L'échange de Crypto taïwanais BitoPro ciblé par des hackers nord-coréens

Le 2 juin 2025, un bref message du chercheur en blockchain ZachXBT sur Telegram a provoqué une agitation dans l’industrie des Crypto Assets : plusieurs portefeuilles chauds de l’échange de Crypto Assets taïwanais BitoPro ont connu des sorties de fonds suspectes, totalisant jusqu’à 11,5 millions USD.

À ce stade, près de 3 semaines se sont écoulées depuis que l’attaque réelle a eu lieu, et l’échange n’a suspendu ses services en invoquant “maintenance du système”, sans mentionner un mot sur l’attaque du Hacker.

Chronologie des événements, de l’attaque secrète à la divulgation publique

L’attaque a eu lieu entre le 8 et le 9 mai 2025. À ce moment-là, le Hacker a profité de la période de maintenance pour les mises à jour du système de portefeuille et les migrations d’actifs à l’échange pour lancer une attaque sur son ancien portefeuille chaud.

Plusieurs chaînes publiques ont été affectées : Tron, Ethereum, Solana et Polygon Les actifs du portefeuille chaud sur l’échange ont été progressivement transférés. Après que le Hacker ait réussi, ils ont agi rapidement, en liquidant les fonds au prix du marché via des échanges décentralisés (DEX) et en les transférant au mixeur Tornado Cash, ou via Thorchain Déposer sur le Bitcoin réseau via cross-chain dans le portefeuille Wasabi, tentant de couper le chemin de suivi des fonds.

Malgré les rapports des utilisateurs concernant des problèmes de retrait, la déclaration officielle de BitoPro confirmant l’attaque est intervenue le 2 juin, après que ZachXBT l’ait exposée publiquement, affirmant que “les actifs des utilisateurs sont intacts et que la plateforme dispose de réserves suffisantes.”

La méthode de gestion, qui était cachée pendant trois semaines, a suscité de forts doutes au sein de la communauté concernant sa transparence et ses capacités de gestion de crise.

Analyse des techniques d’attaque : une intrusion classique d’ingénierie sociale

Le 19 juin, BitoPro a publié un rapport d’une société de sécurité tierce confirmant que l’attaquant était la célèbre organisation de hackers nord-coréenne Lazarus Group.

Le chemin d’attaque démontre clairement son modus operandi hautement spécialisé :

• Attaque de phishing par ingénierie sociale : Les hackers déguisent la communication pour cibler les employés de BitoPro, les incitant à cliquer sur des liens ou des fichiers malveillants.
• Infiltration de logiciels malveillants : Le logiciel malveillant implanté avec succès a contourné les systèmes antivirus de l’échange, la protection des points de terminaison et la détection de la sécurité cloud.
• Observation d’infiltration : Les hackers se cachent dans les ordinateurs des employés de la victime pendant longtemps, observant les processus opérationnels, ciblant particulièrement le personnel des affaires cloud qui contrôle la gestion des ressources Amazon AWS.
• Détournement de jetons et contournement de l’authentification à plusieurs facteurs : vol de jetons de session AWS et contournement direct des mécanismes d’authentification à plusieurs facteurs (MFA).
• Contrôlez l’hôte du portefeuille chaud : connectez-vous au serveur C2 de l’attaquant, injectez des instructions malveillantes dans l’hôte responsable des transactions de portefeuille chaud et, en fin de compte, simulez des transactions légitimes pour effectuer le transfert à 1h du matin le 9 mai.

Cette méthode est fortement cohérente avec les attaques passées de Lazarus contre le système bancaire mondial SWIFT et plusieurs échanges, soulignant la maturité de son modèle d’attaque.

La Main Cachée : L’Ombre du Groupe Lazarus

Le groupe Lazarus n’est pas un délinquant récidiviste. L’organisation est largement considérée comme un groupe de criminalité en réseau soutenu par le régime nord-coréen, qui vise depuis longtemps à voler des actifs Crypto pour financer ses programmes d’armement.

