arnaques
Le 21 février dernier a été un jour sombre pour le marché des cryptomonnaies, qui a subi le plus grand hold-up de son histoire. Les pirates informatiques ont dérobé environ 1,5 milliard de dollars à Bybit, la deuxième plus grande plateforme d’échange de cryptomonnaies au monde, les experts estimant qu’il s’agit du plus grand vol (de quoi que ce soit) de tous les temps. Bien que ni cette perte ni le retrait de 5 milliards de dollars supplémentaires par des investisseurs paniqués n’aient été fatals à Bybit, l’incident souligne les failles fondamentales de l’écosystème moderne des cryptomonnaies et sert de leçon aux utilisateurs réguliers.
Comment la plateforme Bybit a été dévalisée
Comme c’est le cas pour toutes les principales plateformes d’échange de cryptomonnaies, Bybit sécurise les cryptomonnaies stockées à l’aide d’une protection multicouche. La plupart des fonds sont stockés dans des portefeuilles froids déconnectés des systèmes en ligne. Lorsque les fonds actifs doivent être renfloués, la somme nécessaire est transférée manuellement du portefeuille froid au portefeuille chaud, et l’opération est signée par plusieurs employés à la fois. À cette fin, Bybit utilise une solution multisignature (multisig) de Safe{Wallet}, et chaque employé impliqué dans la transaction la signe à l’aide d’une clé cryptographique matérielle privée de Ledger.
Les pirates informatiques ont étudié le système en détail et, selon des chercheurs indépendants, ont compromis une machine de développement de Safe{Wallet}. Il est probable que des modifications malveillantes ont été apportées au code d’affichage des pages Internet de l’application Safe{Wallet}. Cependant, la bombe logique dissimulée à l’intérieur n’était déclenchée que si la source de la transaction correspondait à l’adresse du contrat Bybit. Dans le cas contraire, Safe{Wallet} fonctionnait comme d’habitude. Après avoir mené leur propre enquête, les dirigeants de Safe{Wallet} ont réfuté les conclusions des deux sociétés indépendantes de sécurité de l’information, insistant sur le fait que leur infrastructure n’avait pas été piratée.
Que s’est-il donc passé ? Lors d’un réapprovisionnement de routine de 7 millions de dollars sur un portefeuille chaud, les employés de Bybit ont vu sur leurs écrans d’ordinateur ce montant exact ainsi que l’adresse du destinataire, qui correspondait à l’adresse du portefeuille chaud. Mais d’autres données ont été envoyées pour signature à la place ! Dans le cas de virements classiques, l’adresse du destinataire peut (et doit !) être vérifiée sur l’écran de l’appareil de Ledger. Or, lors de la signature de transactions multisig, ces informations ne s’affichent pas – les employés de Bybit ont donc pour ainsi dire effectué un transfert à l’aveugle.
Ils ont donc involontairement donné le feu vert à un contrat intelligent malveillant qui a déplacé l’intégralité du contenu d’un des portefeuilles froids de Bybit vers plusieurs centaines de faux portefeuilles. Dès que le retrait du portefeuille Bybit a été effectué, le code du site Internet de Safe{Wallet} semble être retourné à la version inoffensive. Les attaquants sont actuellement occupés à « stratifier » l’Ethereum volé, c’est-à-dire à le transférer petit à petit pour tenter de le blanchir.
À première vue, Bybit et ses clients ont été victimes d’une attaque ciblée contre la chaîne d’approvisionnement.
L’affaire Bybit n’est pas un cas isolé
Le FBI a officiellement identifié un groupe nord-coréen dont le nom de code est TraderTraitor comme étant l’auteur de cet acte. Dans les milieux de l’information, ce groupe est également connu sous les noms de Lazarus, APT38 ou BlueNoroff. Il a pour particularité de mener des attaques persistantes, complexes et prolongées dans la sphère des cryptomonnaies : pirater des développeurs de portefeuilles, dévaliser des plateformes d’échange de cryptomonnaies, dépouiller des utilisateurs ordinaires et même développer de faux jeux de type « play-to-earn » (jouer pour gagner).
Avant le casse organisé à l’encontre de Bybit, le record du groupe était le vol de 540 millions de dollars dans la blockchain de Ronin Networks, créée pour le jeu Axie Infinity. Lors de cette attaque en 2022, les pirates informatiques ont infecté l’ordinateur de l’un des développeurs du jeu en utilisant une fausse offre d’emploi contenue dans un fichier PDF infecté. Cette technique d’ingénierie sociale reste à ce jour dans l’arsenal du groupe.
