Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 218Compromission de clé privée

Vidage des hot wallets de Phemex

~73 M$ drainés des hot wallets de Phemex sur 16 blockchains dans un balayage coordonné — premier piratage d'échange majeur de 2025, TTPs cohérents avec Lazarus.

Date
Victime
Phemex
Chaîne(s)
EthereumSolanaBitcoinBNB ChainPolygon
Statut
Fonds dérobés
Attribution
Suspected Lazarus Group (DPRK)

Le 23 janvier 2025 à 11h30 UTC, l'échange basé à Singapour Phemex a détecté une activité sortante inhabituelle depuis ses hot wallets. Au moment où les portefeuilles ont été drainés, environ 73 millions de dollars avaient été déplacés sur seize blockchains différentes — ce qui en fait le premier incident d'échange majeur de 2025 et un avant-goût de l'année à venir.

Ce qui s'est passé

Le vecteur exact de compromission n'a jamais été divulgué publiquement, mais le schéma on-chain était incontestable : l'attaquant détenait l'autorité de signature simultanée sur les hot wallets d'au moins 16 chaînes, dont Ethereum, Solana, Bitcoin, Ripple, BNB Chain, Polygon, Avalanche et Optimism — et l'a utilisée dans un balayage coordonné et sous pression temporelle avant que les retraits ne puissent être mis en pause.

Répartition des pertes par chaîne (sélection) :

  • Solana : ~17 M$
  • Ripple (XRP) : ~13 M$
  • Ethereum : ~10 M$
  • Bitcoin : ~5,3 M$
  • 12 autres chaînes : le reste

Le schéma unifié — même opérateur sur plusieurs chaînes, uniquement hot wallets, transfert cross-chain immédiat vers des mixeurs — correspond aux TTPs post-compromission de TraderTraitor / Lazarus observés chez DMM Bitcoin et plus tard chez Bybit. Phemex n'a pas attribué publiquement, mais les analystes en sécurité ont noté la ressemblance.

Conséquences

  • Phemex a mis en pause les dépôts et retraits en quelques heures et a reconstitué les soldes des clients depuis ses propres réserves.
  • Tous les services de retrait ont été restaurés en février 2025.
  • Les fonds ont été blanchis via des ponts cross-chain ; aucun n'a été publiquement récupéré.

Pourquoi c'est important

Phemex a démontré que la compromission en un seul point d'un système de gestion de clés privées peut compromettre des dizaines de chaînes à la fois. De nombreux échanges stockaient historiquement les clés de hot wallets pour différentes chaînes dans le même coffre pour la commodité opérationnelle ; cet incident a poussé plusieurs concurrents vers le partitionnement HSM par chaîne et les limites de vélocité de retrait avec auto-suspension comme hygiène minimale de hot wallet.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-phemex-hack-january-2025
  2. [02]phemex.comhttps://phemex.com/announcements/phemex-hot-wallet-security-incident-update-and-timeline
  3. [03]crypto.newshttps://crypto.news/hackers-steal-70m-from-phemex-in-2025s-largest-attack-so-far/

Dépôts liés