Le groupe Lazarus a blanchi 200 millions de dollars en monnaie fiduciaire après 25 piratages de cryptomonnaies

• Le groupe de hackers Lazarus Group, lié au gouvernement nord-coréen, a piraté 25 entreprises et particuliers du secteur des actifs numériques entre août 2020 et octobre 2023, dérobant au total 200 millions de dollars
• Il s’agit d’un groupe de piratage connu pour ses malwares personnalisés adaptés à chaque cible
• On estime qu’il a volé entre 3 et 4,1 milliards de dollars au total via des piratages d’actifs numériques depuis 2017
• Cet article retrace leurs circuits de blanchiment et analyse comment les fonds volés ont été convertis en espèces via les plateformes P2P Paxful et Noones

Principaux incidents de 2020

Piratage de CoinBerry (août)

• L’exchange canadien CoinBerry s’est fait dérober 120 BTC à cause d’un bug logiciel (d’une valeur de 3,7 millions de dollars à l’époque).

Piratage d’Unibright (septembre)

• Après une fuite de clé privée, environ 400 000 dollars d’actifs ont été transférés sans autorisation depuis le wallet de l’équipe Unibright.

Piratage de CoinMetro (octobre)

• Une compromission de sécurité a permis le vol d’environ 750 000 dollars de cryptoactifs depuis le hot wallet de CoinMetro.
• L’équipe de Parsiq a procédé à un hard fork du token PRQ pour éviter des dégâts supplémentaires.

Piratage en décembre 2020 de Hugh Karp, fondateur de Nexus Mutual

• Trompé pour approuver une transaction malveillante, il s’est fait voler 370 000 NXM (8,3 millions de dollars).
• Après avoir déposé 137,1 BTC sur le mixer Bitcoin ChipMixer, les fonds ont été réinjectés sur Ethereum.
• Par ailleurs, 2 571 ETH ont été déposés sur Tornado Cash depuis Ethereum puis retirés immédiatement.

Piratage en avril 2021 d’Ankitt Gaur, fondateur d’EasyFi

• À la suite d’un email de phishing, Ankitt a installé une extension Metamask malveillante, ce qui a entraîné la fuite de sa clé privée et le vol de 81 millions de dollars.
• 209,64 BTC ont été déposés sur ChipMixer puis retirés avant d’être réinjectés sur Ethereum via le protocole Ren.
• Les fonds ont été déposés sur Binance en juin 2022.

Piratage de Bondly Finance en juillet 2021

• La phrase de récupération du hardware wallet du CEO Brandon Smith ayant fuité, 8,5 millions de dollars d’actifs de l’équipe ont été volés.
• Sur Ethereum, BSC et Polygon, 52 millions de DAI, 500 ETH et 4 800 BNB ont été blanchis via Tornado Cash.

Piratages individuels non signalés d’août à septembre 2021

• Entre août et septembre, plusieurs particuliers se sont fait voler au total 2 millions de dollars à cause de fuites de clés privées.
• 581 ETH ont été déposés sur Tornado Cash puis retirés quelques jours plus tard.

Piratages de MGNR et PolyPlay en octobre 2021

Piratage de MGNR

• Pendant que des membres de l’équipe partageaient temporairement la clé du hot wallet sur un PC personnel, 24 millions de dollars ont été dérobés.
• 5 100 ETH ont été déposés sur Tornado Cash puis retirés progressivement avant d’être mélangés à d’autres fonds issus de piratages.
• Les fonds ont été convertis en espèces via Paxful et Noones.

Piratage de PolyPlay

• 1,6 million de dollars ont été transférés sans autorisation depuis le wallet de l’équipe.
• 350 ETH ont été déposés sur Tornado Cash puis retirés avant d’être envoyés vers Paxful et Noones.

Piratage de bZx en novembre 2021

• Un développeur a exécuté une pièce jointe malveillante reçue par email, contenant un script malveillant, ce qui a entraîné la fuite d’une clé privée et le vol de 55 millions de dollars depuis le protocole déployé sur BSC et Polygon.
• 10 960 ETH ont été déposés sur Tornado Cash puis retirés avant d’être mêlés à d’anciens fonds issus d’autres piratages.

Piratages de Steadefi et Coinshift en août 2023

Piratage de Steadefi

• Un développeur a ouvert un fichier de présentation malveillant reçu depuis un compte Telegram se faisant passer pour une fausse société d’investissement, ce qui a compromis le wallet du déployeur et transféré au hacker le contrôle des prêts et des strategy vaults. 1,2 million de dollars ont été volés.
• 624,3 ETH ont été déposés sur Tornado Cash.

Piratage de Coinshift

• Un transfert soudain de fonds a été observé depuis un wallet multisig lié au fondateur, laissant supposer une fuite de clé privée.
• 900 ETH ont été déposés sur Tornado Cash.

Conversion en espèces des fonds volés via les plateformes P2P Paxful et Noones

• Entre juillet 2022 et novembre 2023, un total de 44 millions de dollars en USDT a afflué vers des adresses de dépôt de Paxful et Noones.
• Deux comptes sur Paxful et Noones ont montré un volume de transactions correspondant à l’ampleur des montants volés.
• Aucun retrait de cryptomonnaies correspondant n’ayant été observé depuis ces plateformes, il est supposé que les USDT ont été échangés contre des virements bancaires ou du cash.

Résultats de l’enquête

• En novembre 2023, 374 000 USDT avaient été blacklistés par Tether, et un montant non divulgué a été gelé sur des plateformes au quatrième trimestre 2023.
• Trois des quatre émetteurs de stablecoins ont blacklisté des fonds d’une valeur de 3,4 millions de dollars.

Autres incidents liés

• Piratage d’utilisateurs d’un exchange en janvier 2021
• Piratage d’Arthur0x en mars 2022
• Piratages de Geracoin et Darshan en septembre-octobre 2022
• Piratage du fondateur de Maverick en octobre 2023

L’avis de GN⁺

• Compte tenu de la sélection ciblée des victimes parmi divers protocoles et particuliers, suivie de processus de blanchiment sophistiqués, il s’agit vraisemblablement d’un groupe de hackers disposant d’un très haut niveau d’organisation et de capacités techniques.
• Alors que les abus se multiplient dans l’écosystème des actifs numériques, une vigilance accrue s’impose sur la gestion des clés privées et les attaques de phishing.
• Cette affaire montre que la finance décentralisée et les mixeurs de cryptomonnaies peuvent être détournés à des fins de blanchiment d’argent. Il semble urgent de mettre en place des régulations et des contre-mesures.
• Le gouvernement nord-coréen pourrait continuer à recourir au piratage de cryptomonnaies comme moyen d’obtenir des financements, ce qui appelle une coopération entre l’industrie et les autorités.
• Les projets crypto et les particuliers doivent renforcer la gestion de leurs wallets, notamment via la multisignature et l’usage de cold wallets, et rester vigilants face aux emails et pièces jointes suspects.