Le Braquage Bybit : Comment la Corée du Nord a volé 1,5 milliard en 47 minutes
21 février 2025. 12h30 Coordinated Universal Time.
Au sein du centre d'opérations de Bybit — une bourse de cryptomonnaies dont le siège est à Dubai, gérant des dizaines de milliards de dollars de volume de transactions quotidien — un transfert planifié débute.
Quatre cent un mille trois cent quarante-sept tokens Ethereum. Environ un virgule cinq milliard de dollars à ce moment-là. Le transfert est routinier : depuis le cold wallet multisignature de Bybit, conservé hors ligne pour la sécurité, vers un warm wallet utilisé pour la liquidité opérationnelle.
Trois employés seniors de Bybit sont requis pour autoriser la transaction. Ils ouvrent l'interface Safe{Wallet} sur leurs postes de travail. Ils vérifient l'adresse de destination. Ils vérifient les détails de la transaction. Tout correspond à l'opération attendue.
Ils signent.
Une minute plus tard, quatre cent un mille tokens Ethereum ont disparu.
Non transférés vers le warm wallet. Transférés vers une adresse contrôlée par North Korea.
Aucun mot de passe n'a été volé. Aucune clé privée n'a été extraite. Aucune information d'identification n'a été hameçonnée. L'infrastructure de Bybit elle-même n'a pas été compromise. Les trois signataires ont fait exactement ce que leurs procédures leur avaient demandé de faire. Ce qu'ils ont vu sur leurs écrans, ils l'ont approuvé.
Ce qu'ils ont vu sur leurs écrans était un mensonge.
C'est le plus grand vol de cryptomonnaies jamais enregistré. Il s'agit, selon la classification du Guinness World Records, du plus grand braquage de banque de l'histoire — dépassant même le milliard de dollars que Saddam Hussein a extrait de la banque centrale d'Iraq en 2003.
Il a été exécuté en modifiant un seul fichier sur un site web.
L'attaque n'a pas ciblé Bybit directement.
L'infrastructure de Bybit — serveurs, postes de travail des employés, matériel de signature, réseaux internes — n'a jamais été pénétrée. Chaque enquête forensique ultérieure, menée par les firmes indépendantes Sygnia et Verichains, a confirmé la même conclusion. Bybit n'a pas été piraté.
La société qui a été piratée était Safe — anciennement Gnosis Safe — la plateforme de wallet multisignature la plus largement utilisée dans l'écosystème Ethereum. Safe maintient l'interface web à app.safe.global par laquelle la plupart des détenteurs institutionnels d'Ethereum gèrent l'autorisation multipartite des transactions importantes.
L'équipe d'ingénieurs de Safe compte environ trente personnes. Parmi elles, un petit groupe d'administrateurs système a les permissions de modifier le code de production en direct et l'interface web déployée.
Environ trente jours avant le 21 février, l'un de ces administrateurs système est ciblé.
Le vecteur est cohérent avec le modus operandi de l'unité de North Korea suivie en interne par le Federal Bureau of Investigation sous le nom de TraderTraitor. L'unité est une sous-composante du plus large Lazarus Group, opérant depuis le Troisième Bureau du Reconnaissance General Bureau de North Korea.
La technique spécifique n'est pas divulguée publiquement par Safe ni par les enquêteurs. Très probablement : une approche d'ingénierie sociale très ciblée, passant par un contact LinkedIn, un forum de développeurs ou un prétexte de collaboration technique. L'administrateur télécharge ce qui semble être un artefact technique légitime. L'artefact contient un malware.
Le malware dérobe les tokens de session AWS. Pas des identifiants à long terme — mais les tokens d'authentification temporaires que les développeurs de Safe utilisent pendant leur journée de travail normale pour accéder à Amazon Web Services, où l'interface web de Safe est hébergée.
Avec ces tokens, les attaquants obtiennent l'accès au compte AWS de Safe.
Ils n'extraient pas de données. Ils ne déploient pas de ransomware. Ils ne tentent pas de mouvement latéral à travers l'infrastructure.
Ils modifient un fichier JavaScript.
Le fichier servi depuis le bucket de stockage Amazon S3 de Safe est le JavaScript frontend qui affiche l'interface d'approbation des transactions dans les navigateurs des signataires de Bybit.
La version modifiée contient ce que les enquêteurs forensiques décrivent plus tard comme une logique malveillante conditionnelle.
Pour la grande majorité des utilisateurs de Safe — détenteurs ordinaires, autres exchanges, projets de finance décentralisée — le JavaScript modifié se comporte de manière identique à la version légitime. L'interface s'affiche normalement. Les transactions se déroulent comme prévu. Rien ne semble anormal.
Le code malveillant ne s'exécute que lorsque des conditions spécifiques sont remplies.
Ces conditions sont conçues précisément pour Bybit.
