- Le suspect : La Corée du Sud relie le piratage d’Upbit à 30,6 millions de dollars au groupe nord-coréen Lazarus.
- Le moment : La violation a eu lieu 24 heures après que Naver a accepté d’acheter la maison mère d’Upbit pour 10 milliards de dollars.
- La méthode : Les hackers ont probablement compromis les clés d’administration, reflétant les tactiques de Lazarus en 2019.
Les autorités sud-coréennes ont lancé une enquête de haut niveau sur la faille de sécurité à Upbit, les premiers indicateurs médico-légaux pointant vers le groupe Lazarus nord-coréen, soutenu par l’État.
L’enquête a affiné l’étendue des dégâts, confirmant une perte de 44,5 milliards de wons (30,6 millions de dollars), révisée à la baisse par rapport aux estimations initiales de 37 millions de dollars après une évaluation précise des actifs Volés de Solana.
La théorie du « chaos de fusion »
Les enquêteurs se concentrent désormais sur une anomalie temporelle critique : l’attaque a commencé moins de 24 heures après que le géant technologique Naver Corp. a annoncé un énorme échange d’actions de 10,3 milliards de dollars pour acquérir Dunamu, la société mère de la bourse.
Mercredi, Naver Financial a confirmé son intention d’acquérir Dunamu en tant que filiale à 100 %. Et jeudi matin, les alarmes internes d’Upbit se déclenchèrent.
En lien : Naver va acquérir l’opérateur Upbit Dunamu dans un échange d’actions de 10,3 milliards de dollars
Les attaquants ont siphonné environ 30,6 millions de dollars en Solana (SOL) et en jetons d’écosystème, dont Bonk et Jupiter, exploitant ainsi les frictions opérationnelles liées à la transition vers l’entreprise.
Signature médico-légale : La clé d’administration
Le vecteur d’attaque porte la signature distincte de l’offensive du groupe Lazarus en 2019 contre Upbit (qui a entraîné une perte de 50 millions de dollars ETH). Plutôt qu’un exploit complexe de smart contract, cela ressemble à un « compromis administrateur ».
Les autorités ont rapporté que le dernier incident présentait des similitudes avec le vol de 2019 impliquant une compromission au niveau des administrateurs. Selon un responsable, il est possible que les attaquants aient accédé ou usurpé l’identité des comptes administrateurs internes plutôt que de pirater directement l’infrastructure des serveurs. Cette technique s’inscrit dans les schémas de piratage précédents attribués à Lazarus, qui a une histoire documentée de ciblage des plateformes d’actifs numériques.
Upbit identifie une sortie non autorisée de Solana
Dunamu, l’opérateur d’Upbit, a confirmé que 44,5 milliards de wons en actifs numériques affiliés à Solana ont été transférés sans autorisation. Cependant, la bourse a indiqué qu’elle prévoyait de couvrir la totalité du montant avec ses propres réserves.
Upbit a signalé séparément une sortie de 54 milliards de wons (près de 38 millions de dollars) sur plusieurs jetons de l’écosystème Solana, dont Double Zero (2Z), Official Trump (TRUMP), Bonk et Jupiter (JUP). L’échange attribuait ces transferts à une compromettement du portefeuille.
Après la détection de la sortie, Upbit a suspendu les dépôts et retraits afin de procéder à un examen de ses portefeuilles et de ses procédures de sécurité. La plateforme a indiqué qu’elle identifiait immédiatement l’ampleur des retraits non autorisés et veillerait à ce qu’aucune perte ne soit répercutée sur les clients.
Contexte géopolitique : la crise financière
Les analystes notent que Pyongyang fait face à une pénurie critique de devises étrangères. Avec le durcissement des sanctions internationales, le régime s’est historiquement tourné vers le vol de cryptomonnaies pour financer des objectifs stratégiques.
La complexité de l’opération Upbit, qui fait passer des fonds via une chaîne à haut débit comme Solana plutôt que Bitcoin, suggère une évolution de leurs capacités de blanchiment d’argent, conçues pour dépasser rapidement les outils de traçage avant que les actifs volés ne puissent être gelés.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
