Bybit piraté : le mystérieux hacker qui a réussi l'impossible en volant 1,46 milliard $ de crypto

L'exchange dubaïote Bybit vient de subir une attaque sans précédent : 75% de ses réserves d'Ethereum ont été dérobées par un hacker qui a exploité une faille sophistiquée dans son système multi-signatures. Ce casse numérique pulvérise tous les records précédents, surpassant même l'attaque de Ronin en 2022. Comment un tel braquage a-t-il été possible malgré les cold wallets réputés inviolables ? Le pirate aurait utilisé une technique de camouflage d'interface pour tromper les signataires, soulevant des inquiétudes majeures pour l'ensemble du secteur. Malgré l'ampleur du désastre, Bybit affirme maintenir les retraits ouverts, une décision inhabituelle qui témoigne de sa solidité financière. Enquête sur cette catastrophe qui redéfinit les standards de sécurité dans l'univers crypto.

Résumé : 

• Bybit a subi un hack record de 1,46 milliard de dollars en Ethereum

• 75% des ETH déposés par les clients ont été subtilisés malgré les mesures de protection

• Le PDG Ben Zhou affirme que seul un cold wallet a été compromis et que les autres fonds clients restent sécurisés

• Les dépôts ETH sont temporairement suspendus mais les retraits demeurent accessibles

• Le pirate informatique éprouve des difficultés à blanchir l'intégralité du butin volé

1,46 milliard de dollars volatilisés en quelques clics. Ce n'est pas le scénario d'un film de braquage futuriste, mais bien la réalité vécue par Bybit ce vendredi. L'exchange dubaïote, fort de ses 10 millions d'utilisateurs, vient d'entrer dans l'histoire de la pire des façons en subissant le plus colossal piratage jamais perpétré dans l'univers des cryptomonnaies. En quelques minutes seulement, un mystérieux hacker s'est emparé des trois quarts des réserves d'Ethereum de la plateforme, une prouesse technique qui laisse les experts sidérés.

Ce casse numérique sans précédent pulvérise le précédent "record" détenu par l'attaque de la sidechain Ronin en 2022. Alors que les transactions suspectes se multipliaient, c'est le célèbre Zach XBT, véritable Sherlock Holmes du blockchain, qui a tiré le premier signal d'alarme via Telegram, après avoir identifié des mouvements anormaux dans les flux financiers provenant des adresses contrôlées par Bybit. Le compte à rebours d'une des plus grandes enquêtes criminelles du monde crypto venait de commencer.

Le déroulement du hack : un mode opératoire sophistiqué

L'attaque qui a frappé Bybit témoigne d'un niveau de sophistication rarement observé auparavant. Contrairement aux idées reçues, le pirate n'a pas ciblé les hot wallets (portefeuilles connectés à internet) mais a réussi l'exploit de compromettre un cold wallet ETH, dispositif de stockage hors ligne normalement considéré comme quasi-inviolable en raison de son isolation du réseau.

D'après les explications fournies par Ben Zhou, PDG et cofondateur de Bybit, l'attaque a exploité une faille dans le processus de validation multi-signatures. Il a détaillé :

"Notre portefeuille multi-signatures ETH en cold storage a effectué un transfert vers notre warm wallet il y a environ une heure. Il semble que cette transaction spécifique ait été camouflée : tous les signataires ont vu une interface falsifiée qui affichait la bonne adresse, et l'URL provenait bien de Safe".

Cette technique sophistiquée a permis au hacker de tromper les mécanismes de vérification. En réalité, le message de signature ne visait pas à autoriser un simple transfert, mais à modifier la logique même du smart contract gérant le portefeuille froid d'ETH. Une fois cette manipulation réussie, le pirate a pu s'emparer du contrôle total du portefeuille et transférer l'ensemble des fonds vers une adresse extérieure.

Les experts en cybersécurité ont rapidement établi des parallèles avec le hack de la plateforme WazirX survenu l'été dernier. Cette attaque similaire avait été attribuée au groupe Lazarus, cellule de hackers liée aux services de renseignement nord-coréens. Fait préoccupant, les fonds volés lors de cet incident n'avaient jamais pu être récupérés, ce qui soulève des inquiétudes quant aux perspectives de recouvrement pour Bybit.

Selon 0xngmi, développeur respecté de DefiLlama, deux scénarios principaux sont envisagés : soit le hacker a réussi à implanter un malware sur les systèmes des signataires, permettant de substituer la transaction légitime par une version malveillante avant sa transmission au portefeuille matériel, soit l'interface utilisateur de Safe a été directement compromise, affichant une transaction en apparence normale tout en exécutant un code malveillant en arrière-plan.

La réaction immédiate de Bybit et les mesures prises

Face à cette catastrophe, la direction de Bybit a réagi avec une rapidité remarquable. Dès la confirmation de l'incident, la plateforme a immédiatement activé son protocole de crise et suspendu temporairement tous les dépôts en ETH pour éviter d'exposer davantage de fonds. Cette décision stratégique visait à limiter l'ampleur des dégâts pendant l'investigation en cours.

Dans une démarche qui contraste avec les pratiques habituelles lors de tels incidents, Bybit a cependant choisi de maintenir les retraits ouverts et fonctionnels. Cette décision inhabituelle témoigne de la confiance de l'équipe dans la solidité financière de la plateforme malgré la perte considérable. "Tous les retraits sont NORMAUX", a insisté Ben Zhou dans sa communication officielle, cherchant à prévenir une panique généralisée parmi les utilisateurs.

