ByBit hack : le plus gros vol de cryptomonnaies par la Corée du Nord décrypté

août, 2 2025

Analyse de l'attaque ByBit

Informations clés de l'attaque

Date de l'attaque :

Montant volé (en USD) :

Nom de l'acteur :

Type d'attaque :

Calculateur de risque

Estimez le risque de piratage pour votre portefeuille en fonction des mesures de sécurité appliquées :

Niveau de protection du portefeuille :

Fréquence de mise à jour des clés :

Protection contre les attaques internes :

Entrez vos paramètres et cliquez sur "Calculer le risque"

Mesures de prévention

Voici les recommandations pour sécuriser vos actifs numériques :

Utilisez des portefeuilles matériels (hardware wallets) pour les grandes sommes
Séparez les fonctions de génération de clés et de signature
Effectuez des audits réguliers de la chaîne d’approvisionnement logicielle
Implémentez des systèmes de détection d'anomalies basés sur les transactions
Restez informé des adresses bloquées par les autorités (FBI, TRM Labs)

ByBit hack a secoué le monde des cryptomonnaies en février 2025. En moins de 24 heures, des hackers nord‑coréens ont siphonné environ 1,5milliard de dollars en Ethereum depuis le portefeuille «cold» d’un des plus grands échanges. Voici ce qui s’est réellement passé, pourquoi c’est important et ce que cela signifie pour les traders, les plateformes et la sécurité internationale.

TL;DR

Le 21février2025, la division nord‑coréenne TraderTraitor a volé 1,5milliard$ d’Ethereum sur Bybit.
L’attaque a compromis un portefeuille cold wallet censé être inviolable grâce à une faille de supply‑chain ou d’initié.
Les fonds ont été convertis en Bitcoin via Binance Smart Chain, Solana puis déplacés sur des réseaux OTC.
L’FBI a publié les adresses concernées et demandé aux services de blocage d’agir rapidement.
L’incident montre que même les mesures de multi‑signature ne sont plus suffisantes face à des acteurs d’État avancés.

Contexte du piratage

Le 21 février2025, Bybit, l’un des cinq principaux échanges de cryptomonnaies, a détecté une sortie massive d’Ethereum depuis son portefeuille froid. Cette sortie a totalisé 6200ETH, soit près de 1,5milliard$ au prix du jour. L’incident a été immédiatement attribué à un groupe désigné TraderTraitor par le FBI.

Qui est TraderTraitor?

TraderTraitor est une unité spécialisée du 3ᵉ Bureau du Reconnaissance General Bureau (RGB), le service de renseignement extérieur de la République populaire démocratique de Corée (RPDC). Sous la bannière du Lazarus Group, ce sous‑groupe agit depuis 2022 uniquement pour voler des actifs numériques. Leur expertise couvre les compromissions de chaînes d’approvisionnement, les attaques contre les environnements cloud et, désormais, les wallets froids d’échanges majeurs.

Comment les hackers ont compromis le cold wallet

Les analystes de TRM Labs estiment que l’intrusion s’est faite via l’une des trois voies suivantes: une faille de supply chain (logiciel de gestion des clés), un insider malveillant ou une compromission directe de la clé privée. Dans les trois cas, les mesures de multi‑signature n’ont pas suffi, car les attaquants ont obtenu les signatures requises ou ont contourné le processus grâce à une attaque persistante.

Mouvement des fonds volés

Après le vol, les 6200ETH ont été fractionnés en centaines d’adresses, puis convertis via le Binance Smart Chain et Solana. La majorité a finalement été transformée en Bitcoin (BTC) et transférée vers des plateformes OTC anonymes. Les adresses de destination ont été rapidement étiquetées «Stolen Funds» par TRM Labs, qui a publié un suivi en temps réel nommé «Bybit Exploiter Feb2025».

Réactions des autorités et du secteur

L’FBI a publié une alerte officielle, listant les adresses Ethereum compromises et demandant aux fournisseurs de services d’actifs virtuels (VASP), aux ponts inter‑chaînes et aux opérateurs de nœuds RPC de bloquer toute transaction venant de ces adresses. En parallèle, les principaux échanges (Binance, Coinbase, Kraken) ont renforcé leurs filtres de conformité, tandis que les firmes d’analyse blockchain ont déployé des modèles de détection «flood‑the‑zone» pour contrer la stratégie de volume massif employée par TraderTraitor.

Leçons pour la sécurité des échanges

L’incident montre que même les modèles de stockage les plus sûrs (cold wallets, multi‑signatures) peuvent être violés si l’accès aux clés privées est compromis en amont. Les experts recommandent:

Segmentation stricte des environnements de génération de clés, avec surveillance en continu des accès physiques et logiques.
Audit de la chaîne d’approvisionnement logicielle, notamment pour les bibliothèques de gestion de clés.
Redondance des signatures via des parties tiers certifiées, afin de rendre impossible la compromission d’une majorité de signatures.
Intégration de solutions de détection d’anomalies basées sur le taux de transaction et le nombre d’adresses impliquées.

