Les cryptomonnaies les plus recherchées : le braquage de 3,19 millions de dollars du groupe Lazarus sur Tron déclenche une alarme mondiale

Le tristement célèbre groupe Lazarus, un syndicat cybercriminel nord-coréen soutenu par l’État, a une fois de plus frappé le monde des crypto-monnaies.

L’enquêteur de la blockchain ZachXBT a récemment signalé un piratage sophistiqué qui a siphonné environ 3,19 millions de dollars en USDT d’une victime inconnue sur la blockchain Tron.

Les fonds volés ont été rapidement blanchis via Ethereum avant de disparaître dans les profondeurs de Tornado Cash, un service de mixage axé sur la confidentialité.

Cette dernière attaque porte toutes les caractéristiques des techniques de blanchiment emblématiques du groupe Lazarus, qui ont joué un rôle déterminant dans sa longue histoire de cyber-braquages.

Le groupe, connu pour son implication dans certains des plus grands vols de crypto-monnaie de l’histoire, aurait volé plus de 6 milliards de dollars d’actifs numériques depuis 2017, une grande partie du produit de la vente aurait été destinée au financement du programme de missiles balistiques de la Corée du Nord.

Une frappe coordonnée : de Tron à Ethereum en passant par Tornado Cash

Selon les données de TronScan, les pirates du groupe Lazarus ont utilisé deux adresses, TYQ3455gFNeqyw et 0xcced1276382f4d, pour voler 3 199 779 USDT à une victime dont l’adresse de portefeuille est identifiée comme TDNaLds1A1g6vYRU.

Lisez aussi : Tirer les leçons de l’affaire de l’escroquerie Milei : comment éviter les escroqueries dans les pièces mèmes

Une fois les fonds obtenus, les cybercriminels les ont rapidement transférés sur Ethereum, les ont échangés contre de l’ETH, puis ont fragmenté les actifs sur dix adresses différentes avant de les envoyer via Tornado Cash dans la répartition suivante :

• 96 transactions de 10 ETH

• 4 transactions de 100 ETH

• 78 transactions de 1 ETH

• 5 transactions de 0,1 ETH

Ce processus de superposition structuré est une tactique connue employée par le groupe Lazarus pour obscurcir le flux de fonds volés, rompant ainsi leur traçabilité sur la blockchain.

En utilisant des échanges décentralisés (DEX) plutôt que des plateformes centralisées (CEX), le groupe contourne les gels potentiels des fonds illicites, une mesure conçue pour déjouer les efforts de suivi réglementaire et judiciaire.

Liens avec les braquages passés : la connexion avec Michael Kong Hack

L’enquête de ZachXBT a mis au jour un lien essentiel entre ce dernier piratage et la violation d’octobre 2023 de Michael Kong, PDG de Fantom/Sonic.

Les pirates ont réutilisé une adresse de l’attaque de Kong, cimentant ainsi leur lien avec la campagne plus large de spear-phishing du groupe Lazarus, qui a été documentée dans un rapport de l’ONU de mars 2024.

De plus, le 22 février, ZachXBT a révélé un autre exploit du groupe Lazarus, révélant comment les pirates avaient directement connecté les piratages de Bybit et de Phemex en mélangeant les actifs volés des deux violations dans un seul pipeline de blanchiment.

Bybit : le plus grand braquage de crypto-monnaies de l’histoire ?

L’implication du groupe Lazarus dans le piratage de Bybit – un vol d’Ethereum estimé à 1,5 milliard de dollars – a établi de nouveaux records dans le domaine de la cybercriminalité.

L’attaque, qui a vu plus de 400 000 ETH drainés du portefeuille froid de Bybit, est désormais considérée comme l’une des violations financières les plus dévastatrices jamais enregistrées dans l’industrie des crypto-monnaies.

Les recherches d’Elliptic suggèrent que la faille de sécurité de Bybit a été méticuleusement planifiée, ce qui a permis aux pirates d’exécuter ce qui est maintenant potentiellement le plus grand braquage de crypto-monnaies de l’histoire.

