Mise à jour concernant le piratage de Bybit : près de 700 millions de dollars en cryptomonnaies volées ont disparu.

Un important vol de cryptomonnaies, impliquant 1,4 milliard de dollars volés à la plateforme d'échange Bybit, suscite de nouvelles inquiétudes dans le secteur des actifs numériques.

Selon les données compilées par la plateforme d'échange et les chercheurs en sécurité, environ 644 millions de dollars de fonds volés — soit près de la moitié du total — ont disparu des systèmes de surveillance de la blockchain.

Ces fonds ont été systématiquement acheminés via des services de mélange de cryptomonnaies, conçus pour masquer l'origine et la destination des transactions.

Ce développement jette un nouvel éclairage sur l'évolution des méthodes de blanchiment d'argent, en particulier avec le maintien de l'utilisation de services qui avaient été sanctionnés ou qui étaient censés avoir cessé d'exister.

L'enquête révèle également des liens avec le groupe de pirates informatiques nord-coréen TraderTraitor, qui a exploité une vulnérabilité dans l'ordinateur portable d'un développeur début février.

L'exploitation de la vulnérabilité a été rendue possible par un logiciel malveillant se faisant passer pour un simulateur d'investissement boursier, ce qui a conduit à la compromission d'informations d'identification sensibles.

Le blanchiment d'argent est dominé par Wasabi Wallet et eXch.

L'enquête de Bybit révèle que 247,5 millions de dollars (environ 966 BTC) ont été acheminés via Wasabi Wallet, un portefeuille Bitcoin axé sur la confidentialité qui utilise CoinJoin pour mélanger les transactions.

Un autre montant de 94,1 millions de dollars a été transféré via eXch, un service de blanchiment d'argent moins connu qui avait annoncé publiquement sa fermeture en avril 2025.

Cependant, des experts en informatique judiciaire ont confirmé qu'eXch reste actif via des API de back-end, ce qui permet le blanchiment d'argent de continuer sans être détecté par la plupart des systèmes de surveillance standard.

Des services de mélange tels que Tornado Cash et Railgun ont également été utilisés, mais dans une moindre mesure.

TRM Labs a confirmé que Tornado Cash avait été utilisé pour blanchir 2,5 millions de dollars en Ethereum, tandis que Railgun avait facilité des transactions en Ethereum d'une valeur de 1,7 million de dollars.

Ces services fonctionnent en regroupant les fonds de plusieurs utilisateurs et en les redistribuant d'une manière qui rend le suivi presque impossible.

Les analystes de TRM Labs ont décrit l'activité de blanchiment d'argent comme étant « extrêmement difficile » à suivre en raison de la manière dont les transactions sont regroupées et redistribuées.

L'activité d'eXch suscite des inquiétudes après avoir annoncé sa fermeture.

eXch, en particulier, a attiré une attention considérable en raison de son annonce de fermeture en avril.

Des chercheurs en sécurité cryptographique, y compris des analystes de TRM Labs, ont confirmé que le serveur de l'application était toujours opérationnel.

La persistance de l'infrastructure d'eXch, même après l'annonce publique de sa fermeture, a ajouté une couche de complexité aux enquêtes en cours.

Un défi majeur pour les enquêteurs réside dans l'opacité totale créée par ces mélangeurs. Les transactions deviennent presque impossibles à suivre une fois qu'elles entrent dans ces services.

TRM Labs a souligné que, comme tous les fonds entrants et sortants sont mélangés, il est impossible d'identifier les utilisateurs ou les adresses individuelles derrière les transferts.

Cela limite l'efficacité des outils de transparence de la blockchain, même lorsqu'une analyse forensique est appliquée.

Le groupe TraderTraitor, lié à la Corée du Nord, est accusé d'être à l'origine de la violation de données.

La situation est encore plus compliquée par l'implication présumée d'acteurs soutenus par l'État.

Safe, un fournisseur d'interfaces de wallet crypto , a publié en mars 2025 des informations indiquant que le groupe de pirates nord-coréens TraderTraitor était à l'origine de la violation initiale.

Les pirates informatiques ont pu accéder aux fonds de Bybit après avoir compromis le MacBook d'un développeur chez Safe.

L'attaque a été menée en intégrant un logiciel malveillant dans un fichier Docker déguisé en simulateur d'investissement boursier.

Une fois exécuté, le logiciel malveillant s'est connecté à un domaine suspect et a installé des scripts malveillants qui ont extrait les jetons de session AWS.

Ces jetons ont ensuite été utilisés pour contourner l'authentification multi-factorielle et accéder aux systèmes de back-end de Bybit.

La violation a eu lieu début février et figure parmi les plus importants vols de cryptomonnaies de 2025.

Cela a suscité un examen plus approfondi de la part des autorités de réglementation et a donné lieu à des débats sur les vulnérabilités de l'infrastructure Web3, en particulier les points de terminaison des développeurs et les informations d'identification d'accès au cloud.