Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Perspectives
27 février 2025

Le piratage de Bybit : Suivre le plus grand exploit de la Corée du Nord

Perspectives TRMPerspectives
Le piratage de Bybit : Suivre le plus grand exploit de la Corée du Nord

Le 21 février 2025, Bybit, l'une des plus grandes bourses de crypto-monnaies au monde, a subi une cyberattaque sans précédent, qui a entraîné le vol d'environ 1,5 milliard de dollars en jetons Ethereum. Cet événement est désormais le plus grand exploit jamais enregistré, surpassant les précédentes brèches de bourse très médiatisées et soulevant de sérieuses inquiétudes quant à la sophistication croissante des cybercriminels. 

Pour mettre en perspective l'ampleur du piratage de 1,5 milliard de dollars, selon le rapport 2025 Crypto Crime Report de TRM, la Corée du Nord a été responsable d'environ 800 millions de dollars de crypto-monnaies volées (y compris seulement les attaques pour lesquelles TRM a une confiance modérée ou plus élevée) pendant toute l'année 2024. Selon le rapport, la Corée du Nord a été à l'origine d'environ 35 % de tous les fonds volés en 2024 et les attaques nord-coréennes ont été près de cinq fois plus importantes que celles d'autres acteurs, ce qui souligne l'importance qu'ils accordent aux opérations à fort impact.

Les fonds ont quitté ByBit après le piratage initial, comme le montre le Graph Visualizer TRM.

Presque immédiatement après le piratage de ByBit, TRM a identifié et marqué les adresses compromises comme "piratées" ou "fonds volés" et a mis en place une entité de suivi dédiée, appelée "Bybit Exploiter Feb 2025", pour surveiller le mouvement des actifs volés en temps réel. 

Grâce à l'blockchain intelligence, TRM Labs a confirmé que des pirates nord-coréens étaient à l'origine de la violation, en la reliant à des vols de crypto-monnaies parrainés par l'État. Les preuves ont révélé des chevauchements évidents entre les portefeuilles utilisés dans cette opération et ceux associés à des vols nord-coréens antérieurs. Le 26 février 2025, le FBI a officiellement établi un lien entre le vol et la Corée du Nord.

Cette attribution s'aligne sur un modèle de longue date d'opérations cybernétiques orchestrées par Pyongyang, qui, selon TRM, a entraîné le vol de plus de 5 milliards de dollars de crypto-monnaie depuis 2017. L'attaque de Bybit reflète les tactiques établies de la Corée du Nord consistant à cibler les échanges centralisés de crypto-monnaies par des méthodes telles que le phishing, la compromission de la chaîne d'approvisionnement et le vol de clés privées - des stratégies précédemment employées dans des incidents tels que le piratage d'Atomic Wallet en 2023, qui a entraîné la perte de 100 millions USD en crypto-monnaies provenant de plus de 4 100 adresses individuelles.

Une stratégie de blanchiment en évolution

Au-delà de l'ampleur du piratage de Bybit, la vitesse à laquelle les fonds volés sont blanchis est particulièrement alarmante. En l'espace de 48 heures, au moins 160 millions d'USD ont été acheminés par des canaux illicites, et TRM estime que le total dépassait les 200 millions d'USD le 23 février. Le 26 février, plus de 400 millions de dollars avaient été déplacés, ce qui témoigne d'un niveau d'efficacité opérationnelle sans précédent. 

Le processus de blanchiment, en date du 26 février 2025, comprend des transferts via de multiples portefeuilles intermédiaires, la conversion en différentes crypto-monnaies et l'utilisation d'échanges décentralisés et de ponts entre les chaînes pour brouiller les pistes. 

Le processus de blanchiment rapide, en date du 26 février 2025, comprend des transferts via de multiples portefeuilles intermédiaires, la conversion en différentes crypto-monnaies, et l'utilisation de DEX et de ponts entre chaînes pour brouiller les pistes.

Ce blanchiment rapide suggère que la Corée du Nord a développé son infrastructure de blanchiment d'argent ou que les réseaux financiers clandestins, en particulier en Chine, ont renforcé leur capacité à absorber et à traiter les fonds illicites. L'ampleur et la rapidité de cette opération posent de nouveaux défis aux enquêteurs, car les mécanismes traditionnels de lutte contre le blanchiment d'argent peinent à suivre le rythme du volume élevé des transactions illicites.

Depuis toujours, les cybercriminels nord-coréens font appel à des mixeurs de crypto-monnaies pour masquer l'origine des fonds volés avant de les convertir en monnaie fiduciaire. Toutefois, l'ampleur des actifs volés lors de l'attaque de Bybit rend les services de mixeur traditionnels peu pratiques. Au lieu de cela, les attaquants ont adopté une stratégie à multiples facettes impliquant de nombreux portefeuilles intermédiaires, des échanges décentralisés et des ponts entre les chaînes de crypto-monnaies pour obscurcir rapidement la source des fonds. 

