Les entreprises tentent de tirer profit du piratage de Bybit.

Ce segment provient de la newsletter 0xResearch. Pour accéder aux éditions complètes, abonnez-vous.

Le vol de 1,4 milliard de dollars a suscité une réponse attendue : une vague d’entreprises de sécurité et d’infrastructure affirmant que leur technologie aurait pu empêcher cette attaque.

Le FBI a confirmé que le piratage était l’œuvre du groupe Lazarus de Corée du Nord, qui visait la configuration du {Wallet} de Bybit. Un détail clé révélé récemment est qu’une machine appartenant à un développeur de confiance, et non l’infrastructure de Bybit elle-même, a été compromise, permettant aux attaquants d’injecter un code malveillant dans l’interface de signature des transactions.

Cette tromperie a entraîné l’approbation aveugle d’une transaction frauduleuse par les signataires de Bybit, ce qui a drainé le plus grand portefeuille Ethereum de la plateforme.

Le chercheur en sécurité, Taylor Monahan, a souligné que cette attaque était entièrement prévisible au vu du problème de la signature aveugle, qui préoccupe l’industrie cryptographique depuis longtemps. Comme elle l’a fait remarquer : « Il n’existe pas d’organisation dans ce domaine qui prenne la sécurité suffisamment au sérieux pour se protéger contre un adversaire aussi dévoué, persistant et motivé que Lazarus. »

Les principales conclusions incluent :

L’interface utilisateur du Safe {Wallet} a été compromise – l’interface de BEBIT a affiché une transaction légitime, mais les signataires ont approuvé, sans le réaliser, une transaction entièrement différente.

La signature aveugle sur les appareils Ledger a été le dernier maillon faible – le signataire final de BEBIT, Ben Zhou, a reconnu qu’il n’avait pas vérifié la transaction en entier sur son portefeuille matériel Ledger avant de l’approuver.

L’attaque a ciblé la surveillance humaine – Lazarus n’a pas eu besoin d’exploiter les contrats intelligents ni de briser la sécurité cryptographique ; il a simplement tiré parti de la confiance dans l’interface utilisateur.

L’ancien PDG de Binance, CZ, a critiqué la réponse de Safe, soulevant des questions importantes telles que : Pourquoi une seule machine d’un développeur a-t-elle accès au processus de transaction de Bybit ? Comment le processus de signature de Ledger n’a-t-il pas empêché cela ? Quelles leçons de sécurité l’industrie devrait-elle tirer ?

Toutes ces questions méritent un temps de réflexion pour être pleinement abordées.

Une vague d’entreprises se précipite

À chaque piratage de grande envergure, des entreprises inondent le secteur en affirmant que leur produit aurait pu prévenir l’incident. Certaines s’attaquent au problème spécifique – la vérification sécurisée des transactions – tandis que d’autres détournent le récit à des fins de marketing.

• Oisy (portefeuille Onchain basé sur Dfinity)

Réclamation : Les extensions de navigateur et la gestion des clés privées sont des failles critiques. Oisy les élimine en fonctionnant complètement Onchain.

Réalité : L’attaque n’avait rien à voir avec les extensions de navigateur ou l’exposition des clés privées – il s’agissait d’une signature aveugle. Bien que l’architecture d’Oisy soit innovante, elle ne résout pas le problème à l’origine de ce piratage.

• Réseau Cloud Impossible (stockage cloud décentralisé)

Réclamation : Les services cloud centralisés (comme AWS) étaient responsables de l’exploit.

Réalité : Bien que le stockage cloud décentralisé puisse réduire les surfaces d’attaque, le recours n’a pas été piraté via AWS. Le problème venait de la manipulation de l’interface utilisateur et de la signature aveugle de Safe, et non du choix du fournisseur d’hébergement cloud.

• Cubiste (sécurité de signature basée sur le matériel)

Réclamation : L’application de politiques de signature strictes, comme des adresses pré-approuvées, des retards de gouvernance et l’authentification multi-facteurs, aurait bloqué cet exploit.

Réalité : Cela est effectivement pertinent. Si Bybit avait appliqué des restrictions de signature, Lazarus n’aurait pas pu le tromper avec une transaction malveillante.

• Fireblocks (application des politiques de sécurité et de transaction basées sur MPC)

Réclamation : Le modèle de sécurité de Bybit était fondamentalement défectueux – l’exigence de signature aveugle de Ledger, combinée à la vulnérabilité de l’interface utilisateur de Safe, l’a laissée exposée à l’attaque. Fireblocks soutient que son infrastructure basée sur MPC, ses moteurs de politiques et sa vérification en temps réel des transactions auraient atténué ce risque.

Réalité : Cette affirmation constitue une des réponses les plus pertinentes. L’application des politiques de Fireblocks aurait empêché les approbations non justifiées, en exigeant des règles de transaction prédéfinies qui bloquent les transactions inattendues, même si les signataires sont trompés.

Cependant, il y a aussi un risque, comme l’a dit Taylor Monahan avec son humour caractéristique : « Multigosg, semi-gardien, MPC… devient un produit bla bla bla… et augmente en fait votre surface d’attaque plutôt que de la réduire. »

La véritable leçon est que la confiance aveugle dans l’interface utilisateur représente le plus grand trou de sécurité. L’attaque de Bybit ne concernait ni les contrats intelligents ni la sécurité des clés privées – elle était fondée sur une confiance aveugle dans une interface utilisateur compromise.

Dans le domaine de la crypto, il faut se méfier, vérifier. Sinon, on oublie l’essentiel de l’utilisation des portefeuilles matériels au premier chef. Chaque solution qui néglige cette réalité passe à côté de l’essentiel.

Malgré tout le bruit autour du stockage cloud décentralisé, des portefeuilles Onchain et des interfaces sans navigateur, lorsque des milliards de dollars sont en jeu, rien de tout cela n’a d’importance si l’on n’a pas :

• Des politiques de signature des transactions strictes
• Une vérification des transactions obligatoire sur les portefeuilles matériels
• Des délais de gouvernance et des approbations multicouches

Alors que Lazarus continue d’évoluer, l’industrie de la cryptographie doit cesser de rechercher des solutions tendance et se concentrer sur le renforcement de la sécurité des transactions, car il semble qu’un prochain hack d’une ampleur similaire de 1,4 milliard de dollars n’est qu’une question de temps.

Recevez les nouvelles directement dans votre boîte de réception. Découvrez les newsletters de BlockWorks :

• Blockworks quotidiennement: La newsletter qui aide des milliers d’investisseurs à comprendre la crypto et les marchés, par Byron Gilliam.
• Empire: Commencez votre journée avec les meilleures idées cryptographiques de David Canellis et Katherine Ross.
• Guidage à terme: Explorez l’intersection croissante entre la crypto, la macroéconomie, la politique et la finance avec Ben Strack, Casey Wagner et Felix Jauvin.
• 0xResearch: Recevez des informations directement dans votre boîte de réception – Faits saillants du marché, graphiques, idées commerciales de dégen, mises à jour de gouvernance, etc.
• Vitesse: Tous les sujets concernant Solana, dans votre boîte de réception, tous les jours de Jack Kubinec et Jeff Albus.
• La goutte: La newsletter pour les collectionneurs et les commerçants de crypto, couvrant les jeux, les jetons, les applications, les mèmes et plus encore.