290 M$ de cryptomonnaies volées en 2 mois : quelles sont les techniques des hackers nord-coréens ?

Lazarus vole plus de 290 millions de dollars de cryptomonnaies en 2 mois

Pour le moment, 2023 semble plus épargnée que les années précédentes en termes de hacks dans l’écosystème, avec un total s’élevant actuellement à 635 millions de dollars. Cependant, nous avons tout de même observé quelques attaques conséquentes ces derniers mois, et à lui seul, le groupe nord-coréen Lazarus aurait volé plus de 290 millions de dollars de cryptomonnaies sur les 2 mois écoulés.

Face à ces chiffres, les analystes de DefiLlama ont mené une enquête sur les techniques utilisées par ces voleurs, en se concentrant particulièrement sur le récent cas de CoinsPaid, victime d’une attaque à 37 millions de dollars il y a quelques semaines.

En effet, des liens ont pu être confirmés avec le groupe Lazarus, compte tenu du fait de l’utilisation de wallets impliqués dans les hacks du bridge d’Harmony et Atomic Wallet :

A few nights back, @zachxbt and I stumbled on a crazy direct link btwn funds stolen from Coinspaid/Alphapo <> Atomic Wallet <> Harmony.

Last night, ~$8.5m of the funds from Coinspaid/Alphapo (w/ some leftovers from Atomic Wallet) went flying across 300+ addies on 3 chains.

😳 https://t.co/onn6v75JxW pic.twitter.com/10DNH11F6L

— Tay 💖 (@tayvano_) August 3, 2023

👉 Pour aller plus loin — Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack

🎧 Écoutez cet article et toutes les autres actualités crypto sur Spotify

6 mois de préparation et des attaques variées

Avant l’attaque du 22 juillet, les hackers de Lazarus ont passé plus de 6 mois à se préparer en utilisant diverses méthodes pour compromettre la sécurité de CoinsPaid.

Le 7 juillet dernier, par exemple, une immense tentative d’attaque par déni de service (DDoS) a ciblé la plateforme, en impliquant 150 000 adresses IP.

Entre les mois de juin et juillet, les rapports citent également des tentatives de pots-de-vin, mais aussi de fausses offres d’emploi à destination des ingénieurs de la plateforme, pour des salaires compris entre 16 000 et 24 000 dollars par mois.

C’est d’ailleurs le téléchargement d’un logiciel malveillant par un employé pensant mener un entretien d’embauche pour Crypto.com qui permettra d’ouvrir une faille conduisant au succès du hack. En effet, le code du logiciel malveillant a permis aux attaquants d’accéder au système de CoinsPaid afin d’exploiter une vulnérabilité.

Ainsi, les équipes de CoinsPaid ont rapporté à DefiLlama les compétences du groupe Lazarus en matière d’ingénierie sociale :

« Bien que vous puissiez penser qu’une telle tentative d’installation de logiciels malveillants sur l’ordinateur de l’employé est évidente, les pirates ont passé 6 mois à apprendre tous les détails possibles sur CoinsPaid, les membres de notre équipe, la structure de notre entreprise, etc. Des groupes de pirates de haut niveau comme Lazarus sont capables de créer une histoire complètement crédible pour tirer parti des cibles potentielles. »

Tandis que les hacks les plus impressionnants sont généralement dus à la mise à profit de problèmes dans le code source d’applications de finance décentralisée (DeFi), nous voyons là qu’il ne faut pas sous-estimer le facteur humain. Et pour cause, il est souvent plus facile pour une entité malveillante d’exploiter ce levier, plutôt que de chercher des vulnérabilités techniques.

👉 Dans l’actualité également — Binance devient le premier exchange de cryptomonnaies entièrement régulé au Salvador

Source : DefiLlama

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

2226 articles

Tous ses articles