Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 009Compromission de clé privée

Compromission de l'exchange KuCoin

281 M$ drainés des hot wallets KuCoin en BTC, ETH et ERC-20 — le 3e plus gros hack d'exchange, opération Lazarus ; environ 84 % récupérés.

Date
Victime
KuCoin
Chaîne(s)
BitcoinEthereum
Statut
Récupéré
Attribution
Lazarus Group (DPRK)

Le 25 septembre 2020, l'exchange basé à Singapour KuCoin a détecté des sorties non autorisées depuis ses hot wallets. Les pertes totales se sont établies à environ 281 millions de dollars sur BTC, ETH et des dizaines de tokens ERC-20 — à l'époque le plus grand hack d'exchange depuis Coincheck.

Ce qui s'est passé

Le CEO de KuCoin, Johnny Lyu, a plus tard confirmé que les clés privées contrôlant les hot wallets affectés avaient été exposées. Le mécanisme exact de compromission n'a pas été divulgué publiquement, mais Chainalysis a plus tard attribué l'opération au Lazarus Group sur la base de TTPs qui incluaient l'utilisation d'exchanges décentralisés et services de mixing DeFi pour blanchir les fonds — une évolution significative par rapport aux anciennes routes de blanchiment Lazarus qui s'appuyaient sur des mixers centralisés.

L'attaquant a déplacé les tokens volés directement vers des adresses contrôlées par l'attaquant et a immédiatement commencé à les swapper sur Uniswap et autres DEX dans des volumes qui ont brièvement distordu les prix on-chain pour plusieurs petits ERC-20.

Conséquences

La récupération de KuCoin a été la réponse la plus réussie à un hack majeur d'exchange enregistrée :

  • 222 M$ (78 %) ont été récupérés via la coordination avec les émetteurs de tokens, qui ont gelé et réémis les offres de tokens affectées pour rendre les détenteurs entiers.
  • 17,4 M$ (6 %) ont été récupérés via la coopération avec les forces de l'ordre et les cabinets de sécurité qui ont tracé et saisi les fonds volés.
  • Les ~41,5 M$ (~16 %) restants ont été couverts par le fonds d'assurance et les réserves d'entreprise de KuCoin.

Selon la propre comptabilité de Lyu en 2021, 100 % des soldes clients ont été restaurés.

Pourquoi c'est important

KuCoin a été la première démonstration majeure que le mécanisme de gel-et-réémission par les émetteurs de tokens pouvait fonctionner comme outil de récupération. De nombreux tokens ERC-20 — particulièrement ceux avec des clés admin — ont volontairement gelé l'offre volée et émis des tokens de remplacement à KuCoin. Cela a créé le playbook de récupération utilisé dans de nombreux incidents plus petits depuis, mais c'est devenu aussi une question de gouvernance contestée : si un token peut être gelé et réémis, il peut aussi être censuré.

Sources & preuves on-chain

  1. [01]chainalysis.comhttps://www.chainalysis.com/blog/lazarus-group-kucoin-exchange-hack/
  2. [02]en.wikipedia.orghttps://en.wikipedia.org/wiki/KuCoin
  3. [03]coindesk.comhttps://www.coindesk.com/markets/2020/09/26/over-280m-drained-in-kucoin-crypto-exchange-hack

Dépôts liés