Dans un premier temps, une partie de l'Ethereum volé a été acheminée via des réseaux tels que Binance Smart Chain et Solana, mais la majorité a maintenant été convertie directement en bitcoins. Malgré la rapidité des mouvements d'actifs, la plupart des bitcoins convertis restent stationnaires, ce qui laisse penser que les pirates se préparent à une liquidation à grande échelle ou à la poursuite de l'obscurcissement par le biais de réseaux de gré à gré (OTC).

Ce changement dans les tactiques de blanchiment reflète la dépendance croissante de la Corée du Nord à l'égard des ponts entre les chaînes et des stratégies de transaction à haut volume, comme l'explique un rapport du TRM sur la cyberactivité de la République populaire démocratique de Corée (RPDC). Lors des casses précédents, les pirates nord-coréens utilisaient des plateformes telles que Ren Bridge et Avalanche Bridge, convertissant souvent les fonds en bitcoins avant d'utiliser des mixeurs tels que Sinbad, YoMix, Wasabi Wallet et CryptoMixer. Toutefois, en raison de la surveillance accrue des services de mixeur et des mesures prises à l'encontre de plateformes telles que Tornado Cash, la Corée du Nord semble désormais privilégier la vitesse et l'automatisation par rapport à l'anonymat traditionnel. 

Selon Nick Carlsen, spécialiste de la Corée du Nord au TRM et ancien expert en la matière au FBI , "l'exploit de Bybit indique que le régime intensifie sa technique d'"inondation de la zone" - submergeant les équipes de conformité, les analystes de la blockchain et les organismes d'application de la loi avec des transactions rapides et à haute fréquence sur de multiples plateformes, compliquant ainsi les efforts de suivi."

De la contrefaçon à la cryptographie

Pendant des décennies, la Corée du Nord a fonctionné comme un État voyou, lourdement sanctionné par la communauté internationale en raison de ses ambitions nucléaires, de ses violations des droits de l'homme et de ses activités financières illicites. Face à l'isolement économique, Pyongyang a longtemps compté sur les entreprises criminelles pour financer son régime, développant un réseau mondial sophistiqué de sources de revenus illicites. Bien avant d'être impliquée dans le vol de crypto-monnaies, la Corée du Nord s'est engagée dans la contrefaçon à grande échelle de dollars américains, produisant des "supernotes" presque parfaites, ainsi que dans la contrebande de cigarettes contrefaites, le trafic de stupéfiants et la vente d'armes. 

En 2016, le régime a intensifié sa cybercriminalité financière avec le hold-up de la banque du Bangladesh, au cours duquel des pirates nord-coréens ont infiltré le réseau bancaire SWIFT et tenté de voler un milliard de dollars, réussissant à s'emparer de 81 millions de dollars. Cette attaque a constitué le premier cas connu d'un État-nation menant une cybercriminalité financière à grande échelle, prouvant que les capacités cybernétiques de la Corée du Nord n'étaient pas seulement avancées, mais qu'elles étaient également axées sur le vol financier. 

Les pirates informatiques de Pyongyang ont poursuivi leurs assauts à l'échelle mondiale, notamment le piratage de Sony Pictures en 2014, une cyberattaque de représailles qui a paralysé les systèmes de l'entreprise après la sortie de The Interview, un film satirique sur Kim Jong-un. À mesure que les sanctions se sont durcies et que les opérations criminelles traditionnelles sont devenues plus difficiles à soutenir, la Corée du Nord a trouvé une cible idéale dans les bourses de crypto-monnaies et les plateformes financières décentralisées, exploitant les vulnérabilités de l'écosystème émergent des actifs numériques pour voler des milliards. Ce qui a commencé comme une dépendance au commerce illicite et aux cyber-vols s'est transformé en une campagne nationale de vol de crypto-monnaies à grande échelle, positionnant la Corée du Nord comme le cybercriminel financier le plus prolifique sur la scène mondiale.

Histoire des vols de crypto-monnaies par la Corée du Nord

Le piratage de Bybit est le dernier d'une série de vols de crypto-monnaies très médiatisés attribués au Lazarus Group de Corée du Nord. Le Lazarus Group n'est pas parrainé par un État au sens où nous l'entendons habituellement. Le Lazarus Group est la Corée du Nord et la Corée du Nord est le Lazarus Group. Ces cybercriminels ont fait preuve d'une capacité constante à s'adapter et à faire évoluer leurs tactiques pour exploiter les vulnérabilités de l'écosystème des crypto-monnaies. 