Le PDG a également tenu à préciser que l'attaque avait été circonscrite à un seul portefeuille spécifique. Ill a affirmé, tentant de rassurer la communauté sur la protection des autres actifs : 

"Soyez assuré que tous les autres portefeuilles froids sont sécurisés"

Cette information cruciale suggère que les bitcoins, les stablecoins et les autres altcoins détenus par la plateforme n'ont pas été affectés par la brèche de sécurité.

Du point de vue financier, les analystes de BitMEX Research ont confirmé que malgré l'ampleur du vol, Bybit dispose des ressources nécessaires pour absorber cette perte sans répercussions directes sur ses clients. Selon les données d'Arkham, l'exchange détiendrait environ 20 milliards de dollars de cryptomonnaies diverses, ce qui lui confère un matelas de sécurité confortable pour faire face à cette crise sans précédent. Cette solidité financière pourrait s'avérer déterminante pour la survie à long terme de la plateforme fondée en 2018, alors que d'autres exchanges confrontés à des hacks majeurs ont parfois dû déclarer faillite.

La traque des fonds volés et les perspectives de récupération

Si le hacker a démontré une expertise technique impressionnante lors de l'infiltration initiale, la phase de blanchiment des fonds semble lui poser davantage de difficultés. Les observations des analystes on-chain révèlent que le pirate a rapidement tenté de brouiller les pistes en dispersant les fonds sur plus de 48 adresses différentes, une tactique classique visant à compliquer le suivi et l'identification.

Dans les heures suivant le vol, le hacker a entrepris de convertir une partie des ETH dérobés en stETH (Ether staké) via le protocole de finance décentralisée Curve Finance. Cette manœuvre visait probablement à transformer les actifs en une forme moins facilement traçable. Malgré plusieurs transactions substantielles totalisant plusieurs centaines de millions de dollars, les experts estiment qu'environ 500 millions de dollars en ETH demeureraient encore sous le contrôle direct du pirate.

Cette difficulté à liquider l'intégralité du butin s'explique notamment par la réaction rapide de l'écosystème. De nombreuses plateformes centralisées ont blacklisté les adresses impliquées, rendant pratiquement impossible tout transfert vers des exchanges qui appliquent des procédures KYC (Know Your Customer). Cette collaboration entre les acteurs du secteur constitue un obstacle majeur pour le hacker qui cherche à convertir son butin en monnaie fiduciaire.

Face à cette situation, la société d'analyse blockchain Arkham a mis en place une prime d'information (intel bounty) avec une récompense de 50 000 tokens ARKM (approximativement 33 600 dollars) pour toute personne capable d'identifier le ou les responsables de cette attaque. Les données recueillies seront transmises à Bybit pour faciliter l'enquête et potentiellement permettre des actions légales contre les coupables.

L'impact sur l'écosystème crypto et les réactions de l'industrie

L'onde de choc provoquée par ce hack monumental s'est rapidement propagée au-delà de Bybit, affectant différents acteurs de l'écosystème crypto. Le token MNT de Mantle, layer 2 historiquement associé à Bybit, a immédiatement subi une chute de 13% suite à l'annonce de l'incident, illustrant les dommages collatéraux que peut engendrer une telle catastrophe sur des projets affiliés.

Safe, l'infrastructure utilisée par Bybit pour la gestion de ses portefeuilles multi-signatures, s'est trouvée au centre de l'attention. L'entreprise a promptement communiqué sur l'incident, indiquant collaborer étroitement avec l'exchange pour élucider les circonstances exactes de l'attaque. Tout en précisant qu'aucun élément ne suggérait pour l'instant une compromission de son front-end, Safe a néanmoins pris la décision préventive de suspendre certaines fonctionnalités de son wallet jusqu'à la conclusion des investigations.

Cette crise a également suscité diverses réactions parmi les figures influentes du secteur. Justin Sun, entrepreneur controversé et PDG de la blockchain Tron, a publiquement proposé son assistance à Bybit pour surmonter cette épreuve. De son côté, Changpeng Zhao (CZ), fondateur et ancien PDG de Binance, a suggéré une approche plus conservatrice en recommandant la suspension temporaire des retraits - un conseil que la direction de Bybit a choisi d'ignorer jusqu'à présent.

Au-delà des réactions immédiates, cet incident majeur soulève des questions fondamentales sur la sécurité des exchanges centralisés, même ceux considérés comme établis et fiables. Il met en lumière la vulnérabilité persistante des systèmes multi-signatures supposés offrir une protection renforcée aux cold wallets. Malgré les investissements considérables réalisés dans le domaine de la cybersécurité par les acteurs du secteur, ce hack démontre qu'aucune plateforme n'est totalement immunisée contre des attaquants suffisamment déterminés, patients et sophistiqués.

La communauté crypto dans son ensemble observe avec attention la gestion de cette crise par Bybit, qui pourrait établir de nouveaux standards en matière de réponse aux incidents de sécurité majeurs. La capacité de l'exchange à surmonter cette épreuve sans impacter ses utilisateurs constituera un cas d'étude significatif pour l'industrie et pourrait influencer les futures pratiques en matière de sécurisation des actifs numériques.