En mai 2024, le groupe a réussi à dérober plus de 300 millions de dollars à la plateforme d’échange de cryptomonnaies japonaise DMM Bitcoin, qui a fait faillite en conséquence. Avant cela, en 2020, plus de 275 millions de dollars ont été siphonnés de la bourse de cryptomonnaies KuCoin, une « fuite de clé privée » d’un portefeuille chaud étant citée comme raison.
Le groupe Lazarus perfectionne ses tactiques de vol de cryptomonnaies depuis plus d’une décennie. En 2018, nous avons rédigé un article sur une série d’attaques contre des banques et des plateformes d’échange de cryptomonnaies réalisées à l’aide d’une application de trading contenant un cheval de Troie, dans le cadre de l’opération AppleJeus. Les experts d’Elliptic estiment que les revenus criminels totaux des acteurs liés à la Corée du Nord s’élèvent à environ 6 milliards de dollars.
Ce que les investisseurs en cryptomonnaies devraient faire
Dans le cas de Bybit, les clients ont eu de la chance : la plateforme a rapidement répondu à la vague de demandes de retrait qui s’en est suivie, et a promis de compenser les pertes à partir de ses propres fonds. Bybit reste en activité, les clients n’ont donc pas besoin de prendre de mesures particulières.
Néanmoins, ce piratage démontre une fois de plus à quel point il est difficile de sécuriser les fonds qui transitent par les systèmes de blockchain, et à quel point il est difficile d’annuler une transaction ou de rembourser de l’argent. Compte tenu de l’ampleur sans précédent de l’attaque, beaucoup de personnes ont demandé que la blockchain Ethereum soit ramenée à son état d’avant le piratage, mais les développeurs d’Ethereum considèrent que c’est » techniquement irréalisable « . Entre-temps, Bybit a annoncé un programme de primes pour les plateformes d’échange de cryptomonnaies et les chercheurs éthiques à hauteur de 10 % des fonds récupérés, mais jusqu’à présent, seuls 43 millions de dollars ont été récupérés.
Cette situation a poussé certains experts de l’industrie des cryptomonnaies à spéculer sur le fait que les principales retombées de ce piratage seront une augmentation de la gestion autonome des cryptomonnaies.
La gestion autonome fait passer la responsabilité d’un stockage sécurisé des épaules des spécialistes aux vôtres. Par conséquent, ne vous engagez dans cette voie que si vous avez une confiance totale dans vos capacités à maîtriser l’ensemble des mesures de sécurité et à les suivre rigoureusement au quotidien. Il est à noter que les utilisateurs réguliers ne disposant pas de millions en cryptomonnaies ont peu de chances d’être confrontés à une attaque sophistiquée les visant spécifiquement, tandis que les attaques de masse génériques sont plus faciles à déjouer.
Alors, de quoi avez-vous besoin pour gérer vos cryptomonnaies de façon autonome en toute sécurité ?
- Achetez un portefeuille matériel avec écran. C’est le moyen le plus efficace de protéger vos cryptomonnaies. Faites d’abord quelques recherches et veillez à acheter un portefeuille directement auprès d’un fournisseur réputé. Jamais d’occasion ni sur une place de marché. Autrement, vous risquez de vous retrouver avec un portefeuille prépiraté qui engloutira tous vos fonds. Lorsque vous utilisez un portefeuille pour signer des transferts, vérifiez toujours l’adresse du destinataire aussi bien sur l’écran de l’ordinateur que sur celui du portefeuille afin d’éviter toute substitution par un contrat intelligent malveillant ou un cheval de Troie de type clipper qui remplacerait les adresses des cryptomonnaies dans le presse-papiers.
- Ne conservez jamais les phrases secrètes du portefeuille sous forme électronique. Oubliez pour cela les fichiers de votre ordinateur et les photos de votre galerie : les chevaux de Troie modernes ont appris à infiltrer Google Store et l’App Store et à reconnaître les données dans les photos stockées sur votre smartphone. La seule solution consiste à utiliser des documents papier (ou des gravures métalliques, si vous préférez) conservés dans un coffre-fort ou dans un autre lieu physiquement sûr, protégé à la fois contre les accès non autorisés et contre les catastrophes naturelles. Vous pouvez envisager plusieurs lieux de stockage, ainsi que de diviser votre phrase secrète en plusieurs parties.