  • Atomic Wallet Hack (juin 2023) : Des pirates nord-coréens ont pris pour cible les utilisateurs d'Atomic Wallet, un fournisseur de portefeuilles sans garde, ce qui a entraîné le vol d'environ 100 millions USD de crypto-monnaies à partir de plus de 4 100 adresses individuelles. La nature de l'attaque suggère qu'elle a probablement été exécutée par le biais d'un hameçonnage ou d'une compromission de la chaîne d'approvisionnement.
Étapes du piratage d'Atomic Wallet visualisées par TRM Forensics: L'ETH est blanchi de manière programmatique à travers plusieurs couches d'intermédiaires avec des chemins entrelacés, avant de sortir à quatre-vingt-douze (92) adresses Ethereum pour la première fois. Le WETH est ensuite relié à la blockchain Avalanche, échangé contre du WBTC, puis relié à la blockchain Bitcoin.
  • Exploitation des enjeux (septembre 2023) : Le FBI a confirmé que le Lazarus Group était à l'origine du vol d'environ 41 millions de dollars en crypto-actifs de Stake.com, un casino en ligne et une plateforme de paris. Les actifs volés ont été prélevés sur des adresses contrôlées par Stake sur les blockchains Ethereum, Binance Smart Chain et Polygon.
Les pirates de Stake.com ont rapidement déplacé les fonds volés à travers plusieurs devises et plusieurs chaînes, ce qui est facilement visible sur un graphique dans TRM's Graph Visualizer
  • Piratage du pont Ronin (mars 2022) : Dans l'un des plus importants exploits de DeFi , des pirates nord-coréens ont compromis le pont Ronin, un pont inter-chaînes associé au jeu Axie Infinity, ce qui a entraîné le vol de plus de 600 millions de dollars en crypto-monnaies.
Des pirates nord-coréens transfèrent des fonds volés via le mixeur Tornado Cash après le piratage de Ronin Bridge
  • Violation de la bourse WazirX (2024) : Des pirates informatiques parrainés par l'État nord-coréen ont dérobé 235 millions de dollars à WazirX, la plus grande bourse de crypto-monnaies de l'Inde, dans le cadre d'une campagne plus large qui a rapporté 659 millions de dollars grâce à de multiples vols de crypto-monnaies en 2024.
  • Piratage de la bourse de Bitcoin DMM (2024) : Le vol de 305 millions d'USD de bitcoins à la bourse japonaise DMM Bitcoin constitue un vol important, contribuant au record de 1,34 milliard d'USD de crypto-monnaies volées par la Corée du Nord cette année-là.

Ces incidents, parmi d'autres, mettent en évidence une tendance des cyberacteurs nord-coréens à cibler les bourses centralisées, les plateformes financières décentralisées et les fournisseurs de portefeuilles individuels. Leurs méthodes impliquent souvent une ingénierie sociale sophistiquée, des campagnes d'hameçonnage et l'exploitation de vulnérabilités logicielles pour obtenir un accès non autorisé aux actifs numériques.

Contre-mesures et réponse de l'industrie

En réponse à l'attaque de Bybit, la bourse a mis en place un programme de primes offrant une récompense de 10 % sur tout actif gelé ou récupéré avec succès. Cette initiative vise à mobiliser à la fois les enquêteurs professionnels de la blockchain et les analystes indépendants, en renforçant la surveillance des réseaux de blanchiment et en ajoutant une couche de complexité supplémentaire pour les auteurs de l'attaque. De tels efforts de collaboration reflètent une tendance plus large de l'industrie où les bourses et les entreprises de sécurité tirent parti d'incitations financières pour crowdsourcer les ressources d'enquête et améliorer le suivi en temps réel des transactions illicites.

Parallèlement, TRM, en étroite collaboration avec les forces de l'ordre, les organisations de sécurité nationale, les régulateurs et l'ensemble du secteur des crypto-monnaies, continue de travailler sans relâche pour tracer, geler et récupérer les fonds volés.

Cette attaque souligne la nécessité urgente d'améliorer les mesures de cybersécurité, de surveiller les transactions en temps réel et de mettre en place un solide système d'échange de renseignements transfrontaliers. La capacité des acteurs étatiques et des cybercriminels à orchestrer des attaques de cette ampleur et à blanchir rapidement les fonds volés montre que les réseaux de criminalité financière sont de plus en plus sophistiqués.

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
12 juin 2023

TRM Talks: La menace nord-coréenne

flèche vers la droite
15 avril 2022

TRM Talks La Corée du Nord et le rapport du CNAS

flèche vers la droite
20 septembre 2023

TRM Talks: Lazarus Heist avec Jean Lee

flèche vers la droite
8 septembre 2023

Le FBI confirme que la Corée du Nord est à l'origine de l'exploitation de Stake.com pour un montant de 41 millions de dollars 

flèche vers la droite
5 janvier 2024

Des pirates nord-coréens ont volé 600 millions de dollars en cryptomonnaies en 2023

flèche vers la droite
20 janvier 2022

Les acteurs de la menace nord-coréenne continuent de cibler les entreprises de crypto-monnaies

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT