Le plus grand vol de cryptomonnaies de l’histoire
Le 21 février 2025, la plus grave attaque de l’histoire des cryptomonnaies a eu lieu. L’exchange Bybit, deuxième au monde en termes de volume après Binance et basé à Dubaï, a subi un vol d’environ 1,5 milliard de dollars en actifs numériques conservés dans un cold wallet Ethereum. Aucune blockchain n’a été piratée. Aucun bug cryptographique n’a été exploité. Le point faible était humain, infrastructurel et systémique. L’attaque a révélé l’inadéquation de l’architecture hybride actuelle du Web3, fondée sur un paradoxe : des outils décentralisés construits sur des infrastructures centralisées.
21 février 2025
À 13h30 UTC le 21 février, Bybit effectue une opération de routine : le transfert de 30 000 ETH depuis l’un de ses cold wallets multi-signatures vers un portefeuille plus accessible, un « warm wallet ». Le mouvement, apparemment anodin, se transforme en un point de rupture historique : 401 347 ETH, 90 375 stETH, 15 000 cmETH et 8 000 mETH sont dérobés en quelques minutes.
Total estimé du préjudice :
- 401 347 ETH ≈ 1,12 milliard de dollars
- 90 375 stETH ≈ 253 millions
- 15 000 cmETH ≈ 44 millions
- 8 000 mETH ≈ 23 millions
Total : ≈ 1,5 milliard de dollars
Comparaison avec les hacks précédents
| Hack | Date | Valeur dérobée |
|---|---|---|
| Bybit | Fév 2025 | 1,5 milliard USD |
| Ronin (Axie Infinity) | Mar 2022 | 620 millions USD |
| Poly Network | Août 2021 | 610 millions USD |
| Mt.Gox (Tokyo) | 2014 | 850 000 BTC (~450M) |
| KuCoin | Sept 2020 | 275 millions USD |
L’attaque contre Bybit dépasse non seulement toutes les précédentes en ampleur, mais déplace également le champ de bataille des vulnérabilités internes à la blockchain vers un nouveau niveau : la chaîne d’approvisionnement de l’infrastructure Web3.
Pourquoi cette attaque est de « niveau systémique »
L’exploit n’a pas touché des smart contracts vulnérables. Il a frappé l’infrastructure de signature qui connectait des êtres humains, des portefeuilles logiciels et des environnements cloud. C’est un test de résistance raté pour l’ensemble de l’écosystème crypto, et en particulier pour la prétendue invulnérabilité des cold wallets multi-signatures, considérés depuis toujours comme l’étalon-or de la conservation numérique.
La dynamique de l’attaque : le transfert « de routine » qui n’en était pas un
La transaction frauduleuse s’est camouflée dans une routine. Les signataires ont vu — dans l’interface graphique de Safe{Wallet} — un transfert légitime. On-chain, cependant, les fonds étaient dirigés vers des contrats contrôlés par les attaquants. L’interface affichait une adresse correcte, mais le code JavaScript exécuté dans le navigateur avait modifié la logique sous-jacente du paquet de signature, altérant les paramètres to, operation et data.
Le rôle de Safe{Wallet} et de la chaîne d’approvisionnement Web2
Safe (anciennement Gnosis Safe) est le multisig le plus utilisé du secteur. Bybit l’utilisait pour gérer la signature à 3 niveaux de ses cold wallets. Le point d’entrée de l’attaque a été la compromission de la machine d’un développeur de Safe, à partir de laquelle les attaquants ont obtenu l’accès au bucket AWS S3 qui hébergeait le frontend public de Safe.
En modifiant le fichier safe-transaction.js, les agresseurs ont injecté une charge utile (payload) JavaScript capable de reconnaître quand un signataire de Bybit approuvait une transaction, et d’en modifier le contenu à la volée. Le code modifié a ensuite été servi comme s’il était légitime via AWS CloudFront.
C’est là tout le paradoxe : une solution conçue pour être décentralisée et sans confiance (trustless) qui dépendait d’un CDN centralisé et d’un stockage cloud non blindé.
Lazarus Group : le « bras cyber » de la Corée du Nord
L’attribution a été confirmée par le FBI et par des entreprises d’analyse blockchain comme Chainalysis et Elliptic. Le groupe responsable est Lazarus, une unité d’élite de la Corée du Nord liée au Reconnaissance General Bureau (RGB), organe de renseignement militaire.
Attaques précédentes : la trajectoire de Lazarus, de l’espionnage aux vols crypto
Le groupe Lazarus, identifié comme une unité opérationnelle sous le Reconnaissance General Bureau (RGB), est passé en un peu plus d’une décennie d’opérations de sabotage informationnel à des campagnes sophistiquées de cybercriminalité financière. La progression montre une évolution nette : du ciblage d’entités américaines à des fins géopolitiques à la construction d’une infrastructure industrielle pour le vol de cryptomonnaies.
