Safe, le développeur derrière le produit MultiSignature Safewallet utilisé par Bybit, a diffusé une courte mise à jour post-mortem détaillant la cause principale du récent piratage de Bybit – une machine de développeur compromise. Cette annonce a suscité une réaction critique du co-fondateur de Binance, Changpeng « CZ » Zhao.
Selon Safe, l’analyse médico-légale du piratage de Bybit n’a révélé aucune vulnérabilité dans les contrats intelligents sûrs ou le code de son interface ainsi que des services impliqués dans l’incident de cybersécurité de 1,4 milliard de dollars.
Martin Köppelmann, co-fondateur du réseau Gnosis Blockchain qui a développé le protocole sûr, a précisé que la machine compromise avait été modifiée pour cibler le recours sécurisé et rediriger les transactions vers un portefeuille matériel différent.
« Cette mise à jour de Safe n’est pas satisfaisante. Elle utilise un jargon vague pour décrire les problèmes », a écrit Zhao dans un post du 26 février. Zhao a également demandé des précisions sur la compromission des machines de développeurs, sur la manière dont les pirates ont convaincu plusieurs signataires de valider la transaction, sur l’accès d’une machine de développeur aux systèmes de Bybit, et sur les raisons pour lesquelles les hackers n’ont pas visé d’autres adresses.
Source: Changpeng Zhao
Köppelmann a ajouté qu’il ne pouvait que supposer comment les pirates avaient réussi à faire approuver des transactions frauduleuses par plusieurs signataires et a théorisé que les acteurs malveillants choisissaient de ne pas cibler d’autres adresses afin de réduire les risques de détection.
Un examen médico-légal réalisé par Sygnia et Verichains a révélé le 26 février que « les identifiants d’un développeur de Safe avaient été compromis […] permettant à l’attaquant d’accéder sans autorisation à l’infrastructure sécurisée (portefeuille) et de manipuler les signataires pour approuver une transaction malveillante. »
Source: Martin Köppelmann
En rapport: Le PDG de Bybit déclare la « guerre contre Lazare » après un piratage de 1,4 milliard de dollars.
Les fonds du groupe Lazarus blanchis dans le cadre du piratage de Bybit
Les données d’Onchain montrent que le groupe Lazarus a transféré 45 900 éther (ETH), soit environ 113 millions de dollars, au cours des dernières 24 heures.
Au total, le montant des fonds blanchis s’élève, au moment de la rédaction, à plus de 135 000 ETH, ce qui correspond à environ 335 millions de dollars.
Selon l’analyste EMBERCN, le groupe de piratage notoire aura probablement « nettoyé » les fonds dans un délai de 8 à 10 jours.
La société d’analyse Bybit et la blockchain Elliptic ont suivi la crypto volée jusqu’à plus de 11 000 portefeuilles contrôlés par le groupe Lazarus.
Elliptic a également publié un flux de données d’adresses associées au groupe de pirates pour aider les acteurs du marché à éviter ces adresses de portefeuille et à prévenir le blanchiment d’argent.
Revue: L’exploit préféré du groupe Lazarus révélé – Analyse des hacks cryptographiques.
Résumé : La mise à jour de Safe, qui explique le piratage de Bybit, a suscité des critiques de Changpeng Zhao de Binance. Bien que Safe n’ait identifié aucune faille dans son code, il a révélé qu’une machine de développeur compromise avait permis aux attaquants de manipuler les transactions. Le groupe Lazarus est soupçonné d’être impliqué dans le blanchiment d’importants montants de crypto volée, avec des efforts pour nettoyer les fonds en cours. Cette affaire soulève des questions sur la sécurité des infrastructures blockchain et les pratiques de gestion des clés privées.
