Les hackers nord-coréens frappent à nouveau ! Le groupe Lazarus a volé 30,6 millions, la plateforme d'échange sud-coréenne a été touchée pour la troisième fois.

Le groupe Lazarus, une organisation criminelle en ligne tristement célèbre de Corée du Nord, est soupçonné d'avoir orchestré une attaque majeure sur les cryptoactifs, entraînant une perte d'environ 30,6 millions de dollars pour la plus grande plateforme d'échange de cryptoactifs de Corée du Sud. L'opérateur de la plateforme d'échange, Dunamu, a confirmé que des actifs liés à Solana d'une valeur de 44,5 milliards de wons ont été transférés vers un portefeuille non autorisé jeudi, et la société a déclaré qu'elle utiliserait ses réserves propres pour indemniser intégralement les utilisateurs.

L'organisation Lazare de la Corée du Nord est accusée d'une attaque de hacking de 30,6 millions de dollars

(source : X)

Selon l'agence de presse coréenne, citant des sources gouvernementales et industrielles, il y a des signes indiquant que cette attaque pourrait être liée à la même organisation que celle responsable des précédents incidents d'intrusion attribués à Lazarus, les autorités se préparant à une inspection sur place de la plateforme d'échange. Cette organisation a précédemment été associée à des activités de vol de cryptoactifs, dans le but de générer des revenus pour Pyongyang dans un contexte de pénurie de devises étrangères persistante. La Corée du Nord est confrontée à de sévères sanctions internationales, rendant les voies traditionnelles d'acquisition de devises extrêmement limitées, et le vol de cryptoactifs est devenu une source de financement importante.

L'opérateur de la plus grande plateforme d'échange de cryptoactifs en Corée, Dunamu, a confirmé qu'un actif lié à Solana d'une valeur de 44,5 milliards de wons coréens a été transféré vers un portefeuille non autorisé jeudi. La société a déclaré qu'elle utiliserait ses propres réserves pour indemniser intégralement les utilisateurs et a rapidement suspendu les dépôts et retraits tout en lançant une vérification interne. Cette réaction rapide et cet engagement d'indemnisation intégrale montrent que Dunamu tente de minimiser les dommages à la confiance des utilisateurs suite à cette attaque de hackers.

Les enquêteurs ont déclaré que la technique utilisée lors de cette attaque était très similaire à celle de l'incident de 2019, lorsque les attaquants auraient volé pour 58 milliards de wons sud-coréens d'Ethereum depuis la même plateforme d'échange. Les fonctionnaires pensent que les hackers ont pu contourner l'infrastructure centrale en se faisant passer pour des administrateurs ou en piratant des comptes internes, ce qui a autorisé les retraits. Cette méthode d'infiltration interne est très typique des modes d'attaque de Lazarus, montrant que l'organisation a une connaissance approfondie du système cible et une préparation d'infiltration à long terme.

Les responsables de la sécurité ont déclaré que ces fonds ont été rapidement transférés via des Portefeuilles associés à d'autres plateformes, ce qui indique que quelqu'un tente de dissimuler les traces de la transaction en utilisant les méthodes de blanchiment d'argent que Lazarus a utilisées dans le passé. Un responsable a déclaré : « C'est leur méthode habituelle, disperser les jetons sur plusieurs réseaux pour rompre le suivi. »

Modèle d'attaque typique de l'organisation Lazarus

Infiltration à long terme : se cacher pendant des mois, voire des années, par le biais d'ingénierie sociale ou d'attaques de la chaîne d'approvisionnement.

Vol d'autorisations internes : Se faire passer pour un administrateur ou pirater un compte interne pour obtenir des droits de retrait.

Transfert rapide : transférer rapidement des fonds vers plusieurs Portefeuilles avant d'être détecté.

Blanchiment d'argent inter-chaînes : disperser les jetons sur plusieurs réseaux de blockchain pour briser le suivi

Service de mélange de jetons : Utiliser des protocoles de mélange comme Tornado Cash pour masquer davantage les flux de fonds.

Les analystes ont souligné que Lazarus a ciblé plusieurs fois des plateformes d'échange de cryptoactifs très médiatisées pour maximiser son influence et son exposition, ce qui indique que cette attaque pourrait avoir été planifiée délibérément dans le but de tirer parti de l'attention élevée du public. La valeur d'actualité de l'attaque contre la plus grande plateforme d'échange de cryptoactifs de Corée du Sud est extrêmement élevée, et cette visibilité élevée pourrait être une manière pour la Corée du Nord de démontrer ses capacités en matière de cybersécurité à la communauté internationale.

Dunamu s'engage à un remboursement intégral et à cesser les transactions

L'opérateur de la plus grande plateforme d'échange de cryptoactifs en Corée du Sud, Dunamu, a confirmé qu'un actif lié à Solana d'une valeur de 44,5 milliards de wons coréens (environ 30,6 millions de dollars) a été transféré vers un portefeuille non autorisé jeudi. La société a déclaré qu'elle utiliserait ses propres réserves pour indemniser intégralement les utilisateurs et a rapidement suspendu les dépôts et les retraits tout en lançant une vérification interne. Cette promesse d'indemnisation intégrale est rare dans les incidents de piratage de plateformes d'échange de cryptoactifs, montrant la solidité financière de Dunamu et son engagement envers ses utilisateurs.

L'arrêt des retraits et des dépôts est une mesure d'urgence standard visant à empêcher les attaquants de transférer davantage de fonds ou d'exploiter les failles du système. Cependant, cet arrêt peut également causer des désagréments aux utilisateurs normaux, qui ne peuvent pas effectuer de transactions ou retirer des fonds. Dunamu doit trouver un équilibre entre l'enquête de sécurité et le rétablissement des opérations normales ; un temps d'arrêt trop long pourrait entraîner une perte d'utilisateurs au profit de plateformes concurrentes.

