Y-a-t-il quelque chose de pourri dans la crypto? Oui, pour l’enquêteur crypto star ZachXBT. Il y a quelques jours, ce dernier a partagé sur son canal Telegram ses réflexions sur le monumental hack de Bybit, ce méga-casse à 1,46 milliard de dollars d’un exchange. « Passer de longues heures à aider à geler les fonds [volés] a été révélateur, signale ZachXBT, actuellement classé troisième contributeur dans la traque du butin, avec l’identification et le gel de l’équivalent de 625 000 dollars. Le blanchiment du hold-up prouve à quel point le système est défaillant, poursuit-il en substance.
Une conclusion poussée par deux observations. Avec le piratage de Bybit, des protocoles décentralisés ont tout d’abord vu leur activité bondir.
En clair, ces derniers ont gagné de l’argent avec les opérations de blanchiment, sans « assumer la moindre responsabilité ». Ensuite, les plateformes d’échanges ont été bien longues à réagir, accuse l’enquêteur crypto, permettant là aussi le blanchiment des fonds volés.
Commentaire désabusé de ZachXBT, l’un des détectives crypto les plus connus, sur le blanchiment des fonds volés à Bybit
— Gabriel Thierry (@gabrielthierry.bsky.social) 20 mars 2025 à 16:50
Part des fonds perdus fluctuante
Selon le compteur du bug bounty mis en place Bybit, les fonds gelés ne représentent qu’une part infime (3,62%) du butin des pirates informatiques, environ l’équivalent de 50 millions de dollars. Pire, pour le patron de l’exchange, Ben Zhou, la trace d’environ 8,6% des fonds a été perdue, tandis que 88,9% du butin est toujours sous surveillance. Des statistiques toutefois évolutives: au début du mois, le même homme évaluait à 20% la part des fonds perdus.
Le butin est d’abord passé, rappelle l’entreprise volée, par Thorchain, avec un flux d’environ 1,18 milliards de dollars. Censé faciliter l’échange de différentes cryptos entre elles, la passerelle avait déjà été utilisée dans le piratage de FTX de novembre 2022. Une portion bien plus faible du butin, l’équivalent de 140 millions de dollars, est elle passée par OKX, un autre service de finance décentralisée.
Un cheminement des pirates repéré par la structure, qui assure avoir dans la foulée suspendu temporairement ses services. Bybit observe désormais l’utilisation de services de mixages, comme Wasbi, CryptoMixer, Raigun ou TornadoCash pour blanchir les fonds.
Questionnements
Le plus grand hack crypto jamais connu a été attribué par le FBI américain à un groupe affilié à la Corée du nord. Des pirates soupçonnés à cause des adresses de portefeuilles crypto utilisées. Ils auraient d’abord piraté le compte d’un développeur de l’application Safe{Wallet}. Ce qui leur aurait permis d’injecter une charge malveillante dans l’interface utilisateur de ce logiciel. Cette dernière a alors trompé ensuite des employés de Bybit qui ont validé sans le savoir la transaction permettant le vol.
Dans un dernier rapport, l’entreprise de cybersécurité britannique NCC Group estime toutefois que Bybit aurait pu faire mieux pour muscler ses défenses. Son portefeuille de gestion des contrats intelligents avait « une surface d’attaque bien plus importante que nécessaire ».
De même, la transaction à l’origine du piratage a été approuvée les yeux fermés, sans vérification des informations affichés par Safe{Wallet}. Et de remarquer a posteriori: un service interne chargé de vérifier les transactions aurait pu stopper le piratage. Certes facile à dire, mais vu les sommes en jeu, cela valait le coup de faire ceinture et bretelles.