Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 196Compromission de clé privée

Effondrement de l'échange Lykke

22 M$ (158 BTC, 2 161 ETH, plus LTC/BCH) drainés de Lykke via une compromission de clé privée que l'échange britannique a tenté de cacher ; attribué à Lazarus.

Date
Victime
Lykke
Chaîne(s)
BitcoinEthereumLitecoin
Statut
Fonds dérobés
Attribution
Lazarus Group (DPRK)

Le 4 juin 2024, l'échange fondé en Suisse et basé au Royaume-Uni Lykke a subi une compromission de clé privée qui a drainé environ 22 millions de dollars en BTC, ETH, LTC et BCH. L'échange n'a pas divulgué publiquement la brèche pendant deux jours ; l'histoire a éclaté lorsque l'enquêteur on-chain SomaXBT a publié les mouvements de portefeuille sur les réseaux sociaux le 6 juin. Lykke a cessé ses opérations en quelques mois. Le Trésor britannique a ensuite attribué l'attaque au groupe Lazarus de Corée du Nord.

Ce qui s'est passé

Lykke détenait les réserves clients dans des hot wallets sur plusieurs chaînes. Le 4 juin, un attaquant a obtenu l'autorité de signature sur ces portefeuilles et a exécuté des sorties coordonnées :

  • 158 BTC (~11 M$)
  • 2 161 ETH (~8 M$)
  • Un mélange de LTC et BCH (~3 M$ combinés)

Le schéma de compromission — vidage simultané multi-chaînes, aucun bug de contrat intelligent, transfert cross-chain immédiat vers des voies d'anonymisation — correspondait au modèle standard de Lazarus axé sur les CEX, documenté chez Atomic Wallet, Stake.com, puis Phemex et Bybit.

La particularité du cas Lykke était la tentative initiale de dissimulation : l'échange n'a pas notifié ses clients avant le 6 juin, deux jours après la brèche, et seulement après que des enquêteurs on-chain avaient publiquement identifié les sorties non autorisées. Plusieurs médias ont noté que la communication de Lykke pendant cette période avait été activement trompeuse — les utilisateurs ont été informés que la plateforme rencontrait des « difficultés techniques » plutôt qu'un incident de sécurité.

Conséquences

  • Lykke a arrêté les transactions le 6 juin et n'a pas repris ses opérations normales.
  • L'entreprise a fermé plus tard en 2024, mettant effectivement fin à ses activités.
  • Le Trésor britannique a formellement attribué l'attaque au groupe Lazarus dans une divulgation liée aux sanctions environ un an plus tard.
  • Aucune récupération publique depuis les portefeuilles de l'attaquant.

Pourquoi c'est important

L'incident de Lykke a illustré deux échecs croisés communs au niveau des petits et moyens CEX :

  1. Une hygiène de hot wallet ne correspondant pas au profil opérationnel d'un adversaire sérieux. Lazarus ne choisit pas ses cibles par taille ; il les choisit par facilité de compromission. Lykke disposait, selon les rapports, d'une infrastructure de signature isolée par HSM minimale pour un échange de sa taille, ce qui en faisait une cible relativement molle.
  2. L'échec de divulgation comme brèche secondaire. Cacher un incident de sécurité aux clients pendant 48 heures — pendant que les attaquants blanchissaient les fonds volés — donne à l'attaquant la fenêtre maximale possible pour convertir les produits en formes intraçables. Une divulgation publique rapide est en soi une mesure défensive, à la fois parce qu'elle déclenche des gels coordonnés entre échanges et parce qu'elle active la criminalistique on-chain menée par la communauté.

Lykke est le miroir plus petit du schéma plus large de 2024-2025 : un échange sous-équipé, un attaquant aligné sur un État bien doté en ressources, une réponse publique lente et une fermeture totale finale.

Sources & preuves on-chain

  1. [01]dlnews.comhttps://www.dlnews.com/articles/defi/little-known-crypto-exchange-suffers-22-million-dollar-hack/
  2. [02]cryptonews.comhttps://cryptonews.com/news/british-exchange-lykke-loses-22-million-in-cyberattack/
  3. [03]ccn.comhttps://www.ccn.com/news/technology/north-korea-lazarus-lykke-crypto-heist/

Dépôts liés