Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 221Détournement de frontend

Cambriolage de Bybit

Du JavaScript malveillant injecté dans l'UI Safe{Wallet} a drainé 401 000 ETH (1,46 Md$) d'un transfert cold-wallet Bybit, plus grand vol crypto jamais.

Date
Victime
Bybit
Chaîne(s)
Ethereum
Statut
Fonds dérobés
Attribution
TraderTraitor / Lazarus Group (DPRK)

Le 21 février 2025, Bybit a perdu environ 401 000 ETH — environ 1,46 milliard de dollars à l'époque — dans ce qui reste le plus grand vol unique de cryptomonnaies jamais enregistré. L'attaque n'a pas brisé le wallet de Bybit, son processus de signature ou sa garde de clés. Elle a brisé l'interface utilisateur que les signataires de Bybit regardaient.

Ce qui s'est passé

L'échange préparait un transfert de routine depuis un cold wallet Ethereum multi-signature vers un warm wallet. Le wallet était une instance Gnosis Safe gérée via l'interface web Safe{Wallet}.

Quelques jours plus tôt, un développeur chez Safe — l'entreprise qui maintient le frontend Safe{Wallet} — avait été manipulé par ingénierie sociale. Les attaquants ont compromis le poste de travail du développeur, soustrait des jetons de session AWS, et utilisé ces identifiants temporaires pour contourner le MFA et atteindre l'environnement AWS de production de Safe{Wallet}.

Depuis l'intérieur du pipeline de déploiement de Safe, ils ont remplacé un morceau de JavaScript frontend par du code ciblant l'adresse Safe spécifique de Bybit. Quand les signataires de Bybit ont examiné la transaction en attente dans leur navigateur, l'UI a affiché le transfert vers warm wallet bénin auquel ils s'attendaient. La transaction effectivement envoyée à leurs hardware wallets, cependant, était un delegatecall qui écrasait le contrat d'implémentation du Safe — donnant à l'attaquant le contrôle total du wallet.

Trois signatures plus tard, tous les 401 000 ETH avaient disparu.

Conséquences

  • Le FBI a publiquement attribué le cambriolage à TraderTraitor, un sous-cluster du groupe Lazarus nord-coréen, en quelques jours.
  • Mi-mars, les enquêteurs on-chain ont rapporté que les attaquants avaient converti ~86 % de l'ETH volé en BTC et le blanchissaient via ponts inter-chaînes et mixeurs.
  • Bybit a levé ~50 000 ETH en prêts de pontage d'urgence auprès de concurrents et a rendu tous les retraits clients intégraux.
  • Safe a publié un post-mortem et a refondu ses contrôles d'intégrité de l'UI de signature.

Pourquoi c'est important

Bybit est l'étude de cas fondatrice pour un tout nouveau modèle de menaces : l'UI du wallet fait partie de la frontière de confiance. La signature par hardware wallet suppose que l'humain peut lire la transaction ; si l'écran affichant la transaction est compromis, les hardware wallets ne vous sauvent pas. Plusieurs plateformes de garde ont depuis ajouté des affichages indépendants de simulation de transaction, une vérification par second canal et des prompts de signature basés sur des hashs en réponse directe.

Sources & preuves on-chain

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-dc3-and-npa-identification-of-north-korean-cyber-actors-tracked-as-tradertraitor-responsible-for-theft-of-308-million-from-bitcoindmmcom
  2. [02]nccgroup.comhttps://www.nccgroup.com/research/in-depth-technical-analysis-of-the-bybit-hack/
  3. [03]csis.orghttps://www.csis.org/analysis/bybit-heist-and-future-us-crypto-regulation

Dépôts liés