Bien que le remboursement intégral protège les intérêts des utilisateurs, cela représente un énorme fardeau financier pour Dunamu. Les pertes de 30,6 millions de dollars, ajoutées aux coûts potentiels de mise à niveau de la sécurité, aux amendes réglementaires et aux dommages à la réputation, pourraient faire grimper le coût total bien au-delà du montant des pertes directes. Cela a également suscité des discussions sur les réserves de sécurité et les mécanismes d'assurance des plateformes d'échange, et si une seule plateforme d'échange peut supporter à long terme l'impact financier de telles attaques.

Les analystes de la blockchain ont suivi le flux des fonds volés sur les réseaux sociaux. Un attaquant non identifié a volé des fonds de plusieurs portefeuilles chauds de la plus grande plateforme d'échange de cryptoactifs en Corée, puis, après un certain temps, a commencé à transférer des fonds par chaînes. À un moment donné, le pirate a transféré des USDC d'une chaîne à une autre par le biais de ponts, cette méthode de blanchiment d'argent inter-chaînes rendant le suivi extrêmement difficile.

L'acquisition de Naver suscite des doutes sur le timing

Juste un jour après que Naver a annoncé son intention d'acquérir Dunamu par le biais d'un échange d'actions via son département financier, la plateforme d'échange a connu un incident de violation, attirant ainsi l'attention de la nation sur Naver. Cette coïncidence temporelle a suscité diverses spéculations : quelqu'un essaie-t-il de saboter l'acquisition ? Des personnes internes ont-elles divulgué des informations sur des vulnérabilités de sécurité ? Ou est-ce simplement une coïncidence ?

Naver, en tant que plus grande entreprise Internet de Corée, a initialement considéré son projet d'acquisition de Dunamu comme un événement marquant de la fusion entre l'industrie des cryptoactifs et les géants technologiques traditionnels. Cependant, la survenance d'attaques de hackers pourrait affecter l'évaluation de l'acquisition et les négociations des termes. Naver pourrait demander une réduction du prix d'acquisition ou l'ajout de clauses de sécurité, tandis que Dunamu devra prouver à Naver qu'elle est capable d'améliorer la protection de la sécurité.

En même temps, la société de technologie financière Naver Financial, qui appartient au géant coréen de l'internet Naver, se prépare à lancer un portefeuille de stablecoins à Busan, ce qui fait partie des efforts continus de la ville pour construire une économie locale axée sur la blockchain. Selon des rapports, Naver a terminé le développement de ce portefeuille et procède actuellement aux vérifications finales, avec un lancement officiel prévu pour le mois prochain. Ce projet est développé en collaboration avec la société de capital-risque Hashed et la plateforme d'échange d'actifs numériques de Busan (BDAN).

Ce plan d'expansion des affaires semble encore plus sensible après l'attaque des hackers. Pour établir sa réputation dans le domaine des cryptoactifs, Naver doit prouver qu'il peut offrir des garanties de sécurité plus solides que celles de la plus grande plateforme d'échange de Corée. Cet incident pourrait inciter Naver à effectuer des vérifications de sécurité plus approfondies et des tests de résistance avant le lancement de son portefeuille de stablecoins.

La Corée du Sud pourrait relancer les mesures de sanctions contre les hackers nord-coréens

Au début du mois, la Corée du Sud a déclaré qu'elle pourrait reconsidérer sa manière de sanctionner la Corée du Nord après que les États-Unis ont pris de nouvelles mesures pour lier les activités de vol de cryptoactifs de Pyongyang au financement de son programme d'armement. La vice-ministre des Affaires étrangères de Corée du Sud, Kim Ji-na, a déclaré que Séoul pourrait « reconsidérer les mesures de sanction en cas de besoin réel » et a souligné qu'il travaillerait en étroite coordination avec Washington pour faire face aux menaces numériques et cybernétiques croissantes de la Corée du Nord.

L'or indique : « Si Pyongyang vole des cryptoactifs, la coordination entre la Corée du Sud et les États-Unis est essentielle, car ces cryptoactifs pourraient être utilisés pour financer les programmes nucléaires et de missiles de la Corée du Nord et constituer une menace pour notre écosystème numérique. » Cette déclaration révèle la dimension géopolitique derrière les attaques de hackers nord-coréens, qui ne sont pas seulement des crimes économiques, mais aussi une menace pour la sécurité nationale.

Selon les estimations des Nations Unies et du Département du Trésor américain, le montant total des cryptoactifs volés par la Corée du Nord à travers des cyberattaques a dépassé des milliards de dollars. Ces fonds sont utilisés pour contourner les sanctions internationales, maintenir le fonctionnement du régime et financer des programmes nucléaires et de missiles. Le groupe Lazarus, en tant que l'une des unités de cyberdéfense les plus efficaces de la Corée du Nord, a pour cibles des attaques à l'échelle mondiale, touchant aussi bien des plateformes d'échange de cryptoactifs que des institutions financières traditionnelles.

La perte de 30,6 millions de dollars subie par la plus grande plateforme d'échange de cryptoactifs en Corée du Sud n'est pas la plus importante dans l'histoire des attaques de pirates nord-coréens. Cependant, le timing de cet incident, survenu après l'annonce du plan d'acquisition de Naver, ainsi que la similitude technique avec l'incident de 2019, rendent l'enquête et l'attribution de cet événement plus complexes. La question de savoir si le gouvernement sud-coréen relancera des mesures de sanctions plus strictes, ainsi que la manière dont la communauté internationale renforcera la prévention contre les menaces cybernétiques nord-coréennes, sera un point d'intérêt dans les mois à venir.