En mai 2024, la bourse japonaise de cryptomonnaies DMM a subi un événement majeur de perte d'actifs, dont la cause a été attribuée à un groupe de hackers lié à la Corée du Nord. Cet incident révèle des vulnérabilités potentielles dans la gestion des systèmes internes et les contrôles de sécurité des bourses japonaises, suscitant une large attention de l'industrie sur la gestion des portefeuilles et la sécurité des transactions.
(La bourse japonaise DMM a subi le vol de 4 503 bitcoins, perdant 48,2 milliards de yens)
Enquête de la police japonaise : arnaque de faux recrutement, infiltration habile du système par des hackers
Récemment, la police japonaise a révélé que des hackers avaient trompé un technicien d'une société de développement technique de DMM sous prétexte d'une activité de recrutement. Sous prétexte de tests techniques, ils ont réussi à inciter ce technicien à télécharger un programme malveillant. Ce programme a ensuite été utilisé pour infiltrer le système de trading de DMM, modifiant des ordres de transaction légitimes, ce qui a finalement conduit à un transfert massif d'actifs cryptographiques vers le portefeuille des attaquants.
(FBI révèle : la Corée du Nord attaque activement l'industrie des cryptomonnaies, l'ingénierie sociale cible les employés des entreprises de la cryptomonnaie)
Où se trouvent exactement les vulnérabilités du système DMM ?
Cet incident a mis l'accent sur la gestion des portefeuilles froids et le processus de vérification des transactions de DMM. Selon les analyses, DMM, en tant que gestionnaire final des actifs, détient les clés privées nécessaires au transfert des actifs. Cependant, l'incident a montré que les attaquants ont pu exploiter une vulnérabilité dans la communication entre l'appareil de gestion et le terminal de portefeuille froid lors de la modification des adresses de transaction. La clé d'une attaque de modification d'adresse de transaction réside dans le fait que l'adresse générée par les attaquants ressemble à une adresse légitime, ce qui a empêché le personnel en charge de la vérification des transactions de détecter des anomalies.
Le rôle du sous-traitant Ginco : un système sous-traité ou un potentiel risque ?
L'incident DMM impliquait également la société sous-traitante Ginco, qui fournit le système de portefeuille. Ginco est principalement responsable de la gestion des adresses et de la génération des transactions, mais son système interne pourrait devenir un point d'entrée pour les attaquants. Des analyses suggèrent que les hackers pourraient avoir injecté des données de transaction modifiées via l'appareil de gestion de Ginco, puis effectué la signature finale via le terminal de portefeuille froid de DMM. Si DMM avait soigneusement comparé les détails de la transaction avant et après la signature, des anomalies auraient dû être détectées, mais en réalité, cette étape a été négligée.
Stratégie des hackers nord-coréens + vulnérabilités potentielles de DMM ont craqué la défense !
Cette attaque est considérée comme une opération soigneusement planifiée par des hackers nord-coréens. Bien que les bourses effectuent généralement des transferts d'actifs réguliers pour assurer la sécurité, DMM a exposé des vulnérabilités opérationnelles pendant le transfert, devenant la cible principale des attaquants. Les experts soulignent que les attaquants ont pu choisir un moment prédictible et opérationnel, exploitant les habitudes de fonctionnement de DMM pour frapper précisément.
Avertissement pour l'industrie des cryptomonnaies : défense interne et externe sont toutes deux indispensables
Les commentaires estiment que cet incident est un sérieux avertissement pour l'ensemble de l'industrie des cryptomonnaies. Même si l'environnement des portefeuilles froids est considéré comme la méthode de gestion des actifs la plus sûre, les attaquants peuvent encore mener des attaques via des systèmes de gestion sous-traités ou des vulnérabilités internes de vérification. Par conséquent, l'industrie doit renforcer les contrôles de sécurité à chaque étape, de la génération de transactions à la signature finale, et adhérer au principe « Ne faites pas confiance, vérifiez ».
Suite à cet incident, les experts conseillent aux bourses de renforcer la formation des employés et l'éducation à la sécurité, tout en adoptant des méthodes de vérification multiple pour procéder à une vérification progressive des transactions. En outre, il est également essentiel de renforcer la gestion et le contrôle des entreprises de sous-traitance. Pour d'autres bourses utilisant le système Ginco, il est particulièrement important de procéder à une vérification des vulnérabilités et de mettre en place des mesures de défense temporaires.
Cet article déchiffre le vol de bitcoins de 48,2 milliards de la bourse japonaise DMM : des hackers nord-coréens impliqués, des problèmes de gestion interne et de sous-traitance avec Ginco. Publié pour la première fois sur ABMedia.
