Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 003Faillite d'exchange centralisé

Cambriolage de Bitfinex en 2016

Des hackers ont volé 119 754 BTC (71 M$ à l'époque, 9 Md$+ à la récupération) des hot wallets multi-sig Bitfinex, récupérés six ans plus tard par le DOJ.

Date
Victime
Bitfinex
Chaîne(s)
Bitcoin
Statut
Récupéré
Attribution
Ilya Lichtenstein

Le 2 août 2016, 119 754 BTC — environ 71 millions de dollars à l'époque — ont été drainés de Bitfinex en 2 072 transactions non autorisées. Six ans plus tard, le département de la Justice américain a récupéré la grande majorité des coins volés et a mis en accusation les blanchisseurs, dont Heather « Razzlekhan » Morgan, une rappeuse mal inspirée, et son mari Ilya Lichtenstein.

Ce qui s'est passé

Bitfinex détenait l'essentiel des réserves Bitcoin clients dans un schéma multi-signature opéré par BitGo. La configuration spécifique de l'échange — y compris la manière dont les limites de retrait et les flux d'approbation étaient implémentés — était confidentielle, mais la brèche a montré que les contrôles opérationnels autour du service de co-signature de BitGo n'étaient pas aussi serrés que les mathématiques de la multi-sig le suggéraient.

L'attaquant a compromis les systèmes internes de Bitfinex et obtenu les identifiants nécessaires pour soumettre des demandes de retrait valides à grande échelle. L'API de co-signature de BitGo les a autorisées sans déclencher les alertes qui auraient dû signaler le volume. Quand la poussière est retombée, l'attaquant avait déplacé 119 754 BTC vers un wallet auto-contrôlé.

Le voleur — Lichtenstein — s'est ensuite assis sur les fonds pendant des années, tentant lentement de les blanchir via chain-hopping, mixeurs et dark markets. Il gardait la seed du wallet dans un fichier chiffré.

Conséquences

  • Bitfinex a initialement socialisé la perte sur les comptes clients (une « coupe » controversée de tous les soldes de ~36 %) et a émis des tokens de dette BFX, plus tard des tokens LEO, pour représenter le solde impayé.
  • En février 2022, le DOJ a descellé l'acte d'accusation : les agents avaient déchiffré le fichier de wallet de Lichtenstein (prétendument via une saisie de cloud storage) et récupéré plus de 94 000 des BTC volés — valant environ 3,6 milliards de dollars au moment de la saisie et plus de 9 milliards de dollars lors de la sentence de 2024.
  • Lichtenstein a plaidé coupable et a été condamné à 5 ans en prison fédérale ; Morgan a reçu 18 mois.
  • Le DOJ a statué que les fonds récupérés devraient être restitués « en nature » (en BTC) à Bitfinex. Bitfinex s'est engagé à utiliser 80 % des fonds récupérés pour racheter et brûler ses tokens LEO en circulation, distribuant la valeur aux clients qui avaient absorbé la perte originale.

Pourquoi c'est important

Bitfinex est le seul hack crypto majeur dont la récupération a dépassé la perte originale de deux ordres de grandeur — conséquence d'un attaquant qui n'a pas pu blanchir les produits avant que le prix du Bitcoin ne décolle. C'est aussi l'opération de récupération forensique de cryptomonnaies la plus réussie de l'histoire du DOJ, et le modèle de comment le forensic on-chain + des saisies ciblées de matériel de clés hors chaîne peuvent craquer même des opérations de blanchiment pluriannuelles.

Sources & preuves on-chain

  1. [01]en.wikipedia.orghttps://en.wikipedia.org/wiki/2016_Bitfinex_hack
  2. [02]trmlabs.comhttps://www.trmlabs.com/resources/blog/ilya-lichtenstein-sentenced-for-role-in-bitfinex-hack-in-razzlekhan-case-as-government-recovers-about-10-billion-in-stolen-funds
  3. [03]chainalysis.comhttps://www.chainalysis.com/blog/bitfinex-hack-plea-july-2023/

Dépôts liés