Zerion désactive l’application web après une fuite interne de portefeuille de 100 000 $

• Zerion a perdu environ 100 000 $ après qu’une attaque pilotée par l’IA a compromis des portefeuilles chauds internes.
• Aucun fonds d’utilisateurs ni application n’a été affecté car la faille s’est limitée aux systèmes internes.
• Application web mise hors ligne pendant que les identifiants étaient tournés et que les portefeuilles des attaquants étaient tracés.

Zerion a temporairement désactivé son application web suite à la détection d’une activité inhabituelle associée à une cyberattaque ciblée. Cette violation a entraîné la perte d’environ 100 000 $ provenant des portefeuilles internes de la société.

L’incident, que la société a attribué à une opération d’ingénierie sociale pilotée par l’IA liée à un acteur malveillant lié à la Corée du Nord, a compromis l’appareil d’un membre de l’équipe et révélé des identifiants spécifiques ainsi que l’accès à des portefeuilles. L’entreprise a indiqué que la violation n’avait pas affecté les fonds des utilisateurs, les applications ou l’infrastructure, et a confirmé que sa plateforme web resterait hors ligne jusqu’à 48 heures par mesure de précaution.

Attaque liée à un appareil et des identifiants compromis

Selon Zerion, l’attaque provient d’un appareil compromis appartenant à un membre de l’équipe ciblé par ingénierie sociale. Cette méthode permettait à l’attaquant d’accéder aux sessions connectées, aux identifiants sensibles et aux clés privées associées aux portefeuilles chauds internes utilisés pour les tests et les opérations opérationnelles.

L’entreprise a rapporté que l’impact financier se limitait aux fonds internes, totalisant environ 100 000 $ sur plusieurs portefeuilles. Zerion a ajouté que les contrôles de sécurité existants et la réponse interne empêchaient toute utilisation abusive de l’accès compromis.

Aucun impact sur les utilisateurs ou l’infrastructure centrale

Zerion a confirmé qu’aucun fonds utilisateur n’a été affecté, notant que son portefeuille fonctionne selon un modèle d’auto-garde dans lequel les utilisateurs gardent le contrôle total de leurs clés privées et phrases de départ. L’entreprise a également indiqué que ses applications mobiles, extensions de navigateur, infrastructure backend et services API n’avaient pas été affectés par la faille.

De plus, Zerion a rapporté que ses canaux de communication, y compris les comptes sur les réseaux sociaux, sont restés sécurisés tout au long de l’incident. De plus, l’entreprise a noté que ses versions d’applications sont isolées, limitant l’exposition sur différentes plateformes.

Mesures de confinement immédiat et de sécurité de Zerion

Après la détection de la brèche, Zerion a mis en œuvre une série d’actions de confinement. L’entreprise a sécurisé son infrastructure de déploiement pour prévenir les mises à jour non autorisées, a fait tourner tous les identifiants potentiellement compromis et a reconfiguré les comptes multi-signatures.

L’application web a été placée en mode maintenance pour réduire le risque de déploiement malveillant, tandis que tous les employés ont été invités à scanner leurs appareils à la recherche de malwares similaires. Zerion a également examiné les points d’accès sur ses systèmes et initié des réinitialisations des identifiants lorsque cela était nécessaire.

Pour faire face à cette menace plus large, Zerion a fait appel à des partenaires de sécurité externes, dont Blockaid, ZeroShadow et ChainPatrol, pour suivre et signaler les portefeuilles contrôlés par les attaquants. L’entreprise a confirmé que les fonds volés avaient été retracés jusqu’à des adresses précises et signalés aux autorités policières.

En lien : La violation de l’extension Chrome de Trust Wallet détourne plus de 6 millions de dollars de fonds utilisateurs