Son casier judiciaire est choquant :

• En 2016, a tenté de voler 1 milliard de dollars à la banque centrale du Bangladesh en utilisant une vulnérabilité dans le système SWIFT (a finalement transféré avec succès 81 millions de dollars)
• En février 2025, la bourse ByBit a été attaquée, entraînant un vol record de 1,5 milliard de dollars en Crypto Assets.
• Cibler en continu les attaques de la chaîne d’approvisionnement des échanges d’actifs Crypto mondiaux, les exploits de vulnérabilité et la fraude complexe par ingénierie sociale.

Les experts en sécurité soulignent que l’organisation excelle à combiner les vulnérabilités techniques avec les faiblesses humaines, et l’incident BitoPro le confirme une fois de plus.

La réponse de l’échange, mesures pour réparer le pli après la perte des moutons

Après que l’incident ait été exposé, BitoPro a pris une série de mesures de réponse à la crise :

• Fermez immédiatement le système de portefeuille chaud pour couper le chemin de l’attaque.
• Remplacer toutes les clés de chiffrement pertinentes
• Isoler les systèmes infectés et effectuer une reconstruction de l’environnement
• Confiez à une entreprise de sécurité blockchain tierce le suivi des fonds volés

Pour regagner la confiance, BitoPro a proactivement soumis une nouvelle adresse de portefeuille chaud à la plateforme d’analyse des données on-chain Arkham le 19 mai, mettant à jour les données de liquidité pour une surveillance publique.

Le fondateur de l’entreprise, Zheng Guangtai, a souligné que “les actifs des clients ne seront pas perdus ; toutes les pertes seront supportées par la plateforme”, et a promis d’améliorer les processus de gestion des portefeuilles et les niveaux de surveillance. La Commission de supervision financière de Taïwan est également intervenue, exigeant de l’entreprise qu’elle renforce la cybersécurité et soumette une explication de l’incident.

Aperçu de la sécurité : Le maillon le plus vulnérable reste “humain”

L’incident de BitoPro, bien que le montant perdu soit bien inférieur aux 1,5 milliard de dollars du vol massif de ByBit, révèle des vulnérabilités dans l’industrie qui sont universelles :

• Les périodes de maintenance deviennent des fenêtres à haut risque : lors des mises à niveau du système ou des migrations d’actifs, les mécanismes de contrôle des risques peuvent avoir des angles morts temporaires.
• Les défenses techniques sont difficiles à résister aux violations d’ingénierie sociale : même les pare-feu et les mécanismes d’authentification multifacteur les plus sophistiqués peuvent être complètement compromis par un employé cliquant sur un lien malveillant.
• La crise de la transparence exacerbe l’effondrement de la confiance : les divulgations retardées et la communication vague nuisent souvent à la confiance des utilisateurs plus que les événements eux-mêmes.

« Le plus faible » lien dans tout système de sécurité, il y a toujours le facteur humain,” une conclusion qui a été constamment validée dans les rapports de sécurité.

Conclusion : L’évolution de la défense et la bataille offensive et défensive sans fin

L’attaque du groupe Lazarus constitue une menace systémique à laquelle l’écosystème mondial des Crypto Actifs continue de faire face. De la Banque centrale du Bangladesh, ByBit à BitoPro, leurs méthodes d’attaque évoluent constamment, mais le noyau reste inchangé : exploiter les faiblesses humaines pour franchir les barrières techniques.

BitoPro a enregistré une perte de 11,5 millions USD et a mis à niveau son système, mais le plus grand défi est : comment l’échange peut établir une culture de contrôle interne qui soit « anti-ingénierie sociale » et parvenir à une réponse rapide et transparente lorsqu’il est confronté à une intrusion.

Dans le monde de la blockchain, la confiance est la monnaie sous-jacente, et chaque incident de hacking teste si ses véritables réserves sont suffisantes.