Sony Pictures (2014) : le sabotage comme arme diplomatique
L’attaque de 2014 contre Sony Pictures Entertainment marque l’entrée de Lazarus dans le paysage cyber mondial. Le mobile était politique : la distribution du film The Interview, une satire du régime de Kim Jong-un. Lazarus a pénétré le réseau interne de la compagnie, détruit 70 % des serveurs et des appareils internes, exfiltré des téraoctets de données confidentielles, incluant des e-mails privés, des salaires, des contenus inédits et des informations personnelles des employés. L’attaque a coûté des dizaines de millions de dollars à Sony. Ce fut la démonstration que Lazarus n’opérait pas comme un groupe d’activistes, mais comme un outil stratégique étatique.
Banque centrale du Bangladesh (2016) : le passage au vol financier
En février 2016, Lazarus a exploité les identifiants SWIFT compromis de la Bangladesh Bank pour tenter un vol de 951 millions de dollars à la Réserve fédérale de New York. Seule une faute de frappe dans le nom du bénéficiaire (“Fundation” au lieu de “Foundation”) a empêché le succès total. Cependant, 81 millions USD ont été transférés avec succès, en grande partie blanchis via des casinos philippins. C’est le premier cas documenté d’attaque directe contre un système bancaire international avec un objectif financier pur, marquant le passage du sabotage à l’exploitation économique à l’échelle mondiale.
Upbit (2019) : Lazarus entre dans le monde crypto
En novembre 2019, Lazarus a violé l’exchange sud-coréen Upbit, dérobant 342 000 ETH (≈ 41 millions USD à l’époque). Le vol a eu lieu depuis un hot wallet, compromis par une attaque ciblée. Contrairement au cas du Bangladesh, la nature permissionless des blockchains a permis une exécution plus rapide et une dispersion quasi instantanée des fonds. L’attaque marque l’entrée officielle du groupe dans la criminalité crypto-native : faible risque, haute vitesse, liquidabilité maximale.
KuCoin (2020) : vol décentralisé, mais fonds partiellement récupérés
En septembre 2020, Lazarus a frappé l’exchange KuCoin, basé aux Seychelles mais opérant surtout sur le marché asiatique. Environ 275 millions de dollars ont été dérobés dans une multitude de jetons ERC-20 et d’autres actifs sur des blockchains compatibles. La différence par rapport aux attaques précédentes réside dans la récupération partielle : plus de 80 % des fonds ont été restitués grâce à la collaboration entre les développeurs des jetons, qui ont gelé des contrats ou redéployé des actifs. L’épisode souligne deux éléments : la rapidité de Lazarus à agresser l’infrastructure crypto et, simultanément, la vulnérabilité des actifs fongibles aux contrôles des équipes originelles.
Ronin / Axie Infinity (2022) : la plus grande attaque jusqu’en 2025
Le 23 mars 2022, Lazarus frappe le Ronin Network, sidechain d’Ethereum développée pour le jeu Axie Infinity. Le groupe compromet cinq des neuf validateurs requis pour autoriser les transactions sur la chaîne, réussissant ainsi à transférer 173 600 ETH et 25,5 millions USDC, pour un total d’environ 620 millions de dollars. L’attaque est une leçon sur le risque systémique des schémas de validation semi-centralisés déguisés en décentralisation. C’est aussi le premier cas où l’Office of Foreign Assets Control (OFAC) américain sanctionne directement un portefeuille Ethereum, le reconnaissant comme un outil étatique nord-coréen.
Atomic Wallet (2023) : exploit hors de l’exchange
En juin 2023, Lazarus compromet Atomic Wallet, un logiciel de self-custody non custodial utilisé par des millions d’utilisateurs. L’exploit ne touche pas un exchange, mais des appareils privés d’utilisateurs. Le groupe exploite une vulnérabilité dans le code du portefeuille pour voler environ 100 millions USD en diverses cryptomonnaies. L’attaque montre une nouvelle frontière : frapper la couche de l’utilisateur individuel, en contournant tout contrôle institutionnel. Aucune couverture, aucun remboursement. L’identification de l’exploit et la mitigation sont arrivées trop tard pour toute récupération significative.
Lazarus n’est pas un groupe criminel « normal » : il agit comme un outil de politique étrangère financière pour la Corée du Nord, convertissant les vols crypto en financement pour des armes nucléaires et des missiles balistiques.
Blanchiment et fragmentation : la phase 2 de l’opération
À peine le vol conclu, la deuxième phase de l’opération a immédiatement commencé : la dispersion systématique des fonds dérobés. Les responsables de l’attaque, identifiés comme des membres du groupe Lazarus, ont activé un plan de blanchiment à haute efficacité, fragmentant et occultant les actifs numériques à grande échelle.