Le code vérifie : cette session est-elle authentifiée par rapport à l'une des trois adresses de wallet spécifiques ? La transaction proposée est-elle un transfert depuis le cold wallet Ethereum de Bybit ? Si les deux conditions sont vraies — procéder.
Si les deux conditions sont vraies, le JavaScript malveillant intercepte les données de transaction juste avant qu'elles ne soient affichées aux signataires. Il substitue la logique de transaction. Ce que les signataires voient sur leur écran — adresse de destination, montant, type d'opération — reste visuellement identique au transfert légitime prévu.
Ce qu'ils signent réellement est un `delegatecall` vers un contrat contrôlé par North Korea.
Dans Ethereum, `delegatecall` est une primitive qui permet à un smart contract d'exécuter du code dans le contexte d'un autre — avec un accès complet au stockage et aux fonds de l'appelant. Lorsqu'un signataire approuve une transaction qui inclut un `delegatecall`, il ne fait pas que transférer des fonds. Il accorde au contrat appelé un contrôle total sur le wallet appelant.
En approuvant ce qu'ils croient être un transfert de routine, les trois signataires de Bybit accordent à un contrat contrôlé par North Korea la propriété totale de leur cold wallet.
L'attaquant le vide ensuite.
Quatre cent un mille trois cent quarante-sept tokens Ethereum. Un virgule cinq milliard de dollars.
Les trois signataires avaient l'authentification multifacteur activée sur leurs comptes. Les trois avaient des clés de sécurité matérielles actives. Rien de tout cela n'a eu d'importance. La tromperie s'est produite à la couche au-dessus de l'authentification — à la couche où les propres yeux du signataire interprètent ce qu'on lui demande d'approuver.
Deux minutes après que la transaction ait atterri sur le mainnet Ethereum, le JavaScript malveillant sur le site web de Safe est supprimé.
Le fichier modifié est remplacé par la version légitime. Tout visiteur ultérieur de app.safe.global reçoit un code propre. La preuve a disparu de l'environnement en direct.
Mais l'infrastructure de Safe n'est pas le seul endroit où le fichier a été servi. Les archives de la Wayback Machine — l'archive publique du web maintenue par l'Internet Archive — avaient capturé la version malveillante pendant sa fenêtre de déploiement actif. Lorsque les enquêteurs ont reconstruit l'attaque, le fichier archivé est devenu une preuve forensique centrale. Les attaquants n'avaient pas anticipé que l'archive web publique copiait discrètement leur exploit.
Les systèmes de détection de Bybit signalent l'anomalie en quelques minutes. Le PDG Ben Zhou confirme publiquement le vol en quelques heures. Les firmes d'analyse blockchain commencent à tracer l'Ethereum volé en temps réel.
L'opération de blanchiment a déjà commencé.
La méthodologie de blanchiment de cryptomonnaies de North Korea est mature.
Dans les quarante-huit premières heures suivant le vol, les analystes blockchain estiment qu'environ cent soixante millions de dollars en Ethereum sont blanchis avec succès via des échanges décentralisés et des ponts cross-chain. Les actifs sont convertis, fragmentés, mélangés via des protocoles de confidentialité et reconstitués à travers des milliers d'adresses blockchain.
La cible de conversion préférée est Bitcoin.
Le modèle de transaction de Bitcoin utilise les Unspent Transaction Outputs — une structure qui traite chaque transaction comme une unité discrète, analogue à l'argent physique. Tracer une valeur spécifique en dollars à travers Bitcoin nécessite de suivre les UTXOs individuels à travers de nombreuses adresses, une tâche forensique exponentiellement plus complexe que le traçage d'un compte Ethereum.
L'unité de blanchiment de North Korea, désignée par le FBI comme TraderTraitor, convertit la majeure partie de l'Ethereum volé en Bitcoin au cours de la première semaine.
Le FBI publie un communiqué de service public le 26 février 2025 — cinq jours après l'attaque — attribuant formellement le vol à North Korea. Le bureau divulgue cinquante et une adresses Ethereum identifiées comme faisant partie de l'infrastructure de blanchiment. Il appelle les exchanges, les plateformes de finance décentralisée et les firmes de renseignement blockchain à bloquer les transactions provenant de ces adresses.
L'attribution est rapide selon les standards des enquêtes sur les cyberattaques d'État. Elle est rendue possible par la correspondance de motifs.
Les adresses utilisées pour déplacer les fonds volés de Bybit recoupent, à des points spécifiques, les adresses utilisées lors de vols de cryptomonnaies antérieurs — le vol de Phemex en 2024, le vol de BingX en 2024, le vol de Poloniex en 2023. Les firmes de renseignement blockchain Elliptic et TRM Labs, ainsi que l'enquêteur indépendant ZachXBT, établissent les recoupements en quelques jours.
Les mêmes opérateurs utilisent la même infrastructure de blanchiment pour des braquages répétés. L'infrastructure est la signature.
