Le piratage de Bybit: Ethereum est-il à blâmer?

Le piratage colossal de 1,5 milliard de dollars de Bybit la semaine dernière a déclenché des discussions féroces dans la communauté cryptographique, avec certaines voix de l'industrie soutenant que

A colossal $1.5 billion hack of Bybit last week has sparked fierce discussions across the crypto community, with some industry voices contending that Ethereum’s design might have played a role. The theft of approximately 401,000 Ether (ETH) — orchestrated by the North Korean Lazarus Group — has raised questions about whether Ethereum’s complexity makes its ecosystem uniquely vulnerable to sophisticated exploits, or if the blame rests elsewhere.

Un piratage colossal de 1,5 milliard de dollars de Bybt la semaine dernière a déclenché des discussions féroces dans la communauté de la cryptographie, avec certaines voix de l'industrie soutenant que la conception d'Ethereum aurait pu jouer un rôle. Le vol d'environ 401 000 éther (ETH) - orchestré par le groupe nord-coréen Lazare - a soulevé des questions sur la question de savoir si la complexité d'Ethereum rend son écosystème de manière unique vulnérable aux exploits sophistiqués, ou si le blâme repose ailleurs.

The hack reportedly took place during a standard transfer from Bybit’s cold wallet to a warm wallet. According to the exchange’s official statement on X, the transaction “was manipulated through a sophisticated attack that masked the signing interface,” which displayed the correct address but altered the underlying smart contract logic. This manipulation allowed the attackers to wrest control of the cold wallet and shift the funds into a private address.

Le hack aurait eu lieu lors d'un transfert standard du portefeuille froid de Bybit à un portefeuille chaud. Selon la déclaration officielle de l'échange sur X, la transaction "a été manipulée par une attaque sophistiquée qui a masqué l'interface de signature", qui affichait l'adresse correcte mais a modifié la logique contractuelle intelligente sous-jacente. Cette manipulation a permis aux attaquants de tirer le contrôle du portefeuille froid et de déplacer les fonds dans une adresse privée.

Some in the crypto space have proposed rolling back the blockchain to recover the stolen funds, drawing parallels to the 2016 DAO hack rollback. Proponents argue this could restore trust and deter future large-scale attacks. However, core developer Tim Beiko quickly dismissed such ideas as “technically intractable,” warning that tampering with the ledger could undermine the blockchain’s core promise of immutability.

Certains dans l'espace crypto ont proposé de faire reculer la blockchain pour récupérer les fonds volés, établissant des parallèles avec le Rollback Dao Hack 2016. Les partisans soutiennent que cela pourrait rétablir la confiance et dissuader les futures attaques à grande échelle. Cependant, le développeur principal Tim Beiko a rapidement rejeté des idées telles que «techniquement insoluble», avertissant que la falsification du grand livre pourrait saper la principale promesse d'immuabilité de la blockchain.

Among those voicing concerns about Ethereum’s role in the exploit is Alexander Leishman, founder of River Financial and a former teaching assistant for Stanford’s CS251 cryptocurrency class. He suggested that Ethereum’s expansive “attack surface” might have facilitated the attackers’ efforts.

Parmi les préoccupations exprimées concernant le rôle d'Ethereum dans l'exploit, Alexander Leishman, fondateur de River Financial et ancien assistant pédagogique de la classe de crypto-monnaie CS251 de Stanford. Il a suggéré que la vaste «surface d'attaque» vaste d'Ethereum aurait pu faciliter les efforts des attaquants.

Leishman noted via X: “The ETH attack surface is massive. Scary stuff. I would love to see somebody break down exactly what happened here […] The ByBit hack reminds me of when I was a TA for the cryptocurrency class (CS251) at Stanford. The final exam had a question asking students to find 8 purposefully placed bugs in an ETH contract. The students found 15.”

Leishman a noté via X: «La surface d'attaque de l'ETH est massive. Des trucs effrayants. J'adorerais voir quelqu'un décomposer exactement ce qui s'est passé ici […] Le piratage de Bybt me rappelle quand j'étais TA pour la classe de crypto-monnaie (CS251) à Stanford. L'examen final avait une question demandant aux étudiants de trouver 8 bugs délibérément placés dans un contrat d'ETH. Les étudiants ont trouvé 15. »

He also drew comparisons with Bitcoin’s simpler UTXO model, explaining that when signing a Bitcoin transaction, one merely verifies the state transition, which is typically clear on a hardware wallet screen. In contrast, ETH signatures can include not just fund transfers but also commands to invoke complex smart contract logic.