Implications géopolitiques et économiques

Le vol de 1,5milliard$ dépasse le total des vols nord‑coréens de 2023 (660M$) et représente près de la moitié des revenus étrangers estimés du régime, selon un rapport du Bureau de l’administration Biden. Les fonds volés sont destinés à financer le programme nucléaire et les missiles balistiques. Ainsi, chaque grosse attaque a des répercussions bien au‑delà du marché crypto: elle alimente directement des menaces de sécurité internationale.

Comparer TraderTraitor et le reste du Lazarus Group

TraderTraitor vs. Lazarus Group - différences clés
Aspect	TraderTraitor	Lazarus Group (global)
Objectif principal	Vol d’actifs numériques à grande échelle	Sabotage, phishing, ransomware, vol de crypto
Méthodes récentes	Compromission de cold wallets, "flood‑the‑zone"	Supply‑chain attacks, malware, phishing
Année de première attribution	2022	2009 (premier ransomware)
Targets typiques	Échanges centralisés, services DeFi	Institutions financières, gouvernements, entreprises
Volume volé (2025)	1,5milliard$	≈3,2milliard$ depuis 2017

Prochaines étapes pour les acteurs du marché

Si vous êtes trader, exchange ou développeur de solutions DeFi, voici ce que vous pouvez faire dès maintenant:

Mettre à jour vos listes de blocage avec les adresses publiées par le FBI et TRM Labs.
Auditer vos solutions de stockage de clés privées avec un cabinet spécialisé en sécurité industrielle.
Intégrer une couche de monitoring des flux inter‑chaînes, surtout vers Binance Smart Chain et Solana.
Participer à des groupes de partage d’information comme le Crypto Asset Security Forum (CASF).

Questions fréquentes

Comment les hackers ont-ils obtenu les clés privées du cold wallet de Bybit?

Les investigations pointent vers une combinaison de compromission de la chaîne d’approvisionnement logicielle et d’un possible insider. Dans les deux scénarios, les clés privées ont été extraites avant que les contrôles multi‑signature ne puissent réagir.

Quelles adresses Ethereum sont à bloquer?

Le FBI a publié une liste de plus de 30 adresses impliquées dans le transfert initial d’Ethereum. La liste est régulièrement mise à jour par TRM Labs et peut être intégrée via leurs API publiques.

Le vol affecte‑t‑il mon solde sur Bybit?

Only the 6200ETH stored in the compromised cold wallet were taken. Les fonds des utilisateurs sur les comptes actifs n’ont pas été directement touchés, mais l’incident a créé une volatilité importante sur le marché.

Comment protéger mon portefeuille contre ce type d’attaque?

Utilisez des solutions hardware wallets, séparez les fonctions de génération de clés et de signature, et assurez‑vous que chaque composant logiciel provient d’une source vérifiée et signée.

La Corée du Nord va‑t‑elle continuer à viser les exchanges?

Oui, les analyses montrent que le modèle économique du régime repose de plus en plus sur le vol de crypto. Les grandes plateformes restent les cibles les plus lucratives.

15 Commentaires

Andy Baldauf
août 2, 2025 AT 19:32

Bon, on a encore un gros hack qui nous rappelle que la sécurité crypto c'est pas du gâteau. ByBit aurait été pris à la volée, et la Corée du Nord aurait siphonné des milliards. Si t'avais un hardware wallet, t'aurais évité tout ce drama. Pense à séparer tes clés et à activer le multi‑sig, sinon c'est le même film à chaque fois. Fais gaffe, chaque petite faille peut coûter cher.
Et rappelle-toi, même les plus grands exchanges se font pirater, alors reste vigilant.
Mathisse Vanhuyse
août 3, 2025 AT 23:19

Quel désastre épique ! C'est comme si les hackers avaient trouvé le dernier fragment du Graal numérique. La scène est digne d'un thriller hollywoodien, mais en vrai c'est juste la réalité du noir. On sent la tension monter à chaque ligne de code compromise. Pas étonnant que les analystes restent bouche bée devant l'ampleur de ce vol.
Restez forts, la communauté survit toujours.
Julie Collins
août 5, 2025 AT 03:06

Franchement, c'est hallucinant à quel point les cyber‑criminels sont créatifs. ByBit, pourtant réputé, s'est fait braquer comme un magasin sans alarme. Le mélange de phishing, d'accès interne et de bugs dans le code, c'est du grand art du chaos. Si on veut éviter ce scénario, faut penser à des mesures en couches : hardware wallets, audits réguliers, et veille active sur les adresses suspectes.
Un conseil : n'oublie jamais de mettre à jour tes clés au moins tous les six mois.
Marie-Pier Horth
août 6, 2025 AT 06:52

Ah, le fameux hack ByBit. C'est un vrai classeur de leçons pour les novices. La Corée du Nord a encore prouvé qu'elle ne joue pas à côté. Si tu n'avais pas les protections basiques, tu aurais tout perdu. Simple comme bonjour : utilise le multi‑signature et garde tes clés offline.
Anne-Laure Pezzoli
août 7, 2025 AT 10:39

