate et SunSwap avant de finalement liquider leurs actifs via des points de sortie en monnaie fiduciaire.

Pour suivre ces mouvements, Bybit a lancé le programme de récompenses Lazarus en février, offrant 140 millions de dollars à quiconque peut contribuer au processus de récupération.

Jusqu'à présent, seuls 70 rapports sur plus de 5 400 ont été validés. La majeure partie des 2,3 millions de dollars de primes versées a été attribuée à la plateforme de couche 2 Mantle, qui a contribué à geler 42 millions de dollars de cryptomonnaies volées.

« Nous avons besoin de plus de chasseurs de primes capables de décoder les mixeurs », a déclaré Zhou, soulignant la complexité croissante du traçage de ces fonds lorsqu'ils transitent par plusieurs chaînes.

Historique du piratage de ByBit

Le piratage de Bybit en février 2025 est devenu le plus grand incident de sécurité que l'industrie des cryptomonnaies ait connu depuis sa création.

Le groupe de pirates informatiques nord-coréen Lazarus, soutenu par l'État, a été désigné comme le principal suspect derrière cette violation.

Le 21 février, les attaquants auraient exploité le portefeuille froid multisig Ethereum de ByBit lors d'un transfert de routine vers le portefeuille chaud de la plateforme en manipulant l'interface de signature.

Bien que l'adresse du portefeuille correcte ait été affichée du côté de ByBit, la logique du contrat intelligent sous-jacent avait été modifiée pour rediriger les fonds vers les pirates informatiques.

Un rapport distinct publié en mars par la société de cybersécurité Mandiant affirmait que la violation pourrait avoir commencé par un faux projet d'investissement boursier infecté par un logiciel malveillant.

Le logiciel malveillant aurait été téléchargé sur un ordinateur portable Mac appartenant à un développeur de Safe{Wallet}, un fournisseur d'infrastructure tiers intégré à Bybit.