Bybit touché par un piratage de 1,5 Md$ (2,1 billions KRW) ; le CEO affirme que « les pertes peuvent être couvertes »

 (tradingview.com)
1 points par GN⁺ 2025-02-23 | 2 commentaires | Partager sur WhatsApp
  • La plateforme d’échange de cryptomonnaies Bybit a subi des « retraits suspects » d’environ 1,46 milliard de dollars
  • Le wallet concerné a transféré 401 346 ETH (environ 1,1 milliard de dollars) ainsi que du stETH (staked ETH) vers un nouveau wallet
  • Le nouveau wallet est actuellement en train de liquider du mETH et du stETH sur des plateformes d’échange décentralisées, et il a été confirmé qu’environ 200 millions de dollars de stETH ont déjà été vendus
  • Le CEO de Bybit, Ben Zhou, a déclaré sur X que « un cold wallet ETH spécifique a été compromis par un hacker et que tout l’ETH a été transféré »
    • Il a toutefois ajouté que « les autres cold wallets sont sûrs et que tous les retraits se déroulent normalement »
  • Cette perte de 1,46 milliard de dollars pourrait devenir le plus grand piratage de cryptomonnaies jamais enregistré
    • Comparaison avec de grands précédents :
      • Piratage de Mt. Gox (2014) : 470 millions de dollars de pertes
      • Piratage de CoinCheck (2018) : 530 millions de dollars de pertes
      • Piratage du Ronin Bridge (2022) : 650 millions de dollars de pertes
    • Après l’annonce du piratage, le bitcoin (BTC) a reculé de 1,5 % et l’ether (ETH) de plus de 2 %

Déclaration officielle du CEO de Bybit, avec les explications données dans les commentaires

  • Le CEO de Bybit a annoncé sur X que le cold wallet multisig ETH avait effectué un transfert vers un warm wallet
    • Toutefois, cette transaction précise était « masquée », et l’interface affichée aux signataires montrait la bonne adresse
    • L’URL apparaissait également comme étant le service de signature sécurisé @safe (https://safe.global/wallet)
    • Mais le message réellement signé visait en fait à modifier la logique du smart contract du cold wallet ETH, ce qui a finalement permis au hacker de prendre le contrôle du cold wallet et de transférer tout l’ETH
  • La plupart des hardware wallets ne savent pas interpréter les transactions de smart contracts EVM
    • Les hardware wallets utilisent un mécanisme de « blind signing », qui suppose que l’écran vu par le signataire correspond bien aux données binaires réellement signées
    • Selon le CEO, la bonne URL avait été vérifiée et plusieurs signataires ont signé depuis des lieux différents avec des appareils différents
    • Toutefois, l’interface de tous les signataires avait été manipulée, ce qui suggère une attaque sophistiquée
  • Hypothèses sur les vecteurs d’attaque possibles
    • Altération du lien de signature
      • Le lien de signature aurait pu être modifié pendant sa transmission afin de rediriger vers une page de phishing utilisant un domaine homographe IDN
      • Ou bien le véritable site safe.global aurait pu être vulnérable à une attaque par injection de script, fournissant ainsi une interface falsifiée
    • Attaque côté serveur
      • Les serveurs de Bybit auraient pu être compromis, ce qui aurait permis de fournir une page falsifiée aux signataires
    • Attaque côté client
      • Un malware aurait pu être installé dans le navigateur des signataires pour manipuler l’interface
    • Attaque réseau/DNS
      • Un détournement DNS ou un certificat TLS émis à tort aurait pu être utilisé pour rediriger les utilisateurs vers un faux site
  • Conclusion : possibilité d’une attaque sophistiquée et préparée sur le long terme
    • Ce piratage semble avoir été exécuté après une longue période de surveillance des systèmes internes de Bybit et d’analyse de ses processus
    • Il ne s’agirait pas d’un simple phishing, mais d’une attaque sur mesure menée après une compréhension précise du processus interne de signature de l’entreprise
    • Si un rapport officiel d’analyse du piratage est publié par la suite, il devrait permettre d’en savoir davantage sur la méthode d’attaque

À lire aussi

2 commentaires

 
GN⁺ 2025-02-23
Avis sur Hacker News
  • Le blog de Trail of Bits contient des informations pertinentes sur les défaillances de sécurité liées à cet incident
  • Deux articles contiennent des informations et des spéculations, mais j’aimerais connaître les détails techniques
    • Par exemple, je me demande si le logiciel client a été compromis, si les détenteurs des clés multisig ont cédé à l’ingénierie sociale, et si les signataires utilisaient une machine air gap ou un appareil matériel
  • Je me demande comment Bybit peut combler une perte de 1,5 milliard de dollars
    • Je me demande s’ils ont réellement autant de profits, ou s’ils essaient de régler cela à la manière de MtGox
  • Je ne sais pas comment fonctionnent les plateformes d’échange de cryptomonnaies
    • Je me demande si quelqu’un peut l’expliquer simplement
    • Je me demande si l’ETH des utilisateurs se trouvait dans le wallet de cold storage
    • Si oui, je me demande pourquoi une plateforme d’échange de cryptomonnaies conserve l’ETH des utilisateurs dans un wallet capable d’exécuter des transactions sans l’approbation des utilisateurs
    • Plus généralement, je me demande pourquoi il faut un wallet de cold storage aussi important pour exploiter une plateforme d’échange
    • Je me demande comment ils peuvent disposer d’actifs leur permettant de couvrir cette perte
  • Il y a d’autres informations sur Bybit
    • Bybit n’est pas légal au Canada
    • Bybit a commencé à Singapour, et Singapour est un hub mondial des cryptomonnaies et de la technologie blockchain
    • On trouve à la fois des informations disant que Bybit est sûr et d’autres disant le contraire
  • Si c’est connecté à une plateforme d’échange, alors ce n’est pas un cold wallet
  • Il devrait exister quelque chose comme une « transaction finale », où l’expéditeur et le destinataire devraient tous deux signer après que la première transaction a été minée
    • Si elle n’est pas signée, les fonds sont renvoyés
    • Cela n’empêche pas une fuite de clés, mais cela peut éviter un envoi à une mauvaise adresse
  • Je crois aux cryptomonnaies, mais un système qui permet de déplacer 1,5 milliard de dollars vers un autre compte sans aucun avertissement n’est pas sérieux
  • Je me demande si quelqu’un peut expliquer ce qu’est réellement Bybit
    • J’ai cherché quand le piratage a été annoncé, mais c’était confus
    • La plupart des informations parlent d’« arnaque »
  • On dit que « tous les autres cold wallets sont sûrs, donc ne vous inquiétez pas »
    • C’est difficile à croire
  • La plateforme d’échange de cryptomonnaies WazirX s’est fait pirater pour environ 300 millions de dollars
    • Depuis le piratage de juillet 2024, aucune mesure n’a été prise contre le CEO
    • Il est à Dubaï, et a obtenu de la Cour suprême de Singapour l’autorisation de mutualiser les fonds pour les distribuer aux utilisateurs
    • Aucune mesure n’a été prise contre l’entreprise/le CEO, et il se prépare à lancer une autre entreprise/plateforme d’échange