En effet, la plupart des pertes viennent d'une mauvaise gestion des clés. Séparer la génération et la signature réduit les risques. Pense à auditer tes flux de travail régulièrement.
Denis Enrico
août 8, 2025 AT 14:26

Ce truc me rend parano à mort. On dirait qu'ils ont planté un malware dans le système de ByBit depuis des mois. Les acteurs étatiques n'ont aucune honte à voler. Tout le monde devrait se méfier des “meilleures pratiques” qui ne sont qu'un leurre. Mets en place une surveillance d'anomalies, sinon tu vas te faire brûler les cartes.
kalidou sow
août 9, 2025 AT 18:12

Analysons les faits : l'attaque a exploité une faille de gestion des accès internes. La surveillance était insuffisante, ce qui a permis le déplacement des fonds sans détection. Les mesures correctives incluent la segmentation des privilèges et le contrôle d'accès strict. La mise à jour des protocoles de sécurité doit être systématique.
Juliette Kay
août 10, 2025 AT 21:59

Permettez‑moi de souligner, avec le plus grand respect, que la rédaction de ce rapport aurait gagné en clarté si les auteurs avaient évité le langage trop familier. Une approche plus formelle aurait renforcé la crédibilité de l'analyse. Il convient de rappeler l'importance d'une terminologie précise dans les communications de sécurité.
Anais Tarnaud
août 12, 2025 AT 01:46

Wow, ils ont vraiment tout raflé, c’est du grand spectacle.
F Yong
août 13, 2025 AT 05:32

Oh super, encore un “nouveau” hack – quelle surprise.
isabelle monnin
août 14, 2025 AT 09:19

Pour ceux qui cherchent à se protéger, commencez par un hardware wallet. C'est simple, mais très efficace. Ensuite, activez le multi‑signature sur vos gros portefeuilles. N'oubliez pas de faire des backups chiffrés de vos seeds. Enfin, gardez un œil sur les listes d'adresses bloquées publiées par les autorités.
M. BENOIT
août 15, 2025 AT 13:06

Hé, si t'as déjà tout mis en place, pourquoi tu comptes encore sur les autres ? Fais le taf toi‑même, champion. Sinon, reste dans le noir.
Neil Deschamps
août 16, 2025 AT 16:52

Ce qui nous frappe le plus dans l'affaire ByBit, c'est la combinaison de plusieurs facteurs qui, mis bout à bout, ont créé une faille majeure. Premièrement, l'architecture du système d'authentification était construite autour d'un seul point de contrôle, ce qui signifie qu'une fois que le testeur interne a obtenu les accès, aucun deuxième facteur n'est intervenu pour vérifier l'authenticité. Deuxièmement, le processus de mise à jour des clés était exécuté de manière semi‑automatique, sans validation humaine suffisante, ouvrant ainsi la porte à des scripts malveillants. Troisièmement, le manque de segmentation des privilèges a permis à un acteur unique de parcourir l'ensemble des comptes sans logique de besoin de savoir. Quatrièmement, les alertes de mouvements inhabituels étaient désactivées pendant les heures de maintenance, ce qui a retardé la détection. Cinquièmement, les audits de code interne n'étaient pas régulièrement planifiés, laissant des vulnérabilités latentes. Sixièmement, la formation du personnel en matière de cybersécurité était minimale, renforçant la probabilité d’erreurs humaines. Septièmement, les fournisseurs tiers, chargés de la gestion des API, n'avaient pas de clauses de sécurité obligatoires, ce qui a exposé des endpoints sensibles. Huitièmement, le monitoring des transactions sur la blockchain n'était pas couplé à un système d'alertes en temps réel, limitant la capacité de réaction. Neuvième point, la communication interne manque de clarté : les équipes de sécurité et de développement ne partagent pas toujours les informations critiques. Dixième facteur, le plan de réponse aux incidents était obsolète, avec des procédures qui n'avaient jamais été testées en situation réelle. On ajoute à cela le facteur géopolitique : la Corée du Nord possède des ressources et des talents en hacking qui dépassent souvent les capacités défensives des acteurs privés. En fin de compte, chaque faiblesse, prise isolément, aurait pu être gérable, mais la confluence de ces lacunes a créé un scénario où le vol a pu se produire à grande échelle. Ce cas doit servir de leçon pour toute plateforme qui gère des actifs numériques : la sécurité doit être holistique, intégrée à chaque niveau, du code au processus, en passant par la culture d'entreprise.
En résumé, ne jamais sous‑estimer l'importance d'une approche en profondeur, tant sur le plan technique que sur le plan organisationnel.
Sara Jane Breault
août 17, 2025 AT 20:39

Utilisez un portefeuille hardware, c’est la base.
Alain Leroux
août 19, 2025 AT 00:26

Il faut bien reconnaître que chaque système a ses limites, mais la responsabilité revient aux utilisateurs d'adopter les meilleures pratiques. Même si les exchanges améliorent leurs protocoles, la vigilance individuelle reste indispensable. En fin de compte, la sécurité est un effort partagé.