Des hackers nord-coréens liés à l’État, connus sous le nom de Lazarus, sont soupçonnés d’avoir volé des cryptomonnaies dans le South Korean exchange Upbit . Les autorités sud-coréennes ont indiqué que les retraits non autorisés s’élevaient à environ 30 millions de dollars américains. La plateforme a détecté le retrait un jeudi et a commencé à travailler avec les régulateurs pour identifier la source de la fuite. Les enquêteurs ayant examiné l’événement ont déclaré que la méthode utilisée lors de l’intrusion ressemble à une attaque précédente contre Upbit en 2019.
Les hackers ont retiré des actifs numériques de la plateforme et transféré ces fonds via plusieurs portefeuilles de cryptomonnaies. Le mouvement rapide des fonds volés a rendu difficile la récupération des actifs. Le schéma de mouvements observé après le vol reflète des comportements décrits dans des cas précédents liés à Lazarus, notamment des transferts rapides entre portefeuilles et l’utilisation de plusieurs comptes intermédiaires.
Upbit a signalé l’intrusion peu après avoir identifié les transactions non autorisées. L’entreprise a commencé à examiner les contrôles d’accès internes et les journaux de transactions pour déterminer comment les attaquants y étaient entrés. Il n’a pas encore communiqué de détails sur le point d’entrée. L’incident a suscité des questions sur le fait que les attaquants aient utilisé des identifiants compromis ou exploité des faiblesses dans les systèmes d’accès aux comptes.
Lazarus est associé à des vols de cryptomonnaies à grande échelle depuis plusieurs années. Parmi les incidents passés liés au groupe figurent la perte d’actifs numériques provenant d’autres plateformes d’échange et de services basés sur la blockchain. Le mobile présumé de ces incidents est l’acquisition de devises étrangères pour le gouvernement nord-coréen, qui fait face à des sanctions internationales restreignant l’activité financière.
La violation de 2019 impliquant Upbit a entraîné une perte d’environ 40 millions de dollars américains. Les autorités ont noté que l’activité observée dans le dernier cas partage des caractéristiques avec cet événement antérieur. Ces similitudes ont contribué à soupçonner que le même groupe aurait commis le vol récent.
Suite aux rapports publics de cette intrusion, le cours de l’action de la société mère d’Upbit a chuté. Les investisseurs ont réagi aux préoccupations concernant les possibles conséquences réglementaires et l’impact sur la confiance des clients. Upbit a déclaré qu’elle continuait de renforcer les mesures internes et qu’elle coopérait avec les agences gouvernementales au cours de l’enquête.
Les autorités examinent les enregistrements blockchain et retracent les mouvements de fonds afin d’identifier les portefeuilles concernés. Des enquêtes antérieures impliquant Lazarus ont montré que le groupe distribuait fréquemment des fonds volés via de nombreuses adresses pour dissimuler leur chemin. Cette tactique peut compliquer les efforts pour identifier où les fonds sont finalement stockés.
Les utilisateurs des plateformes d’échange de cryptomonnaies sont invités à rester prudents quant à l’endroit où ils stockent leurs actifs. Détenir des fonds dans des portefeuilles basés sur une plateforme peut exposer les utilisateurs à des pertes si une plateforme est compromise. Les options de stockage à froid protègent les utilisateurs qui n’ont pas besoin d’un accès immédiat à leurs actifs.
L’implication présumée de Lazarus dans le vol d’Upbit souligne l’ampleur des opérations menées par des groupes de piratage liés à l’État. Le vol d’actifs numériques reste une menace importante pour les marchés des cryptomonnaies et pour les utilisateurs qui stockent des actifs sur des plateformes centralisées.