Contexte de l'échelle.
Selon plusieurs firmes de renseignement blockchain, le Lazarus Group et ses sous-composantes ont volé, sur une période de plusieurs années, entre trois virgule quatre et plus de six milliards de dollars en cryptomonnaies. Rien qu'en 2024, les vols liés à North Korea représentaient plus de deux milliards de dollars.
Le milliard et demi de dollars de Bybit, dérobé en une seule opération, dépasse le deuxième plus grand braquage unique — le vol de trois cent huit millions de dollars de l'exchange DMM Bitcoin du Japan en 2024 — par un facteur de cinq.
Les fonds circulent, via des réseaux de blanchiment, vers des comptes contrôlés par le gouvernement de la Democratic People's Republic of Korea. Les désignations du Treasury Department ont établi à plusieurs reprises que ces comptes financent les programmes d'armement de North Korea, y compris le développement de missiles balistiques et son programme nucléaire.
Bybit, pour sa part, survit. L'entreprise est solvable. Quelques heures après le vol, le PDG Ben Zhou organise des prêts relais et des afflux stratégiques d'autres détenteurs institutionnels pour reconstituer les réserves. Les fonds des clients restent protégés. Aucun utilisateur n'a perdu d'actifs déposés.
L'exchange lance un programme de récompense pour le recouvrement, offrant jusqu'à dix pour cent des fonds récupérés à ceux qui aident à les tracer ou à les saisir.
La grande majorité de l'Ethereum volé n'a pas été récupérée.
Les éléments non résolus de ce dossier sont structurels.
Bybit n'a rien fait de mal selon les standards des meilleures pratiques de garde de cryptomonnaies. L'entreprise a utilisé le cold storage pour ses réserves. Elle a utilisé l'autorisation multisignature pour les transferts. Elle a utilisé un fournisseur d'interface tiers réputé. Elle a utilisé des clés de sécurité matérielles pour ses signataires. Chaque contrôle défensif recommandé par l'industrie, Bybit l'a mis en œuvre.
L'attaque les a tous contournés en compromettant une couche hors du contrôle de Bybit.
Safe, le fournisseur d'interface, sert des milliers de clients institutionnels. N'importe lequel de ces clients aurait pu être la cible. Bybit a été choisi parce que les attaquants avaient, grâce à leur reconnaissance initiale, identifié à l'avance ses adresses de cold wallet et ses schémas de transaction. Le JavaScript conditionnel a été conçu autour de ces points de données spécifiques.
La faiblesse architecturale sous-jacente est générale, non spécifique.
Toute interface web utilisée pour signer des transactions de cryptomonnaies est, par définition, un point potentiel de manipulation d'affichage. Si l'interface peut être subtilement modifiée — par la compromission de son infrastructure d'hébergement, de son réseau de diffusion de contenu, de son dépôt de code source ou de son pipeline de déploiement — un signataire ne peut pas, dans la plupart des implémentations, vérifier indépendamment ce qu'il est réellement en train de signer.
Les hardware wallets avec affichage indépendant des transactions sont une atténuation partielle. Mais de nombreux hardware wallets ne décodent pas les structures de transaction complexes comme `delegatecall` sous une forme lisible par l'homme. Ils affichent un hash brut. Un utilisateur fixant une chaîne hexadécimale de soixante-quatre caractères ne peut pas en vérifier le sens par inspection.
L'utilisateur doit faire confiance à l'interface.
North Korea a démontré, le 21 février 2025, le coût de cette confiance.
Fragment Zero suivra le dossier.
Les fonds volés continuent de se fragmenter à travers la blockchain mondiale. Des portions restent statiques dans des adresses qui ont été taguées et sanctionnées. Des portions continuent de bouger. Les cinquante et une adresses identifiées par le FBI sont passées à plusieurs centaines, sur plusieurs chaînes.
Le développeur de Safe dont la machine a été compromise n'a pas été nommé publiquement. Le vecteur d'ingénierie sociale spécifique utilisé pour l'atteindre n'a pas été détaillé publiquement.
Le Lazarus Group continue d'opérer. Dans les mois suivant le vol de Bybit, des vols plus petits mais toujours substantiels — mesurés en dizaines de millions de dollars — ont été attribués à la même infrastructure.
La question plus profonde n'est pas de savoir si les cryptomonnaies peuvent être volées.
La question plus profonde est de savoir quelle part de l'infrastructure financière repose désormais sur un petit nombre de projets d'interface open-source — maintenus par de petites équipes, mis à jour via des pipelines de déploiement en direct, consommés via des navigateurs web — qui se trouvent entre des milliards de dollars d'actifs et les humains qui les autorisent.
Dans ce cas, le nombre de personnes qui auraient pu empêcher le plus grand vol de l'histoire était d'une. Et il a cliqué sur quelque chose.
