On commence à en savoir plus sur le méga-piratage de Bybit, évalué à la bagatelle de l’équivalent de 1,4 milliard de dollars. Mercredi, le P-DG de l’entreprise, Ben Zhou, a ainsi partagé les rapports d’enquête de Sygnia et de Verichains. Ces deux entreprises de cybersécurité ont été missionnées pour décortiquer ce hack sophistiqué.
Ces deux documents de huit et de vingt-huit pages retracent précisément une partie de la mécanique de ce vol, déclenché par la signature malencontreuse d’une transaction via le logiciel Safe{Wallet}, une plateforme de gestion d’actifs crypto présentée comme “la plus fiable” du marché. Le butin est principalement constitué d’ethereum (401 347 ETH), mais aussi de certains de ses dérivés (8000 mETH, 90375 stETH et de 15000 cmETH plus précisément).
Over $1.4 billion taken from Bybit crypto exchange
February 21, 2025
https://www.web3isgoinggreat.com/?id=bybit-hack— web3 is going just great (@web3isgoinggreat.com) 21 février 2025 à 18:09
La machine d’un développeur
Les deux entreprises ont tout d’abord retrouvé la trace d’une charge utile malveillante Javascript sur l’application Safe, mise en ligne le mercredi 19 février, vers 15h30. Soit deux jours avant le piratage.
Ce code malveillant a été déposé sur l’un des serveurs Amazon de Safe, probablement, estime Verichains, à la suite de la compromission d’un compte cloud ou de la clé API de l’entreprise.
Dans un communiqué, Safe a précisé que les attaquants étaient bien passés par une machine compromise d’un développeur. Une voie d’accès qui leur a permis donc de modifier l’interface utilisateur du logiciel Safe avec cette charge utile. La société s’est empressée également de rappeler qu’aucune vulnérabilité dans les contrats intelligents Safe ou dans le code source de ses services n’avait été identifiée.
Des formules “vagues”
Une déclaration qui a laissé sur leur faim des personnalités de la crypto. Changpeng Zhao, le fondateur de Binance, s’est étonné ainsi de formules “vagues” et peu précises. Ce dernier aurait aimé – et nous aussi – avoir des précisions sur les modalités du piratage du développeur et son profil, par exemple.
Quoiqu’il en soit, comme Bybit l’a amèrement constaté, cette charge malveillante était destinée à tromper des utilisateurs en modifiant le contenu de la transaction au cours du processus de signature
Ce qui a permis ici aux pirates de prendre le contrôle du portefeuille froid de l’exchange, là où dormaient les réserves de l’entreprise basée à Dubaï.
Une adresse recherchée
Au final, la charge utile a été identifiée dans les fichiers de cache du navigateur Google Chrome des trois signataires de la transaction à l’origine du vol. Le même code a été retrouvé dans une archive de la Wayback Machine, ce site qui permet de consulter des versions antérieures d’une page.
Il ciblait “spécifiquement Bybit”, remarque l’enquêteur de Verichains, Thanh Nguyen.
La charge était en effet “conçue pour s’activer uniquement lorsque certaines conditions étaient remplies”, poursuit-il dans son rapport, en recherchant deux adresses, celle du contrat intelligent de Bybit et une autre, probablement une adresse de test des pirates. Une façon de s’assurer que la porte dérobée reste bien cachée.
Rythme de blanchiment “alarmant”
Rejoignant les premières analyses à chaud, le FBI américain a pointé du doigt la responsabilité de la Corée du nord dans ce hack. Au vu des adresses Ethereum utilisées pour exfiltrer les fonds, le bureau fédéral estime que “TraderTraitor”, l’un des noms donnés au groupe Lazarus, est derrière le hold-up.
Maigre consolation, l’équivalent d’environ 40 millions de dollars ont pu être gelés. Ne reste donc environ qu’1,4 milliard à retrouver. Il va falloir faire vite.
L’entreprise de traçage crypto TRM Labs s’est ainsi émue du rythme “‘particulièrement alarmant” du blanchiment des fonds, avec déjà l’équivalent de 400 millions de dollars exfiltrés par les pirates le 27 février. “Un défi pour les enquêteurs”, au vu des volumes de transactions illicites à surveiller, avertit l’entreprise.