Avertissement: Cette plateforme présente l'avis de tiers. Nous ne garantissons pas que ceux-ci soient exacts. Les prix des actifs numériques peuvent être volatils. Faites vos propres recherches. Voir les conditions générales

NewsBybit les hackers transfèrent plus de la moitié de l'ETH volé sur Bitcoin, en utilisant principalement ThorChain

Bybit les hackers transfèrent plus de la moitié de l'ETH volé sur Bitcoin, en utilisant principalement ThorChain

Feb 28,2025,09:50

Signalé par The Block : les pirates de Bybit ont transféré au moins 209 384 ETH (~480 millions de dollars) sur Bitcoin, dont la majorité a été envoyée via ThorChain, selon l'expert en sécurité Ethereum Taylore Moynahan et les données d'Arkham Research.

Lazarus a volé plus de 400 000 ETH lors de l'attaque de vendredi, ainsi que environ 113 000 jetons liés à l'ETH.

Certains développeurs et validateurs de ThorChain ont tenté d'empêcher le blanchiment d'argent de la Corée du Nord, mais ont rencontré des défis technologiques et communautaires.

Le responsable de la sécurité de MetaMask, Taylor Monahan, a déclaré que les pirates de Bybit ont transféré au moins 209 384 ETH (~480 millions de dollars) sur Bitcoin, dans un message adressé à The Block. Cela représente plus de la moitié des environ 400 000 ETH prélevés sur l'échange, sans compter les autres jetons vidés.

Au moins 240 millions de dollars de cette somme ont été blanchis en utilisant THORchain, selon Arkham Intelligence, qui suit les portefeuilles numériques liés au groupe de pirates informatiques. La cryptomonnaie volée a été "principalement échangée contre du BTC natif", a déclaré Arkham dans un message sur X.

Vendredi dernier, Arkham Intelligence a déclaré que le Lazarus Group de la Corée du Nord avait piraté Bybit pour plus de 1,5 milliard de dollars, citant des informations fournies par le chercheur en ligne ZachXBT.

Le Bureau Fédéral d'Investigation a depuis confirmé que le piratage a été perpétré par les acteurs malveillants de la Corée du Nord "TraderTraitor", terme incluant le groupe Lazarus.

“Les acteurs de TraderTraitor avancent rapidement et ont converti une partie des actifs volés en Bitcoin et d'autres actifs virtuels dispersés sur des milliers d'adresses sur plusieurs blockchains", a déclaré le FBI dans son annonce. “Il est prévu que ces actifs seront ultérieurement blanchis et finalement convertis en monnaie fiduciaire.”

Les experts en sécurité Ethereum indiquent que le piratage de 1,5 milliard de dollars a été plus difficile que d'habitude à tracer. Lazarus est connu pour diviser les fonds et utiliser plusieurs protocoles pour déplacer des fonds, mais cette exploitation particulière implique des milliers de transactions séparées.

“Voici à quoi ressemble le suivi du piratage de Bybit”, a déclaré le chercheur pseudonyme SomaXBT sur X, exprimant la complexité de la répartition des fonds. “[C'est] juste le suivi de 2 mouvements de fonds (10 ETH chacun). Mon Mac Air est littéralement en train de chauffer pour charger ces transactions.”

Au total, les pirates informatiques ont vidé plus de 400 000 ETH (~1,1 milliard de dollars à l'époque), 90 000 stETH, 15 000 cmETH et 8 000 cETH lors de l'attaque. Cependant, il n'est pas clair combien d'ETH les pirates détiennent actuellement, car certains des actifs, y compris 43 millions de mETH, ont été gelés.

Échanges ThorChain
Monahan de Metamask estime que les pirates ont transféré au moins 161 490 ETH (d'une valeur de 370 millions de dollars aux prix actuels) en utilisant 3 934 transactions de pont distinctes vers ThorChain au cours des 115 dernières heures depuis le piratage. Cela représente la majorité des 209 384 ETH au total qu'elle estime avoir été transférés sur Bitcoin, a-t-elle déclaré à The Block.

“C'est 3 229 800 dollars par heure”, a-t-elle déclaré.