- Ne mettez pas tous vos œufs dans le même panier. Pour les détenteurs de montants importants ou de différents types de cryptomonnaies, il est judicieux d’utiliser plusieurs portefeuilles. Les petits montants destinés aux transactions peuvent être stockés sur une plateforme d’échange de cryptomonnaies, tandis que la majeure partie peut être répartie entre plusieurs portefeuilles de cryptomonnaies matériels.
- Utilisez un ordinateur dédié. Dans la mesure du possible, dédiez un ordinateur aux transactions en cryptomonnaies. Limitez physiquement l’accès à votre ordinateur (mettez-le dans un coffre-fort, une armoire ou une pièce verrouillée), utilisez le chiffrement des disques et l’identification par mot de passe, et utilisez un compte séparé avec ses propres mots de passe (c’est-à-dire différents de ceux de votre ordinateur principal). Installez une protection fiable et activez les paramètres de sécurité maximale sur votre « crypto-ordinateur ». Connectez-le à Internet uniquement pour les transactions, et utilisez-le exclusivement pour les opérations avec des portefeuilles. Les jeux, les actualités sur les cryptomonnaies et les discussions avec les amis devraient être réservés à un autre appareil.
- S’il n’est pas pratique ni économique pour vous de dédier un ordinateur à un usage particulier, maintenez une hygiène numérique stricte sur votre ordinateur principal. Configurez un compte séparé avec de faibles privilèges (non-administrateur) pour les opérations de cryptomonnaies, et un autre compte (également non-administrateur) pour le travail, les discussions et les jeux. Il n’est pas nécessaire d’utiliser le mode administrateur, sauf pour mettre à jour le logiciel du système ou reconfigurer l’ordinateur en profondeur. Connectez-vous à votre « compte crypto » dédié uniquement pour les opérations avec les portefeuilles, et déconnectez-vous immédiatement après avoir effectué le nécessaire. Ne laissez pas des personnes extérieures accéder à l’ordinateur et ne communiquez à personne les mots de passe de l’administrateur.
- Choisissez avec soin votre logiciel pour le portefeuille de cryptomonnaies. Lisez attentivement la description du logiciel, assurez-vous que l’application est sur le marché depuis longtemps et vérifiez que vous la téléchargez à partir du site Internet officiel et que la signature numérique de la distribution correspond au site Internet et au nom du fournisseur. Effectuez une analyse minutieuse de votre ordinateur avec une solution de sécurité à jour avant d’installer et d’exécuter un logiciel de portefeuille de cryptomonnaies.
- Attention aux mises à jour. Bien que nous recommandions généralement de mettre à jour tous les logiciels immédiatement, dans le cas des applications de cryptomonnaies, il convient d’ajuster quelque peu cette règle. Après la publication d’une nouvelle version, patientez environ une semaine et lisez les avis avant de l’installer. La communauté aura ainsi le temps de détecter les éventuels bugs ou chevaux de Troie qui se seraient glissés dans la mise à jour.
- Suivez les mesures de sécurité informatique renforcées décrites dans notre article Protection des investissements en cryptomonnaies : quatre étapes de sécurité fondamentales, qui comprennent l’installation d’une solution de sécurité puissante, comme Kaspersky Premium, sur votre ordinateur et votre smartphone, la mise à jour régulière de votre système d’exploitation et de vos navigateurs, ainsi que l’utilisation de mots de passe robustes et uniques.
- Attendez-vous à avoir affaire au phishing. La fraude aux cryptomonnaies peut à la fois être complexe et variée, c’est pourquoi tout message inattendu par email, application de messagerie et autres canaux doit être considéré comme un début d’escroquerie. Restez au fait des dernières escroqueries liées aux cryptomonnaies en suivant notre blog, ainsi que d’autres sources réputées en matière de cybersécurité.
Découvrez-en plus à propos des escroqueries liées aux cryptomonnaies et des façons de vous en protéger dans nos différents articles :
Huit des vols de cryptomonnaies les plus audacieux de l’histoire
Les 5 vols de cryptomonnaie les plus importants
Étude de cas : faux portefeuilles matériels de cryptomonnaie
Arnaque » pig butchering » : escroquerie à grande échelle à la crypto-monnaie
et d’autres articles consacrés aux cryptomonnaies.
Conseils