Le 20 septembre 2024, l'échange basé à Singapour BingX a détecté un drainage non autorisé sur l'un de ses hot wallets. À la fin de l'incident, environ 52 millions de dollars s'étaient déplacés sur cinq blockchains — Ethereum, BNB Chain, Avalanche, Optimism et Polygon.
Ce qui s'est passé
BingX a divulgué la brèche en quelques heures et l'a caractérisée comme une compromission de hot wallet. Le schéma on-chain était un balayage coordonné : retraits non autorisés simultanés sur plusieurs chaînes, pontage immédiat dans des mixeurs anonymisants, et consolidation sur une poignée d'adresses contrôlées par l'attaquant.
Les TTPs — drainage simultané multi-chaînes de hot wallet, blanchiment dans une fenêtre temporelle bornée — correspondent au schéma plus large de l'activité des opérateurs nord-coréens documentée chez Phemex, DMM Bitcoin et autres. BingX n'a pas attribué publiquement.
Conséquences
- BingX a mis en pause les retraits immédiatement et annoncé une indemnisation complète des utilisateurs affectés depuis les réserves internes.
- Les services de retrait ont été restaurés en quelques jours après rotation des clés de hot wallet.
- Les fonds volés n'ont pas été récupérés.
Pourquoi c'est important
BingX a rejoint un schéma pluriannuel d'échanges de moyen rang drainés pour 50-80 M$ dans des opérations coordonnées multi-chaînes. La leçon, répétée par Phemex quatre mois plus tard : la ségrégation des clés de hot wallet par chaîne — et les limites de vélocité de retrait par chaîne avec suspension automatisée — ne sont plus un durcissement optionnel, elles sont la garde de base.
Sources & preuves on-chain
- [01]medium.comhttps://medium.com/coinmonks/top-5-crypto-hacks-of-2024-more-than-2-billion-lost-36crypto-559a481eff9c
- [02]cryptotimes.iohttps://www.cryptotimes.io/2024/12/30/in-2024-crypto-lost-2-2-billion-to-hackers-top-5-hacks/