Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 159Compromission de clé privée

Vol des hot wallets Stake.com

Stake.com a perdu 41 M$ de ses hot wallets sur Ethereum, BSC et Polygon en 90 min ; le FBI a formellement attribué le vol à Lazarus et listé 40 adresses.

Date
Victime
Stake.com
Chaîne(s)
EthereumBNB ChainPolygon
Statut
Fonds dérobés
Attribution
Lazarus Group / APT38 (DPRK)

Le 4 septembre 2023, le casino de cryptomonnaie Stake.com a subi une série de retraits hot-wallet non autorisés totalisant environ 41,35 millions de dollars sur trois chaînes dans une fenêtre de 90 minutes. Le FBI a publiquement attribué l'opération au groupe Lazarus / APT38 dans les 72 heures et a listé toutes les 40 adresses contrôlées par l'attaquant dans son communiqué de presse.

Ce qui s'est passé

Les pertes de Stake provenaient de hot wallets sur Ethereum (~15,7 M$, majoritairement USDT, ETH, USDC, DAI), BNB Chain (~17,8 M$) et Polygon (~7,8 M$). La première transaction était un transfert de 3,9 M$ en USDT ; le reste a suivi dans un balayage chorégraphié de manière serrée pour extraire la valeur avant que les retraits ne puissent être suspendus.

Le vecteur exact de compromission a été contesté. Le cofondateur de Stake Edward Craven a déclaré que l'attaque visait « un service utilisé par l'entreprise pour autoriser les transactions », laissant entendre que la brèche se trouvait dans un système d'autorisation de signature plutôt qu'un vol direct de clés privées. Le cadrage du FBI penchait vers une compromission de clés privées. Le pattern on-chain — même opérateur sur plusieurs chaînes, retraits coordonnés simultanés — est cohérent avec l'une ou l'autre lecture.

Conséquences

  • Stake.com a mis en pause brièvement les opérations hot-wallet et absorbé la perte depuis les réserves d'entreprise.
  • Le FBI a publiquement nommé les 40 adresses de l'attaquant — une attribution d'une granularité inhabituelle qui a donné aux équipes de conformité de l'industrie une liste de cibles de gel dans les jours suivant l'incident.
  • Les fonds ont été blanchis via des ponts cross-chain et des mixeurs, partiellement combinés avec les produits d'autres opérations Lazarus (notamment Atomic Wallet et CoinEx à la même période).

Pourquoi c'est important

Stake.com a été le premier incident dans lequel l'attribution du FBI a inclus des adresses on-chain spécifiques plutôt qu'un simple acteur de menace nommé. La combinaison d'attribution opérationnelle et de transparence on-chain signifiait que toute plateforme d'échange ou protocole DeFi recevant des fonds depuis ces adresses savait exactement à qui ils avaient affaire, en temps réel — accélérant la standardisation du screening d'adresses sanctionnées comme contrôle AML réglementé plutôt que comme bonne pratique volontaire.

Sources & preuves on-chain

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-identifies-lazarus-group-cyber-actors-as-responsible-for-theft-of-41-million-from-stakecom
  2. [02]coindesk.comhttps://www.coindesk.com/policy/2023/09/07/north-koreas-lazarus-hackers-stoke-41-million-from-crypto-gambling-site-fbi-says
  3. [03]trmlabs.comhttps://www.trmlabs.com/resources/blog/fbi-confirms-that-north-korea-was-behind-41-million-stake-com-exploit

Dépôts liés