Résumé Exécutif

Le 21 février 2025, l'échange de crypto-monnaies Bybit a subi une violation de sécurité entraînant le vol de plus de 1,4 milliard de dollars en actifs numériques. Un groupe de piratage nord-coréen a été identifié comme l'auteur de cet exploit significatif, marquant le plus grand vol unique dans l'histoire de l'industrie de la crypto-monnaie.

L'événement en détail

L'incident de sécurité, survenu le 21 février 2025, a impliqué le transfert non autorisé d'environ 1,4 milliard de dollars depuis les portefeuilles froids de Bybit. Les actifs volés comprenaient 401 347 ETH (évalués à environ 1,12 milliard de dollars), 90 376 stETH (253 millions de dollars), 15 000 cmETH (44 millions de dollars) et 8 000 mETH (23 millions de dollars). L'analyste de sécurité on-chain ZachXBT a initialement identifié des sorties suspectes totalisant environ 1,46 milliard de dollars.

Le vecteur d'attaque a impliqué une exploitation sophistiquée d'une solution de portefeuille multi-signatures largement utilisée, Safe{Wallet}. Les attaquants ont injecté du code JavaScript malveillant dans l'interface utilisateur de Safe{Wallet} via une machine de développeur compromise. Cela leur a permis de modifier la logique du contrat intelligent lors d'un transfert interne apparemment de routine, incitant les signataires autorisés de Bybit à approuver involontairement une transaction qui a remis le contrôle du contrat intelligent du portefeuille froid aux attaquants. Les fonds ont ensuite été dispersés et obscurcis à travers plusieurs portefeuilles, échanges décentralisés et protocoles de mixage.

Le co-fondateur et PDG de Bybit, Ben Zhou, a confirmé l'incident. En réponse, Bybit a déclaré sa solvabilité, affirmant que tous les fonds des clients sont garantis sur une base 1:1. L'échange a traité plus de 350 000 demandes de retrait en 10 heures et plus de 580 000 demandes par la suite, avec un retour à la fonctionnalité normale des services. Un audit de preuve de réserves par Hacken le 23 février 2025 a soutenu l'affirmation de Bybit de détenir plus de 100 % des réserves nécessaires pour couvrir les passifs. Un programme de récompense pour la récupération, offrant 10 % de tous les fonds récupérés, a également été initié.

Implications sur le marché

Cet incident représente le plus grand vol de crypto-monnaie unique de l'histoire, soulevant des préoccupations significatives concernant la posture de sécurité des échanges centralisés et des infrastructures tierces. La violation peut entraîner un examen accru des implémentations de portefeuilles multi-signatures et des processus régissant les transactions de grande valeur. Bien que la réponse rapide et la confirmation de solvabilité de Bybit aient atténué la panique immédiate et maintenu la confiance des utilisateurs, l'événement renforce la volatilité et les risques inhérents au marché des actifs numériques. Il souligne le besoin critique de protocoles de sécurité améliorés à travers l'ensemble de l'écosystème Web3 pour prévenir des exploits à grande échelle similaires.

Commentaires d'experts

Les enquêteurs, y compris ZachXBT et le FBI américain, ont attribué l'attaque à un groupe de piratage parrainé par l'État nord-coréen, spécifiquement le Lazarus Group. Ces groupes ont été liés à de nombreux vols de crypto-monnaies très médiatisés, accumulant des milliards de dollars pour financer des programmes d'armement sanctionnés. Le fondateur de Binance, Changpeng Zhao (« CZ »), avait précédemment averti des tactiques avancées et patientes employées par les pirates nord-coréens, notamment se faire passer pour des candidats à des postes de développeur et de sécurité, mener des entretiens frauduleux avec des liens malveillants et corrompre des fournisseurs externalisés pour accéder aux données. Ces méthodes sophistiquées, qui ont entraîné plus de 2,2 milliards de dollars de vols au cours du seul premier semestre 2025, mettent en évidence une menace systémique nécessitant une coopération internationale, des normes de sécurité robustes et des analyses de blockchain avancées pour y faire face.

Contexte plus large

Les opérations cybernétiques de la Corée du Nord sont devenues une menace significative et persistante pour l'industrie de la crypto-monnaie, leurs tactiques devenant de plus en plus sophistiquées. Le piratage de Bybit fait suite à une tendance d'escalade des cyberattaques, avec une augmentation des vols de 102,88 % en 2024. Cet incident se produit dans un contexte de paysages réglementaires en évolution. Le 2 septembre 2025, la US Securities and Exchange Commission (SEC) et la Commodity Futures Trading Commission (CFTC) ont publié une déclaration commune clarifiant que les échanges enregistrés sont autorisés à lister et à faciliter le trading de certains produits d'actifs cryptographiques au comptant. Cette clarté réglementaire devrait stimuler une participation institutionnelle accrue, mais elle nécessite également une attention encore plus grande à la résilience de la cybersécurité, car des flux de capitaux plus importants entrent dans l'espace des actifs numériques, rendant les défenses robustes contre les acteurs parrainés par l'État plus critiques que jamais. L'attaque illustre la tension continue entre la maturation du marché et les risques cybernétiques persistants et évolutifs. Balises alt d'image : ["Piratage de l'échange Bybit 1,4 milliard de dollars", "Vol de crypto par le groupe nord-coréen Lazarus", "Violation de sécurité Bybit février 2025", "Incident de sécurité de l'échange de crypto-monnaies", "Menaces cybernétiques de l'écosystème Web3", "Volatilité du marché des actifs numériques", "Protocoles de sécurité blockchain"]