Il a également fait des comparaisons avec le modèle UTXO plus simple de Bitcoin, expliquant que lors de la signature d'une transaction Bitcoin, on vérifie simplement la transition d'état, qui est généralement claire sur un écran de portefeuille matériel. En revanche, les signatures ETH peuvent inclure non seulement des transferts de financement, mais également des commandes d'invoquer une logique complexe de contrats intelligents.

“It absolutely has something to do with Ethereum […] In Ethereum you are signing off on fund movement AND a command to send a smart contract (which could lead to further fund movement) – a VERY error prone UX. ETH transactions don’t represent the state transition, they represent the command triggering the state transition,” he stated.

«Cela a absolument quelque chose à voir avec Ethereum […] dans Ethereum, vous vous déconnectez sur le mouvement des fonds et une commande pour envoyer un contrat intelligent (ce qui pourrait conduire à un mouvement de fonds supplémentaire) - un très sujet d'erreur. Les transactions ETH ne représentent pas la transition de l'État, ils représentent la commande déclenchant la transition de l'État », a-t-il déclaré.

Not everyone agrees that Ethereum’s inherent design deserves scrutiny. Toghrul Maharramov, a researcher at Fluent, insisted that the exploit “has nothing to do with Ethereum or EVM,” suggesting it was purely a platform-agnostic hack and that focusing on the blockchain itself distracts from more pertinent security lapses.

Tout le monde ne convient pas que la conception inhérente d'Ethereum mérite un examen minutieux. Toghrul Maharramov, un chercheur de Fluent, a insisté sur le fait que l'exploit "n'a rien à voir avec Ethereum ou EVM", suggérant qu'il s'agissait purement d'un piratage d'agnostique et que se concentrer sur la blockchain lui-même distrait des lacunes de sécurité plus pertinentes.

Meanwhile, Anthony Sassano, an independent ETH educator and founder of The Daily Gwei, was more pointed in his rebuttal, suggesting that the Bybit hack “had nothing to do with a bug in an Ethereum smart contract.” He dismissed any correlation between Ethereum's architecture and the exchange's breach, reflecting a broader sentiment that the real weaknesses lay in Bybit's operational security and wallet management practices.

Pendant ce temps, Anthony Sassano, un éducateur d'ETH indépendant et fondateur du Daily GWEI, a été plus pointé dans sa réfutation, suggérant que le piratage de relevé "n'avait rien à voir avec un bug dans un contrat intelligent Ethereum". Il a rejeté toute corrélation entre l'architecture d'Ethereum et la violation de l'échange, reflétant un sentiment plus large que les véritables faiblesses résidaient dans les pratiques de sécurité opérationnelle et de gestion des portefeuilles de Bybit.

Leishman later clarified that he never claimed the Bybit hack stemmed from a direct bug in the Ethereum code itself. “Wow the eth podcasters are sensitive. Nowhere did I say the Bybit hack was the result of a smart contract bug. I was sharing an entertaining anecdote about how Ethereum’s complexity leads to difficult to catch security issues,” he wrote.

Leishman a précisé plus tard qu'il n'avait jamais affirmé que le piratage de Bybit provenait d'un bogue direct dans le code Ethereum lui-même. «Wow, les podcasteurs ETH sont sensibles. Nulle part je n'ai dit que le piratage de Bybit n'était le résultat d'un bogue de contrat intelligent. Je partageais une anecdote divertissante sur la façon dont la complexité d'Ethereum mène à des problèmes de sécurité difficiles », a-t-il écrit.

Instead, his core argument revolves around the difficulty of verifying a transaction's ultimate impact when Ethereum smart contracts are involved. The Bybit hack was the result of Ethereum’s ‘smart’ contract model making it very difficult to verify the state transition the signed transaction(s) from the multisig contract was going to trigger. It is much safer when the transaction IS the state transition,” Leishman concluded.

Au lieu de cela, son argument principal tourne autour de la difficulté de vérifier l'impact ultime d'une transaction lorsque des contrats intelligents Ethereum sont impliqués. Le piratage de Bybit était le résultat du modèle de contrat «intelligent» d'Ethereum, ce qui rend très difficile la vérification de la transition de l'État, les transactions signées du contrat multisig allaient déclencher. C'est beaucoup plus sûr lorsque la transaction est la transition de l'État », a conclu Leishman.

At press time, ETH traded at $2,705.

Au moment de la presse, ETH s'est échangé à 2 705 $.