Drainage du pool de minage SBI Crypto

Le 24 septembre 2025, la filiale de minage Bitcoin du géant japonais SBI Holdings — SBI Crypto — a été drainée d'environ 24 millions de dollars sur cinq blockchains : Bitcoin, Ethereum, Litecoin, Dogecoin et Bitcoin Cash. La brèche est restée non détectée pendant sept jours, jusqu'à ce que l'enquêteur on-chain ZachXBT signale publiquement les flux suspects le 1er octobre.

Ce qui s'est passé

SBI Crypto exploitait un pool de minage Bitcoin, avec une infrastructure de portefeuilles associés détenant les distributions de récompenses de minage sur plusieurs chaînes. La compromission a visé le système de hot wallet du pool — le vecteur exact n'a jamais été divulgué publiquement par SBI, bien que le motif on-chain corresponde à une compromission de clés privées classique d'une infrastructure de signature multi-chaînes.

Répartition des actifs volés :

• ~17,45 M$ depuis les portefeuilles Bitcoin (la plus grosse perte individuelle).
• ~6,4 M$ depuis Ethereum.
• ~67 874 $ depuis Bitcoin Cash.
• ~76 343 $ depuis Litecoin.
• ~42 718 $ depuis Dogecoin.

La route de blanchiment — acheminée à travers cinq « échangeurs instantanés » avant dépôt dans Tornado Cash — correspondait étroitement aux opérations documentées du groupe Lazarus à la même période. ZachXBT a explicitement noté les similitudes avec de précédents vols crypto alignés sur l'État nord-coréen dans sa divulgation initiale.

Conséquences

• SBI a publié une déclaration confirmant un « flux sortant non autorisé » mais sans fournir de rapport technique public ni d'attribution détaillée des pertes.
• Le délai de divulgation de 7 jours a suscité une vive critique de l'industrie — la plupart des grands opérateurs crypto japonais publient des divulgations sous 24 à 48 heures, conformément aux attentes de la FSA depuis Coincheck.
• Aucune récupération publique depuis les portefeuilles de l'attaquant.
• L'attribution à Lazarus est restée au niveau analytique ; SBI n'a ni confirmé ni démenti.

Pourquoi c'est important

L'incident SBI Crypto est une étude de cas claire pour comprendre comment les pools de minage sont devenus des cibles dans le tempo opérationnel Lazarus 2025. Les premières campagnes Lazarus se concentraient sur les plateformes d'échange et les protocoles DeFi ; les pools de minage — qui détiennent des soldes de récompenses significatifs dans des hot wallets régulièrement accédés — représentent une surface d'attaque similaire avec moins d'attention médiatique et souvent une sécurité opérationnelle plus faible :

• Les opérateurs de pools de minage sont des organisations à forte composante ingénierie dont les pratiques de garde n'égalent pas toujours la rigueur des équipes dédiées de custody d'exchange.
• Les opérations de récompenses multi-chaînes exigent des soldes hot wallet sur chaque chaîne où le pool opère — multipliant la surface d'attaque par chaîne.
• La cadence de paiement aux mineurs crée une activité régulière des hot wallets qui peut masquer des flux anormaux pour des outils de surveillance naïfs.

La réponse défensive est la même que pour la custody d'exchange :

• Signature isolée par HSM, par chaîne.
• Limites de vélocité de retrait par portefeuille avec suspension automatique.
• Surveillance on-chain indépendante par des services externes (Chainalysis, Cyvers, etc.) qui ne dépendent pas de la détection d'anomalies propre à l'opérateur.
• Divulgation publique rapide lors d'une brèche, pour limiter la fenêtre de blanchiment de l'attaquant et préserver la confiance des clients.

Le retard de 7 jours de SBI Crypto, en particulier, illustre la leçon récurrente pour les entreprises hors du périmètre des exchanges régulés : la divulgation rapide est en soi une mesure défensive, peu importe combien elle est opérationnellement gênante pour la victime.