Une seule machine de développeur, 1,5 milliard de dollars envolés
Le 21 février 2025, la plateforme d’échange Bybit a perdu environ 401 347 ETH — soit environ 1,5 milliard de dollars. Le FBI a officiellement attribué l’attaque au groupe TraderTraitor de Corée du Nord, composante de l’opération Lazarus qui finance les programmes nucléaires et balistiques de Pyongyang.
Le braquage n’a pas exploité de faille dans les protocoles blockchain ou la logique des contrats intelligents. Lazarus a compromis l’environnement de développement de Safe{Wallet}, la plateforme de portefeuille que Bybit utilisait pour gérer son stockage à froid.
Anatomie d’un braquage de chaîne d’approvisionnement
L’analyse technique de NCC Group révèle une opération méthodique sur 17 jours. Le 19 février, les attaquants ont remplacé un fichier JavaScript bénin sur `app.safe.global` par du code malveillant conçu chirurgicalement pour cibler le portefeuille froid multisig Ethereum de Bybit.
Lorsque Bybit a initié un transfert routinier le 21 février, le code malveillant a intercepté la transaction et redirigé 401 347 ETH vers un portefeuille contrôlé par les attaquants. L’ensemble du vol s’est effectué en une seule transaction.
Publicité
Blanchiment à grande vitesse
En quelques semaines, Lazarus avait blanchi la majorité des actifs volés via un réseau sophistiqué de milliers d’adresses blockchain, de conversions en Bitcoin, de mixeurs crypto, de ponts cross-chain et de courtiers OTC clandestins.
La machine de guerre crypto de la Corée du Nord
Selon NBC News, les hackers nord-coréens ont volé au moins 2,02 milliards de dollars en cryptomonnaie en 2025 — une augmentation de 51 %. Le braquage de Bybit représentait environ trois quarts du total. Chainalysis rapporte que la Corée du Nord était responsable d’environ 60 % de toutes les cryptomonnaies volées mondialement.
Leçons pour l’industrie
Le maillon le plus faible n’était pas la blockchain ni le contrat intelligent — c’était l’ordinateur portable d’un développeur. Les portefeuilles multi-signatures offrent une sécurité contre le vol de clés privées mais aucune défense quand l’interface de signature elle-même est compromise.
Questions Fréquemment Posées
Comment le groupe Lazarus a-t-il compromis le portefeuille froid de Bybit malgré la protection multi-signatures ?
Lazarus n’a pas attaqué les protections cryptographiques du portefeuille. Il a compromis la machine d’un développeur de Safe{Wallet} et injecté du JavaScript malveillant qui manipulait l’interface de signature. Lorsque les employés de Bybit ont approuvé ce qui semblait être un transfert routinier, le code modifié a redirigé 401 347 ETH.
Combien de cryptomonnaie la Corée du Nord a-t-elle volé au total ?
Les hackers nord-coréens ont volé au moins 2,02 milliards de dollars en 2025, une augmentation de 51 % en glissement annuel. Le braquage de Bybit représentait environ trois quarts de ce total. Les fonds volés servent à financer les programmes nucléaires et balistiques.
Que peuvent faire les organisations pour se protéger contre les attaques supply chain comme le braquage de Bybit ?
Les organisations devraient imposer des politiques strictes de gestion des appareils pour les développeurs, implémenter une vérification matérielle des transactions, auditer indépendamment les déploiements de code tiers et maintenir une surveillance en temps réel des modifications non autorisées du code de production.
Sources et lectures complémentaires
- North Korea Responsible for $1.5 Billion Bybit Hack — FBI
- In-Depth Technical Analysis of the Bybit Hack — NCC Group
- The Bybit Hack: Following North Korea’s Largest Exploit — TRM Labs
- Lazarus Hacked Bybit via Breached Safe{Wallet} Developer Machine — BleepingComputer
- The Bybit Heist: What Happened and What Now — Wilson Center
- Hackers Steal $1.5 Billion from Bybit — CNBC
