Piratage de Bybit à hauteur de 2 000 milliards de wons : l’ère des échecs de sécurité opérationnelle est arrivée

 (blog.trailofbits.com)
3 points par GN⁺ 2025-02-23 | 1 commentaires | Partager sur WhatsApp
  • Le 21 février 2025, sur l’exchange Bybit, un cold wallet multisignature a été piraté, entraînant la fuite de cryptomonnaies d’une valeur d’environ 1,5 milliard de dollars
  • Les hackers ont compromis les appareils de plusieurs signataires et manipulé ce que ces derniers voyaient dans l’interface du wallet
  • Les signataires, croyant effectuer une transaction ordinaire, ont fourni les données de signature souhaitées par les attaquants
  • Cela suggère que les piratages récents d’exchanges centralisés ne ciblent plus des vulnérabilités de code, mais des failles de sécurité opérationnelle et humaine

Cas de piratage similaires récents

  • Exchange WazirX (juillet 2024) : perte de 230 millions de dollars
  • Radiant Capital (octobre 2024) : perte de 50 millions de dollars
  • Exchange Bybit (février 2025) : perte de 1,5 milliard de dollars

Lien avec des groupes de hackers nord-coréens

  • Selon les analyses d’Arkham Intelligence et de ZachXBT, cette attaque a été attribuée à des groupes de hackers nord-coréens
  • Sont impliqués des groupes de piratage soutenus par un État liés au Bureau général de reconnaissance (RGB) de la Corée du Nord, tels que TraderTraitor, Jade Sleet, UNC4899, Slow Pisces
  • Modes opératoires des groupes du RGB
    • Ils ciblent des administrateurs système, développeurs et employés des équipes finance via des campagnes d’ingénierie sociale
    • Ils compromettent des personnes clés au moyen d’arnaques au recrutement ciblées et d’attaques de phishing
    • Ils utilisent des malwares multiplateformes pour infecter Windows, MacOS et divers wallets de cryptomonnaies
    • Ils manipulent l’écran de transaction vu par l’utilisateur afin d’obtenir la signature

Pourquoi les systèmes de sécurité existants sont neutralisés

  • Les attaquants améliorent en continu leurs outils et leurs techniques au fil d’attaques répétées
  • Les mesures de sécurité classiques peinent à défendre contre ce type d’attaque pour plusieurs raisons :
    • Les organisations dont la sécurité opérationnelle est insuffisante sont fortement exposées
    • Même les systèmes multisignatures peuvent être manipulés
    • Les attaquants emploient des techniques difficiles à détecter avec les solutions de sécurité traditionnelles existantes (EDR, pare-feu, etc.)

La nouvelle réalité de la sécurité des cryptomonnaies

  • Renforcer uniquement la sécurité des smart contracts ne suffit plus
  • Les défaillances de sécurité opérationnelle sont devenues la menace principale
  • Les entreprises doivent bâtir une stratégie de sécurité en partant du principe qu’un piratage est possible

Stratégies de sécurité que les entreprises doivent impérativement adopter

  • Isolation de l’infrastructure
    • Les systèmes de signature de transactions doivent être séparés physiquement et logiquement du réseau d’exploitation général
    • Appliquer du matériel et des réseaux dédiés, ainsi que des contrôles d’accès stricts
  • Défense en profondeur (Defense-in-Depth)
    • Combiner wallets matériels, multisignature et outils de vérification des transactions pour mettre en place un système de sécurité composite
    • Une approche de sécurité superposée est indispensable, plutôt qu’une mesure isolée
  • Mesures de préparation à l’échelle de l’organisation
    • Réaliser une modélisation des menaces opérationnelles et techniques
    • Mener régulièrement des audits et évaluations de sécurité externes
    • Organiser périodiquement des formations sécurité et des simulations de réponse à incident
    • Établir un plan de réponse aux incidents précis et le tester régulièrement

Guide de sécurité de Trail of Bits

Conclusion : les dispositifs de sécurité traditionnels ne suffisent plus

  • Le piratage de Bybit montre que la sécurité des cryptomonnaies est entrée dans une nouvelle phase

  • Sans renforcement de la sécurité opérationnelle, il est impossible d’éviter les piratages de grande ampleur

  • La déclaration tranchante du chercheur en sécurité Tayvano résume brutalement la situation actuelle :

    > "Une fois qu’un appareil est infecté, c’est terminé. Si la clé se trouve dans un hot wallet ou sur AWS, elle sera compromise immédiatement. Même si la clé est dans un cold wallet, le hacker n’aura qu’à faire un peu plus d’efforts. Dans tous les cas, le piratage finira par arriver."

