Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 160Compromission de clé privée

Drainage du hot wallet CoinEx

Lazarus a drainé 54 M$ des hot wallets CoinEx sur Ethereum, Tron, BSC et 7 autres chaînes, réutilisant l'infrastructure du hack Stake.com précédent.

Date
Victime
CoinEx
Chaîne(s)
EthereumTronBNB ChainBitcoinSolanaPolygon
Statut
Fonds dérobés
Attribution
Lazarus Group (DPRK)

Le 12 septembre 2023 — huit jours après le cambriolage Stake.com — l'échange basé à Hong Kong CoinEx a détecté des sorties non autorisées depuis ses hot wallets. Pertes totales : ~54 millions de dollars sur au moins dix blockchains. L'analyse on-chain de ZachXBT a lié les chemins de blanchiment au même opérateur que Stake, les deux incidents étant ensuite attribués au groupe Lazarus.

Ce qui s'est passé

Les clés privées de CoinEx pour plusieurs hot wallets sur plusieurs chaînes ont été exposées — le vecteur exact n'a pas été publiquement divulgué, mais le schéma on-chain est la même signature Lazarus vue dans les opérations DMM Bitcoin, Phemex et Stake.com : retraits coordonnés simultanés sur plusieurs chaînes, pontage inter-chaînes immédiat dans des mixeurs, et consolidation via un ensemble connu d'adresses de blanchiment.

Répartition de la perte par SlowMist :

  • ~18 M$ en ETH
  • ~11 M$ en TRX
  • ~6 M$ en BNB
  • ~6 M$ en XRP
  • ~5,9 M$ en BTC
  • ~2,5 M$ en SOL
  • ~5 M$ sur MATIC, XDAG, KDA, BCH

L'analyse de wallets de ZachXBT a montré une réutilisation directe d'adresses de blanchiment à travers les produits CoinEx et Stake.com — preuve forte que le même opérateur menait les deux campagnes dans les mêmes semaines.

Conséquences

  • CoinEx a mis en pause les retraits en quelques heures et annoncé une indemnisation à 100 % depuis les réserves d'entreprise.
  • Les retraits ont été progressivement restaurés sur les deux semaines suivantes alors que les clés étaient tournées et l'infrastructure hot-wallet reconstruite.
  • Les fonds ont été blanchis via des ponts inter-chaînes ; aucune récupération publique.

Pourquoi c'est important

CoinEx est un cap d'un cluster serré d'opérations Lazarus contre échanges fin été 2023 — Stake.com le 4 septembre, CoinEx le 12 septembre, Mixin Network le 23 septembre — qui ont collectivement drainé plus de 295 M$ en trois semaines. Le cluster a confirmé que Lazarus avait transitionné du ciblage principalement des protocoles DeFi vers le ciblage systématique des échanges centralisés avec une hygiène de hot wallet faible — un schéma qui s'est intensifié sur 2024 et a culminé dans le cambriolage Bybit dix-huit mois plus tard.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-coinex-hack-september-2023
  2. [02]coindesk.comhttps://www.coindesk.com/tech/2023/09/13/north-korean-attackers-linked-to-54m-coinex-hack-blockchain-data-suggests
  3. [03]risky.bizhttps://risky.biz/north-korean-hackers-are-behind-coinex-hack/

Dépôts liés