Pour convertir les Ethereum volés en Bitcoin, une série d’exchanges décentralisés (DEX) et de ponts cross-chain connus pour leur absence de contrôles KYC (Know Your Customer) ont été utilisés. Parmi eux figurent THORSwap, Chainflip, Uniswap et eXch, ce dernier ayant déjà fait l’objet de controverses pour son manque de collaboration initiale dans le blocage des fonds. L’absence d’identification obligatoire a permis aux attaquants de déplacer rapidement les capitaux sans entraves réglementaires.
Le processus a impliqué plus de 4 400 adresses crypto distinctes, utilisées pour fragmenter les fonds et rendre leur traçage plus difficile. La stratégie visait à saturer les outils de surveillance on-chain et les équipes de conformité des exchanges, rendant une réponse rapide impraticable. Cette tactique, appelée « flood the zone », fait désormais partie du modus operandi récurrent de Lazarus dans les vols à grande échelle.
Selon les analyses combinées d’Elliptic et de Bybit, environ 90 % des fonds volés ont été convertis en Bitcoin dans les premiers jours suivant l’attaque. Une fois transformés, les BTC ont été davantage dispersés via des mixers, des portefeuilles intermédiaires et des transactions croisées sur des blockchains alternatives.
Au moins 20 % des fonds totaux sont considérés comme « passés dans l’ombre », c’est-à-dire qu’ils ne sont plus traçables avec les outils actuels d’investigation blockchain. Ce segment inclut des pièces déjà converties en espèces, des cryptomonnaies obscurcies via des tumblers ou des actifs gelés dans des portefeuilles inactifs.
Malgré la grande sophistication du plan, certaines contre-mesures ont produit des résultats partiels : seuls 42,89 millions de dollars ont été gelés grâce à l’intervention coordonnée de certains partenaires du secteur, dont Tether, ChangeNOW, THORchain et d’autres opérateurs qui ont collaboré à la reconnaissance et au blocage des adresses compromises. Cependant, la part récupérée reste marginale par rapport au montant total dérobé.
Le LazarusBounty de Bybit
Le 25 février, Bybit lance LazarusBounty, le premier programme de prime structuré contre un groupe cybercriminel étatique. À la clé : 10 % des fonds volés, soit environ 140 millions USD pour quiconque aide au traçage et au blocage des fonds.
Au 10 mars 2025, le programme LazarusBounty lancé par Bybit a commencé à produire ses premiers résultats concrets. L’initiative, conçue pour inciter au traçage des fonds volés via la collaboration de la communauté crypto, a permis d’obtenir des progrès significatifs dans la cartographie des transactions suspectes.
Au total, plus de 4 millions de dollars en récompenses ont déjà été distribués à des sujets ayant fourni des informations utiles à l’identification et au blocage d’environ 40 millions de dollars d’actifs dérobés. Ces signalements ont permis à certains exchanges et services intermédiaires d’interrompre des transactions ou de geler des fonds avant qu’ils ne soient totalement blanchis.
Au moins 20 collaborateurs distincts – parmi lesquels des analystes indépendants, des groupes de forensics et des membres de la communauté crypto – ont pris part activement à l’opération, signalant des mouvements suspects et cartographiant des parcours de transaction en temps réel. Bien que le montant récupéré ne représente qu’une fraction du total dérobé, l’opération démontre l’efficacité d’une réponse distribuée et incitée contre des attaques sophistiquées de nature étatique.
Impact sur le marché et les utilisateurs
L’attaque contre Bybit a eu des conséquences immédiates sur l’ensemble du marché crypto, générant des turbulences tant sur le plan des prix que sur le plan psychologique des investisseurs. À partir du jour du vol, le sentiment de marché s’est rapidement détérioré, déclenchant une vague de ventes qui a frappé en particulier les deux actifs les plus importants de l’écosystème.
Bitcoin (BTC), qui avait atteint son all-time high à 109 000 $ en janvier 2025, a enregistré une baisse de 20 %, tombant à 87 000 $ en quelques semaines. La pression à la baisse a été amplifiée par des craintes généralisées sur la sécurité de l’infrastructure crypto, aggravées par la conscience que même les actifs conservés dans des cold wallets pouvaient être compromis par des attaques indirectes.
Ethereum (ETH) a subi une contraction encore plus violente. D’un prix d’environ 6 200 $, il est tombé à 5 100 $ en seulement 48 heures, brûlant plus de 100 milliards de dollars en capitalisation boursière. L’effondrement a été directement lié à la quantité d’ETH volés (plus de 400 000) et à la fragmentation on-chain subséquente, qui a alimenté l’incertitude sur le degré réel de traçabilité des actifs.
