Le 14 août 2025, l'échange turc BtcTurk a subi son deuxième hack majeur de hot wallet en 14 mois, perdant environ 48 millions de dollars sur sept chaînes — Ethereum, Avalanche, Arbitrum, Base, Optimism, Mantle et Polygon. L'échange avait précédemment perdu 55 M$ en juin 2024 dans des circonstances similaires. Les actifs clients en cold storage sont restés intacts dans les deux incidents.
Ce qui s'est passé
La brèche de 2025 reflète le schéma de 2024 : sorties simultanées et coordonnées depuis les hot wallets BtcTurk sur plusieurs chaînes, identifiées par le système de détection d'anomalies de Cyvers avant la propre divulgation de BtcTurk. L'échange a mis en pause les dépôts et retraits en quelques heures.
BtcTurk n'a pas détaillé publiquement le vecteur de compromission spécifique de l'incident 2025. Le schéma on-chain — balayage coordonné multi-chaînes, conversion inter-chaînes immédiate via agrégateurs, routage immédiat vers Tornado Cash — est compatible avec une compromission de clé privée d'un système de signature centralisé plutôt qu'un bug de smart contract ou une attaque de chaîne d'approvisionnement.
La nature récurrente de l'incident — même échange, mêmes TTPs, magnitude de perte similaire, 14 mois d'écart — suggère fortement que la même faiblesse opérationnelle n'avait pas été pleinement remédiée après le premier hack. Les analystes de l'industrie ont noté que la brèche correspondait à des opérations de style Lazarus mais aucune attribution formelle n'a été émise.
Les actifs volés incluaient ETH, AVAX, ARB, BASE, OP, MANTLE, MATIC — principalement des tokens de longue traîne choisis spécifiquement pour devancer toute coordination de gel par les émetteurs de tokens.
Conséquences
- BtcTurk a mis en pause les dépôts et retraits et annoncé un remboursement client complet depuis les réserves d'entreprise.
- L'échange a souligné que la plupart des actifs restaient en cold storage — la perte a été contenue à un pourcentage relativement petit des holdings totaux.
- Aucune récupération publique depuis les wallets de l'attaquant ; les fonds ont été blanchis via Tornado Cash et routes de mixage standards.
Pourquoi c'est important
Les deux brèches de BtcTurk en 14 mois illustrent un schéma récurrent en sécurité d'échange : une première compromission réussie signale souvent une faiblesse structurelle exploitable qu'une équipe défensive sous-estime de remédier à fond.
Le playbook post-incident entre juin 2024 et août 2025 incluait des rotations de clés, des audits d'infrastructure et (selon les déclarations publiques de BtcTurk) un durcissement des contrôles de hot wallet. Quoi qu'il ait été réellement fait, c'était soit incomplet, insuffisant, ou ciblait la mauvaise couche — parce que la même classe d'attaque a réussi à nouveau à échelle similaire.
La leçon générale pour la sécurité des échanges en 2025 :
- Une première brèche de hot wallet devrait déclencher une revue extérieure par une firme indépendante, pas seulement un durcissement interne. Les équipes internes manquent souvent le problème systémique qui a permis la première brèche.
- Les compromissions récurrentes détruisent la confiance des clients même si les remboursements sont payés en intégralité. BtcTurk est resté opérationnel après les deux incidents, mais sa position concurrentielle sur le marché turc s'est érodée de manière mesurable entre les incidents.
- Les acteurs de menace alignés sur des États reviennent sur les cibles faciles. Lazarus et des groupes similaires maintiennent des listes de cibles ; une opération réussie contre un échange augmente la probabilité d'une opération de suivi, pas la diminue.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-btcturk-hack-august-2025
- [02]decrypt.cohttps://decrypt.co/335251/hacked-again-turkish-exchange-btcturk-suspends-withdrawals-50m-moved
- [03]coindesk.comhttps://www.coindesk.com/business/2025/08/14/turkish-crypto-exchange-btcturk-witnesses-usd48m-of-suspicious-outflows-amid-hack-fears