Une attaque par laptop. Le hack de la plateforme Bybit continue de susciter de vifs débats. Il est indéniable que le montant dérobé est phénoménal. En effet, les hackers ont réussi à subtiliser 1,4 milliard de dollars en cryptomonnaies. Rapidement, la piste du groupe Lazarus a été envisagée et confirmée par les autorités américaines. De son côté, le fournisseur du portefeuille multisig – ironiquement nommé Safe – a ouvert une enquête. Finalement, tout semble avoir commencé par l’ordinateur portable compromis d’un de ses développeurs…
- Le hack de Bybit est qualifié de désastre historique, avec un vol de 1,4 milliard de dollars en cryptomonnaies.
- Une enquête a révélé que l’attaque orchestrée par le groupe Lazarus a commencé par le compromis du laptop d’un développeur de Safe.
Le hack de Bybit serait dû à un laptop compromis
Le hack de la plateforme Bybit est considéré comme la plus grande défaite de sécurité jamais enregistrée dans le domaine des cryptomonnaies. Bien que la gestion de cette crise tente de se donner une image exemplaire, le montant impliqué est sans précédent.
En effet, 1,4 milliard de dollars ont été détournés au bénéfice de la Corée du Nord, suite à une opération minutieuse et complexe menée par les hackers tristement connus de Lazarus.
Cependant, une question demeurait sans réponse. Quelle a été la porte d’entrée de cette attaque de grande envergure?
Cette interrogation a rapidement mis en lumière la société Safe, en charge des wallets multisigs de Bybit. Cela a conduit à une enquête interne dont les résultats ont montré que tout est parti de l’ordinateur portable (laptop) d’un de ses développeurs.
« Les preuves suggèrent qu’il s’agissait d’une attaque hautement sophistiquée, parrainée par un État. Nous partageons ces conclusions dans un esprit de transparence afin de mettre en évidence les principales leçons apprises et d’appeler la communauté à renforcer ses défenses. »
La société Safe mène l’enquête
Concrètement, l’ordinateur d’un développeur senior de Safe a été compromis alors qu’il interagissait avec un projet Docker malveillant, un type d’attaque qui existe depuis de nombreuses années.
De ce fait, les hackers ont rapidement pu contourner l’authentification à deux facteurs sur le compte Amazon Web Services (AWS) de Safe. Puis, deux semaines après cette intrusion, ils ont inséré un code JavaScript malveillant, à l’origine du hack de Bybit.
Cette situation reste complexe à analyser. Comme l’explique le rapport de Safe, « l’attaquant a supprimé son logiciel malveillant et effacé l’historique Bash pour contrecarrer les efforts d’enquête ».
À la suite de cet incident, Safe a renforcé ses mesures de sécurité et a souligné que « l’acte de signer la transaction représente actuellement la dernière ligne de défense ». C’est pourquoi l’entreprise a publié un guide complet sur les procédures à suivre.
De son côté, la plateforme Bybit a annoncé une récompense de 140 millions de dollars pour toute information permettant de récupérer les fonds volés. Toutefois, cela ne pourra pas effacer le traumatisme engendré par « le plus grand hold-up de l’histoire des cryptomonnaies ». Un record que personne ne souhaite voir surpasser… sauf les hackers de Lazarus, toujours en embuscade.