Lisez aussi : Le scandale du jeton LIBRA : le président Milei, Hayden Davis et le cauchemar crypto de l’Argentine

Comment Lazarus blanchit les crypto-monnaies volées

Selon le rapport d’investigation d’Elliptic, le groupe Lazarus suit un processus de blanchiment très systématique pour nettoyer les actifs numériques volés et les encaisser sans être détecté.

Leur approche se compose de trois étapes essentielles :

1. Échange de jetons – Les pirates échangent immédiatement les stablecoins et les altcoins volés contre des actifs natifs de la blockchain comme l’Ether ou le Bitcoin pour empêcher les émetteurs de geler les fonds volés.

2. Superposition de fonds - Les actifs volés sont déplacés via plusieurs portefeuilles, des ponts inter-chaînes et des swaps DEX pour masquer les pistes de transaction et retarder les efforts de suivi.

3. Mélange avec Tornado Cash - La phase finale consiste à utiliser des mélangeurs de crypto-monnaie tels que Tornado Cash pour effacer les liens transactionnels entre les fonds piratés et les destinations finales du portefeuille.

Quelle est la prochaine étape ?

Ce dernier piratage de 3,19 millions de dollars de Tron à Ethereum réaffirme que le groupe Lazarus reste l’une des cybermenaces les plus redoutables dans l’espace crypto.

Face aux inquiétudes croissantes suscitées par l’utilisation par la Corée du Nord de fonds cryptographiques volés pour le développement d’armes, les agences de réglementation mondiales et les sociétés d’investigation blockchain intensifient leurs efforts pour suivre et perturber les activités du groupe.

Cependant, alors que le groupe Lazarus continue de faire évoluer ses techniques, en tirant parti des DEX, des swaps inter-chaînes et des mélangeurs de confidentialité, les échanges de crypto-monnaies et les entreprises de sécurité sont confrontés à une bataille continue contre l’un des réseaux de cybercriminalité financière les plus sophistiqués de l’histoire moderne.

Lisez aussi : Scandale Libra Coin ($LIBRA) : l’implication du président argentin Milei dans une fraude présumée aux crypto-monnaies

Foire aux questions

1. Qui est le groupe Lazarus et pourquoi est-il important dans la cybercriminalité crypto ?

Le groupe Lazarus est une organisation cybercriminelle soutenue par l’État nord-coréen responsable de certains des plus grands vols de crypto-monnaies de l’histoire. Ils auraient volé plus de 6 milliards de dollars depuis 2017, utilisant le produit de la vente pour financer le programme de missiles balistiques de la Corée du Nord.

2. Comment le groupe Lazarus a-t-il exécuté le piratage de Tron de 3,19 millions de dollars ?

Le groupe a volé environ 3,19 millions de dollars en USDT à une victime inconnue sur la blockchain Tron. Les fonds ont ensuite été transférés sur Ethereum, échangés contre de l’ETH et blanchis par Tornado Cash via de multiples transactions pour masquer leur origine.

3. Qu’est-ce que Tornado Cash et pourquoi les pirates l’utilisent-ils ?

Tornado Cash est un mélangeur de crypto-monnaie décentralisé qui améliore la confidentialité en rompant le lien entre les adresses de l’expéditeur et du destinataire. Les cybercriminels, y compris le groupe Lazarus, l’utilisent pour blanchir les fonds volés, ce qui rend difficile pour les autorités de suivre les transactions.

4. Quel est le lien entre ce piratage et les précédentes cyberattaques du groupe Lazarus ?

L’enquêteur blockchain ZachXBT a lié cette attaque au piratage d’octobre 2023 de Michael Kong, PDG de Fantom/Sonic, en identifiant des adresses de portefeuille réutilisées. De plus, des techniques de blanchiment similaires ont été observées dans les piratages des échanges Bybit et Phemex.

5. Quelles sont les mesures prises pour contrer les cybermenaces du groupe Lazarus ?

Les organismes de réglementation mondiaux, les sociétés d’investigation blockchain et les échanges de crypto-monnaies renforcent les mesures de sécurité, suivent les transactions illicites et mettent sur liste noire les portefeuilles suspects. Cependant, le groupe Lazarus continue d’affiner ses tactiques de blanchiment, ce qui rend l’application de la loi un défi de taille.