Conclusions préliminaires sur le piratage de $1.5 milliards de Bybit et rapport du FBI – L’attaque a commencé le 19 février via Safe

Points clés

• Un fichier JavaScript sûr a été remplacé par du code malveillant le 19 février à 15:29:25 UTC.
• L’attaque visait spécifiquement le portefeuille Ethereum Multisig froid de Bybit.

Des rapports d’expertise officiels sur le dernier piratage de Bybit de presque $1.5 milliard ont été publiés, révélant l’attaque via l’application Safe – le plus grand écosystème de compte intelligent sur l’EVM.

Conclusions préliminaires sur la compromission de l’application Safe

Selon les rapports officiels, le fichier JavaScript bénin de l’application Safe a été remplacé par du code malveillant le 19 février à 15:29:25 UTC, ciblant spécifiquement le portefeuille Ethereum Multisig froid de Bybit.

L’attaque aurait été conçue pour s’activer lors de la prochaine transaction sur Bybit qui a eu lieu le 21 février à 14:13:35 UTC.

Les résultats de l’enquête à partir des machines des signataires de Bybit et la charge utile JavaScript malveillante mise en cache trouvée sur l’archive Wayback, les experts ont conclu que la compromission avait eu lieu via une machine de développement Safe : un compte ou une clé API a probablement été compromis/fuité.

Les attaquants ont spécifiquement visé Bybit mais auraient pu toucher n’importe quel échange ou entité.

Parallèlement, Safe a publié une déclaration officielle via X.

Déclaration officielle de Safe

Dans sa déclaration officielle, l’équipe de Safe a révélé les principales conclusions suivantes :

• Les résultats d’expertise ont confirmé que l’attaque ciblée a été effectuée sur Bybit par le groupe Lazarus.
• Les contrats intelligents Safe n’ont pas été affectés, et l’attaque a été menée en compromettant une machine de développement, ce qui a affecté un compte opéré par Bybit.
• Le portefeuille Safe aurait ajouté des mesures de sécurité pour éliminer le vecteur d’attaque.

L’équipe a énuméré les problèmes importants suivants dans sa déclaration officielle :

• L’examen médico-légal des chercheurs en sécurité externes n’a pas indiqué de vulnérabilités dans les contrats intelligents Safe ou le code source du frontend et des services.
• Suite à une enquête, Safe a restauré son portefeuille Safe sur le mainnet Ethereum, entièrement reconstruit, avec une infrastructure reconfigurée, éliminant le vecteur d’attaque.
• Le frontend du portefeuille Safe reste opérationnel, avec des mesures de sécurité supplémentaires.
• Les utilisateurs sont invités à faire preuve d’une extrême prudence et à rester vigilants lors de la signature de transactions.

L’équipe a souligné que Lazarus est un groupe de pirates informatiques nord-coréen parrainé par l’État, connu pour des attaques de social engineering sophistiquées sur les identifiants des développeurs, souvent combinées à des exploits zéro jour.

Rapport officiel du FBI sur le piratage de Bybit

Le piratage de Bybit de $1.5 milliard est le pire de l’histoire. Le PDG de la bourse, Ben Zhou, a également partagé les rapports préliminaires officiels via X, ainsi qu’un rapport officiel du FBI.

Selon les rapports, des acteurs malveillants ont converti une partie des actifs volés en BTC et autres cryptomonnaies à travers des milliers d’adresses sur plusieurs blockchains. Il est prévu que ces actifs soient davantage blanchi et convertis en fiat.

Le FBI a également encouragé les entités du secteur privé à bloquer les transactions avec ou dérivées d’adresses de trader TraderTraitor – la référence du FBI à l’activité cyber malveillante nord-coréenne.

Pendant ce temps, CZ de Binance a critiqué les mises à jour de Safe, invoquant un « langage vague » et des explications peu claires sur l’exploitation de la machine de leur développeur.