Le FBI a officiellement lié le dévastateur piratage de DMM Bitcoin au groupe de hackers TraderTraitor de la Corée du Nord, qui aurait des liens avec le célèbre groupe Lazarus. En mai, la cyberattaque a entraîné le vol de 4 502 Bitcoin, d'une valeur de 308 millions de dollars, causant des dommages financiers sévères et la fermeture éventuelle de l'échange de cryptomonnaies japonais.
L'attaque a commencé par des tactiques sophistiquées d'ingénierie sociale ciblant Ginco, une entreprise japonaise de portefeuille de cryptomonnaies. Les hackers se sont fait passer pour des recruteurs sur LinkedIn, envoyant des liens malveillants déguisés en tests pré-emploi hébergés sur GitHub. Un employé de Ginco a cliqué sans le savoir sur le lien, permettant aux hackers de compromettre leur compte GitHub. Cet accès a permis aux attaquants de se faire passer pour l'employé dans les communications internes.
D'ici mai, le groupe avait exploité cet accès pour manipuler une demande de transaction légitime d'un employé de DMM Bitcoin. Le Bitcoin volé a été rapidement transféré sur des portefeuilles contrôlés par les hackers. Malgré les efforts de DMM Bitcoin pour récupérer des fonds et indemniser les utilisateurs par le biais de rachats de Bitcoin, les pertes financières étaient insurmontables. En conséquence, l'échange a annoncé sa fermeture permanente et prévoit de transférer les comptes clients à SBI VC Trade d'ici mars 2025.
Cette violation se classe parmi les vols de cryptomonnaies les plus significatifs du Japon, juste après le piratage de Coincheck en 2018, où 530 millions de dollars ont été volés. L'incident met en lumière la menace croissante posée par les groupes de cybercriminels nord-coréens dans le secteur des cryptomonnaies. Rien qu'en 2024, ces groupes ont été responsables du vol de 1,34 milliard de dollars d'actifs cryptographiques, représentant environ deux tiers de tous les vols de cryptomonnaies dans le monde.
En juillet, les fonds volés ont été détournés par Huione Guarantee, une entreprise opérant au Cambodge. Les rapports de Chainalysis suggèrent que la société a été impliquée dans des escroqueries de type « pig butchering » d'une valeur d'environ 49 milliards de dollars. En réponse, le Cambodge a lancé une répression en décembre, bloquant l'accès à 16 échanges de cryptomonnaies, y compris des plateformes majeures comme Binance, Coinbase et OKX.
Taylor Monahan, une experte en sécurité de MetaMask, a souligné le risque persistant : « Les gens du crypto (espérons-le) savent déjà que Lazarus est l'un des acteurs de menace les plus prévalents ciblant cette industrie. Ils ont eu plus de victimes, d'entreprises, de protocoles que quiconque. Mais il est bon de savoir exactement comment ils entrent. Parce qu'un autre audit de contrat intelligent ne vous sauvera pas. »
Cette attaque sert de rappel frappant de la menace persistante et évolutive posée par les cybercriminels nord-coréens. Leur capacité à exploiter l'erreur humaine par le biais de l'ingénierie sociale et de techniques d'infiltration avancées reste un défi sérieux pour l'industrie mondiale des cryptomonnaies.