Lazarus semble utiliser deux principaux ponts non-custodiaux

Quant à l'attaque, les plateformes susmentionnées ThorChain et eXch. Cependant, eXch, principalement connu pour ses contrôles KYC laxistes, semble avoir désactivé les échanges de tokens ETH et ERC-20, limitant ainsi la capacité des pirates informatiques à déplacer des fonds vers le bitcoin.

Mercredi, le PDG de Bybit a annoncé que la plateforme offrirait une prime de 5 % aux bourses, ponts et mélangeurs qui aideraient à geler les fonds associés à l'attaque. Il s'agit d'une extension de la prime de 10 % initialement offerte par Bybit à quiconque pourrait restituer les fonds. Il n'est pas clair si eXch a reçu une prime au moment de la publication.

Des 161 490 ETH confirmés comme ayant transité via la plateforme d'échange inter-chaînes ThorChain, les pirates ont utilisé une multitude d'outils blockchain pour se déplacer, notamment Asgardex, DeFiSwap, FortunaSwap, GemWallet, LiFi, ShapeShift, TrustWallet, entre autres, selon les données blockchain.

ThorChain a enregistré sa plus forte journée de volumes d'échanges mercredi, avec plus de 737 millions de dollars de swaps de tokens.

« Tout cela provient des hackers de Lazarus », a déclaré l'utilisateur de ThorChain @diplo sur X. "Mais peu importe, c'est une victoire pour TC. La seule préoccupation est ce qui se passera une fois que ces échanges cesseront. Le BTC est en train de saigner actuellement et sans cela, je ne pense pas que nous serions au-dessus de 1 $. »

Le jeton natif de ThorChain, RUNE, s'est échangé à un prix record dépassant 1,60 $ depuis le piratage, un sommet récemment atteint, mais en baisse par rapport à un record de plus de 10 $ en 2024 et son record absolu de 19,30 $, selon la page de données de The Block.

"Thorchain ne fait rien pour arrêter le mouvement de l'ETH volé à travers leur plateforme, cela ne se terminera pas bien", a déclaré @AirdropGlideapp sur X. "Drôle de voir comment une personne peut fermer ThorFi en 2 minutes, mais quand il s'agit d'arrêter la Corée du Nord qui blanchit des milliards de dollars d'Ethereum via Thorchain, tout à coup, c'est impossible de faire quoi que ce soit !"---

Arrêter les flux ?
Selon plusieurs articles sur X, il y a eu une division interne concernant les flux liés à Lazarus. Plus tôt jeudi, trois validateurs ont voté contre les transactions liées au piratage de Bybit, ce qui a apparemment temporairement arrêté les flux. Cependant, le "vote a été annulé en quelques minutes" en raison du mécanisme de consensus extrêmement décentralisé derrière ThorChain qui préserve l'optionnalité des validateurs, a expliqué un utilisateur.

Notamment, le principal développeur pseudonyme de THORChain "Pluto" a préconisé de s'attaquer au blanchiment d'argent on-chain avant d'annoncer sa démission du projet. TCB, l'un des trois validateurs qui ont voté pour arrêter le trading ETH de THORChain, a également déclaré qu'il avait du mal à trouver des moyens d'empêcher le blanchiment d'argent nord-coréen.

"Lorsque la grande majorité de vos flux sont des fonds volés de la Corée du Nord pour le plus grand casse de l'histoire de l'humanité, cela devient un problème de sécurité nationale, ce n'est plus un jeu", a déclaré TCB sur X, ajoutant que ThorChain n'est pas "assez décentralisé" pour survivre à une attaque réglementaire. "La communauté de TC a des convictions fortes basées sur ce qu'elle apprend de---"

"des messages déconnectés de la réalité des personnes qui ont été aux premières lignes de l'exécution".

Immédiatement après avoir vidé le portefeuille froid de Bybit, Lazarus a transféré les fonds volés à trois adresses de "distribution" distinctes - 0xB4a, 0x23Ob et 0x83E - avant de les diviser en dizaines de nouvelles adresses créées. Le groupe a également échangé des dérivés ETH comme stETH et cETH contre de l'ETH en utilisant des échanges décentralisés comme Uniswap, Paraswap et KyberSwap.

Source
News
Rejoignez-nous

Obtenez l'application BloFin

download
App StoreGoogle PlayAndroid