Mesures que les entreprises doivent prendre immédiatement

  • Évaluer les risques liés à la sécurité opérationnelle
  • Mettre en place une infrastructure de signature air-gapped
  • Travailler avec une équipe de sécurité ayant une expérience face à des groupes de piratage soutenus par des États
  • Établir un plan de réponse aux incidents et le tester régulièrement

> "Le prochain piratage à un milliard de dollars n’est qu’une question de temps ; sans préparation, les dégâts seront inévitables"

À lire aussi

1 commentaires

 
GN⁺ 2025-02-23
Avis Hacker News

  • Incident connexe récent : Bybit a perdu 1,5 milliard de dollars à la suite d’un piratage

    • Les attaquants ont dérobé environ 1,5 milliard de dollars depuis un wallet de cold storage à signatures multiples
    • Les attaquants ont compromis les appareils de plusieurs signataires et manipulé ce que les signataires voyaient dans l’interface du wallet, afin de collecter les signatures requises pendant que les signataires pensaient effectuer une transaction de routine

  • Si des hackers peuvent, via un accès à distance, « manipuler ce que les signataires voient dans l’interface du wallet », alors cela ne ressemble pas à du cold storage

  • Il y a trois façons de se faire pirater dans une interaction multi-signature :

    • le smart contract multi-signature est compromis
    • l’ordinateur qui signe est compromis
    • le hardware wallet utilisé (ledger, trezor) est compromis

  • Le contrat multi-signature Gnosis Safe s’est montré très robuste, et les hardware wallets sont très difficiles à attaquer. Le point faible actuel, c’est l’ordinateur

  • Les entreprises crypto doivent résoudre ce problème en passant à des appareils dédiés, davantage verrouillés, pour la signature, et en vérifiant réellement ce qui s’affiche sur l’écran du hardware wallet

  • Le monde de la sécurité en ligne est extrêmement chaotique. Dans d’autres domaines de l’ingénierie, on vise rarement de manière explicite ce qui a été construit par un État étranger

    • Par exemple, les gratte-ciel ne sont pas conçus pour résister à des bombardements continus
    • Les voitures non plus ne sont pas conçues pour résister à des obus de char
    • Si la Corée du Nord tuait des gens ou détruisait de petits bâtiments avec des missiles, cela provoquerait une indignation publique et une réponse militaire rapide

  • Mais en ligne, la situation est différente. La Corée du Nord peut attaquer des systèmes à volonté, et la réaction principale est : « il aurait fallu construire un système plus sûr »

    • Les équipes de Bybit auraient peut-être pu être plus prudentes, mais il faut reconnaître à quel point l’environnement en ligne est chaotique

  • Ce billet manque de détails sur la manière dont le piratage s’est produit

    • Vu la discussion sur les outils, je me demande s’il faut comprendre que des gens ont été trompés pour télécharger et exécuter un logiciel malveillant

  • Les attaquants ont compromis les appareils de plusieurs signataires et manipulé ce que les signataires voyaient dans l’interface du wallet, afin de collecter les signatures requises pendant que les signataires pensaient effectuer une transaction de routine

    • Je me demande si quelqu’un sait combien il y avait de signataires

  • Question sérieuse de quelqu’un qui ne connaît presque rien à la crypto : qui a réellement perdu de l’argent dans cette attaque ? Beaucoup de particuliers ?

  • Je me souviens que l’ETH avait fait un hard fork il y a 9 ans, quand 50 millions de dollars avaient été volés

  • Si j’ai bien compris, cette multi-signature a échoué parce que, comme dans la plupart des dispositifs de sécurité, tout le monde a cliqué sur « oui » sans communiquer, enquêter ni poser de questions. Cela vide de son sens l’objectif même de la multi-signature

  • Je ne comprends vraiment pas pourquoi ils ne répartissent pas cela entre plusieurs wallets distincts