Paradoxalement, malgré le vol, l’activité sur Bybit a augmenté. Dans les jours suivant l’attaque, l’exchange a enregistré une hausse de +25 % des volumes d’échange, portée par un retour massif de capitaux institutionnels. Cet afflux n’a pas été le fruit du hasard : il est survenu après l’annonce officielle de la couverture totale des fonds volés et de la pleine opérationnalité de la plateforme.
Pour couvrir le trou patrimonial, Bybit a reçu en moins de 48 heures 1,23 milliard de dollars en ETH, provenant de trois sources : prêts-ponts, dépôts de « baleines » et achats OTC (over-the-counter). La réponse du réseau a montré comment, malgré l’attaque, l’exchange maintenait sa solvabilité et sa confiance opérationnelle auprès des acteurs clés du secteur.
Dans les 72 heures suivant l’incident, Bybit a rétabli une preuve de réserves 1:1, certifiée par des audits externes et validée on-chain. Cela a contribué à contenir la fuite de capitaux et à stabiliser la position de l’exchange aux yeux du marché.
La donnée la plus pertinente reste cependant le flux net : 4 milliards de dollars de fonds ont afflué sur Bybit en à peine 12 heures après la confirmation de la couverture patrimoniale. C’est un signal sans équivoque : malgré la gravité de l’attaque, la rapidité et la transparence de la réponse ont consolidé – plutôt qu’érodé – la confiance d’une partie significative des utilisateurs, surtout institutionnels.
Pourquoi ce hack marque un tournant
L’attaque contre Bybit représente une fracture structurelle dans le paradigme de sécurité des cryptomonnaies. Le mythe de l’inviolabilité des cold wallets multi-signatures s’est effondré. Considérés pendant des années comme le standard de sécurité le plus élevé, ces outils se sont révélés vulnérables non pas dans leurs mécanismes cryptographiques, mais au point d’interaction humain. La signature de la transaction — considérée comme l’élément de contrôle — s’est transformée en point de défaillance. L’interface utilisateur compromise a trompé les signataires, les induisant à autoriser une opération frauduleuse. Le résultat démontre que l’isolement physique (cold storage) ne suffit pas si l’environnement de signature est manipulable.
Le deuxième élément critique concerne la dépendance structurelle de l’écosystème Web3 vis-à-vis de composants Web2. L’infrastructure théoriquement décentralisée repose encore sur des services centralisés comme AWS S3, CloudFront et des environnements JavaScript invérifiables. Le code malveillant a été injecté dans un bucket S3 et distribué via CDN comme contenu « officiel », éludant tout contrôle. Cela rend évident que la décentralisation des protocoles n’implique pas automatiquement la résilience de toute la chaîne technologique.
L’attaque marque également un changement définitif dans la nature de l’adversaire. Il ne s’agit plus de hackers isolés, mais d’acteurs étatiques disposant de ressources illimitées, de motivations stratégiques et de compétences opérationnelles avancées. Le groupe Lazarus opère comme une extension du pouvoir étatique nord-coréen, transformant chaque vol crypto en un acte de politique étrangère financière. Le vol n’est plus seulement une perte économique pour un exchange, mais une question géopolitique ayant un impact sur les sanctions, la sécurité internationale et la circulation du capital numérique.
Enfin, le vecteur d’attaque a abandonné le plan purement technique. Il ne s’est pas agi d’un bug dans un smart contract ou d’une faille dans une blockchain. Toute l’opération s’est basée sur des vulnérabilités cognitives et procédurales : ingénierie sociale, phishing ciblé, manipulation de l’environnement d’exécution, cécité de l’utilisateur face à des données illisibles. Le nouveau modèle d’attaque n’exploite plus les mathématiques, mais l’inconscience de l’opérateur humain et l’absence de vérifications indépendantes entre ce qui est affiché et ce qui est effectivement signé.
Le vol chez Bybit n’est pas seulement un incident. C’est une démonstration technique et stratégique que le Web3, dans sa forme actuelle, est intrinsèquement exposé à des risques systémiques non atténués.
L’avenir du Web3
Le hack de Bybit n’est pas seulement un vol, mais une attaque contre l’architecture même de la décentralisation moderne. La confiance aveugle dans la sécurité des multisig et des cold wallets est démantelée non par une vulnérabilité zero-day ou un bug cryptographique, mais par une signature approuvée par un être humain trompé par une interface falsifiée.
Le Web3, s’il veut survivre, doit se réformer en partant de ses fondements : la transparence du code, la résilience de l’infrastructure et la capacité de réduire l’erreur humaine à zéro. Dans le cas contraire, la narration de la décentralisation restera une illusion sur une pile technologique vulnérable.
Leave a Reply