Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 194Phishing / Ingénierie sociale

DMM Bitcoin

Des opérateurs DPRK ont compromis un développeur du vendeur de wallets Ginco via une fausse offre LinkedIn, drainant 4 502,9 BTC (305 M$) de DMM Bitcoin.

Date
Victime
DMM Bitcoin
Chaîne(s)
Bitcoin
Statut
Fonds dérobés
Attribution
TraderTraitor / Lazarus Group (DPRK)

Le 31 mai 2024, l'exchange de cryptomonnaies japonais DMM Bitcoin a perdu 4 502,9 BTC — environ 305 millions de dollars à l'époque — en un seul retrait non autorisé. L'exchange a cessé ses opérations plus tard dans l'année et a transféré les comptes clients restants à SBI VC Trade.

Ce qui s'est passé

La brèche n'est pas originaire de DMM lui-même. Elle a commencé chez Ginco, le vendeur japonais de logiciel de wallet dont le système était utilisé par DMM pour autoriser les retraits.

En mars 2024, un opérateur nord-coréen s'est fait passer pour un recruteur sur LinkedIn et a approché un ingénieur de Ginco. Dans le cadre du faux processus d'embauche, ils ont partagé un « test de compétences » Python hébergé sur GitHub. L'ingénieur a exécuté le script sur une machine personnelle — accordant à l'attaquant l'accès aux cookies de session et, à travers eux, la capacité d'usurper l'identité de l'ingénieur sur les systèmes internes de Ginco.

Pendant deux mois, l'attaquant est resté à l'intérieur des communications non chiffrées de Ginco, observant comment les transactions étaient autorisées. Fin mai, ils ont utilisé cet accès pour manipuler une demande de retrait légitime de DMM Bitcoin afin que les fonds soient acheminés vers des wallets qu'ils contrôlaient. Les 4 502,9 BTC ont bougé en une seule transaction.

Conséquences

  • Le FBI, l'Agence nationale de la police japonaise et le Cyber Crime Center du Department of Defense américain ont attribué conjointement le casse à TraderTraitor / Lazarus en décembre 2024.
  • DMM Bitcoin a annoncé qu'il fermerait en décembre 2024 et migrerait les comptes clients vers SBI VC Trade.
  • Les BTC volés ont été blanchis via des ponts cross-chain et des mixers.

Pourquoi c'est important

DMM était l'exemple le plus médiatisé d'un pattern qui a défini l'année : des opérateurs nord-coréens ciblant les vendeurs et développeurs autour des entreprises crypto, pas les entreprises elles-mêmes. Le même playbook — approche LinkedIn factice, « test de compétences » malveillant, vol de cookies de session — s'est répété chez Munchables, Radiant Capital, et finalement chez Safe{Wallet} avant le casse de Bybit.

Sources & preuves on-chain

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-dc3-and-npa-identification-of-north-korean-cyber-actors-tracked-as-tradertraitor-responsible-for-theft-of-308-million-from-bitcoindmmcom
  2. [02]coindesk.comhttps://www.coindesk.com/policy/2024/12/24/north-korea-blamed-for-may-s-usd305m-hack-on-japanese-crypto-exchange-dmm
  3. [03]cryptoslate.comhttps://cryptoslate.com/fbi-reveals-north-korea-used-linkedin-to-steal-305-million-from-japans-dmm-bitcoin/

Dépôts liés