Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 147Compromission de clé privée

Drainage du prestataire de paiement AlphaPo

Une compromission de clé privée a drainé 60 M$ des hot wallets d'AlphaPo sur Tron, Bitcoin et Ethereum. Le FBI a attribué la brèche au groupe Lazarus.

Date
Victime
AlphaPo
Chaîne(s)
TronBitcoinEthereum
Statut
Fonds dérobés
Attribution
Lazarus Group (DPRK)

Le 23 juillet 2023, le prestataire centralisé de paiements crypto AlphaPo — qui traitait les paiements de sites de jeu, d'abonnements e-commerce et d'autres entreprises en ligne — a été drainé d'environ 60 millions de dollars sur ses hot wallets Tron, Bitcoin et Ethereum. Le FBI a plus tard attribué l'attaque au groupe Lazarus de Corée du Nord sur la base de la route de blanchiment et du schéma on-chain.

Ce qui s'est passé

AlphaPo opérait comme l'infrastructure crypto back-end de plusieurs grandes entreprises en ligne, conservant des soldes significatifs dans des hot wallets pour servir les dépôts clients et les paiements aux marchands. La compromission était une extraction de clé privée classique depuis l'infrastructure de signature d'AlphaPo — le vecteur exact n'a jamais été détaillé publiquement.

Les estimations initiales de perte des premières heures de l'incident étaient autour de 23 M$ (essentiellement des sorties côté Ethereum visibles sur les explorateurs standards). L'enquêteur ZachXBT a ensuite identifié des sorties additionnelles sur Tron et Bitcoin, portant le total à environ 60 M$.

La répartition (sélection) :

  • 6M+ USDT (côté Tron)
  • 108K USDC
  • 100,2M FTN
  • 430K TFL
  • 2,5K ETH
  • 1 700 DAI
  • Plus 37 M$ en TRON et BTC identifiés a posteriori par ZachXBT.

La route de blanchiment — y compris des dépôts sur le mixeur Sinbad correspondant à des opérations Lazarus antérieures — fut le signal clé pour l'éventuelle attribution du FBI.

Conséquences

  • AlphaPo a stoppé les opérations sur les chaînes affectées et fait tourner les clés.
  • L'entreprise a absorbé la perte sur les réserves d'entreprise ; les clients marchands ont été largement indemnisés.
  • Aucune récupération publique depuis les wallets de l'attaquant.

Pourquoi c'est important

AlphaPo fait partie d'un cluster serré d'opérations Lazarus mi-2023 — aux côtés d'Atomic Wallet (juin, 100 M$+), Stake.com (septembre, 41 M$), CoinEx (septembre, 54 M$) et Mixin Network (septembre, 200 M$) — qui ont établi le ciblage parallèle par Lazarus de l'infrastructure des prestataires de paiement aux côtés de ses campagnes plus visibles centrées sur les échanges.

Leçon structurelle : toute entreprise détenant des soldes hot-wallet multi-chaînes pour le compte de clients finaux est une cible pertinente pour Lazarus, indépendamment de la notoriété de marque grand public. Prestataires de paiement, fournisseurs de custody-as-a-service, plateformes de comptabilité on-chain — tous sont dans la même ligne de mire que les échanges, et nécessitent le même investissement en sécurité opérationnelle, même si leur profil public est plus discret.

Sources & preuves on-chain

  1. [01]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/lazarus-hackers-linked-to-60-million-alphapo-cryptocurrency-heist/
  2. [02]bitcoinist.comhttps://bitcoinist.com/hackers-stole-60-million-from-alphapo/
  3. [03]decrypt.cohttps://decrypt.co/150282/north-korean-hacker-cell-lazarus-allegedly-behind-60m-alphapo-hack

Dépôts liés