Comment les pirates nord-coréens ont volé 1,5 milliard de dollars de crypto-monnaie à Bybit Exchange

Dans la nuit du 21 février, Ben Zhou, le directeur général de l'échange de crypto-monnaie, s'est connecté à son ordinateur pour approuver ce qui semblait être une transaction de routine.

The chief executive of the cryptocurrency exchange Bybit logged on to his computer on the night of Feb. 21 to approve what appeared to be a routine transaction. His company was moving a large sum of Ether, a popular digital currency, from one account to another.

Le directeur général de l'échange de crypto-monnaie s'est connecté à son ordinateur dans la nuit du 21 février pour approuver ce qui semblait être une transaction de routine. Son entreprise déplaçait une grande somme d'éther, une monnaie numérique populaire, d'un compte à un autre.

Thirty minutes later, the executive, Ben Zhou, got a call from Bybit’s chief financial officer. In a trembling voice, the executive told Mr. Zhou that their system had been hacked.

Trente minutes plus tard, l'exécutif, Ben Zhou, a reçu un appel du directeur financier de Bybit. D'une voix tremblante, l'exécutif a dit à M. Zhou que leur système avait été piraté.

“All of the Ethereum is gone,” he said.

"Tout Ethereum a disparu", a-t-il déclaré.

When Mr. Zhou approved the transaction, he had inadvertently handed control of an account to hackers backed by the North Korean government, who stole $1.5 billion in cryptocurrencies—the largest heist in the industry’s history.

Lorsque M. Zhou a approuvé la transaction, il avait par inadvertance le contrôle d'un compte aux pirates soutenus par le gouvernement nord-coréen, qui a volé 1,5 milliard de dollars de crypto-monnaies - le plus grand casse de l'histoire de l'industrie.

To pull off the astonishing breach, the hackers exploited a simple flaw in Bybit’s security: its reliance on a free software product. They penetrated Bybit by manipulating a system that the exchange used to safeguard hundreds of millions of dollars in customer deposits. For years, Bybit had used the storage software, developed by a technology provider called Safe, even as other security firms sold more specialized tools for businesses.

Pour réaliser la violation étonnante, les pirates ont exploité une simple faille dans la sécurité de Bybit: sa dépendance à l'égard d'un produit logiciel libre. Ils ont pénétré le parbit en manipulant un système que l'échange a utilisé pour protéger des centaines de millions de dollars de dépôts de clients. Pendant des années, Bybit avait utilisé le logiciel de stockage, développé par un fournisseur de technologie appelé Safe, même si d'autres sociétés de sécurité vendaient des outils plus spécialisés pour les entreprises.

The F.B.I. is investigating the theft, which occurred in February and March, according to people familiar with the matter. The agency said in a statement that it was aware of the threat posed by North Korean hackers, known as the Lazarus Group, and was working to identify and disrupt their illicit activities.

Le FBI enquête sur le vol, survenu en février et mars, selon des personnes familières avec la question. L'agence a déclaré dans un communiqué qu'elle était au courant de la menace posée par les pirates nord-coréens, connus sous le nom de groupe Lazare, et travaillait pour identifier et perturber leurs activités illicites.

“The F.B.I. is actively investigating malicious cyberactivity by the Lazarus Group, which poses a significant threat to individuals, businesses and national security,” the agency said.

"Le FBI enquête activement sur la cyberactivité malveillante par le groupe Lazare, qui constitue une menace importante pour les particuliers, les entreprises et la sécurité nationale", a déclaré l'agence.

The theft began in December, when the Lazarus Group set up a fake cryptocurrency hedge fund to try to gain the trust of employees at several exchanges, according to two people familiar with the matter. They contacted employees on LinkedIn and Telegram, posing as investors seeking to invest billions of dollars in cryptocurrency.

Le vol a commencé en décembre, lorsque le groupe Lazare a créé un faux fonds spéculatif de crypto-monnaie pour essayer de gagner la confiance des employés à plusieurs échanges, selon deux personnes familières avec le problème. Ils ont contacté des employés sur LinkedIn et Telegram, se faisant passer pour des investisseurs cherchant à investir des milliards de dollars en crypto-monnaie.

But the employees ignored the overtures, and the Lazarus Group couldn’t penetrate the exchanges’ main defenses, which were designed to deter hackers and prevent them from stealing coins directly from exchange wallets. So the hackers turned to Plan B: They went after the exchanges’ technology vendors.

Mais les employés ont ignoré les ouvertures, et le groupe Lazare n'a pas pu pénétrer les principales défenses des échanges, qui ont été conçues pour dissuader les pirates et les empêcher de voler des pièces directement dans les portefeuilles d'échange. Les pirates se sont donc tournés vers le plan B: ils sont allés après les fournisseurs technologiques des échanges.

The Lazarus Group had previously used this tactic to steal $100 million from the cryptocurrency platform Atomic Wallet in August, according to two people familiar with the matter. In that instance, the hackers went after a technology vendor that Atomic Wallet used for software to manage coins in hot wallets, which are digital wallets that hold smaller amounts of cryptocurrency and are used for daily operations.

Le groupe Lazare avait déjà utilisé cette tactique pour voler 100 millions de dollars à la plate-forme de crypto-monnaie atomique Wallet en août, selon deux personnes familières avec le problème. Dans ce cas, les pirates ont poursuivi un fournisseur de technologie que le portefeuille atomique a utilisé pour les logiciels pour gérer les pièces dans les portefeuilles chauds, qui sont des portefeuilles numériques qui contiennent de plus petites quantités de crypto-monnaie et sont utilisés pour les opérations quotidiennes.

In the case of Bybit, the hackers went after a technology vendor that the exchange used for software to manage coins in cold wallets, which are digital wallets that hold larger amounts of cryptocurrency and are used for long-term storage.

Dans le cas de Bybit, les pirates ont poursuivi un fournisseur de technologie que l'échange a utilisé pour les logiciels pour gérer les pièces dans les portefeuilles froids, qui sont des portefeuilles numériques qui contiennent de plus grandes quantités de crypto-monnaie et sont utilisés pour un stockage à long terme.

At the time, Bybit was using a service from a startup called ChainX to manage its hot wallets and a service from Safe to manage its cold wallets. Both startups sell software products that are designed to help businesses manage their cryptocurrency more efficiently.

À l'époque, Bybit utilisait un service d'une startup appelée Chainx pour gérer ses portefeuilles chauds et un service de Safe pour gérer ses portefeuilles froids. Les deux startups vendent des produits logiciels conçus pour aider les entreprises à gérer leur crypto-monnaie plus efficacement.

The hackers went after Safe because it offered a free tier of its cold-wallet management software, according to two people familiar with the matter. They were able to download the software and set up a fake version of the service.

Les pirates sont allés après en sécurité car il offrait un niveau gratuit de son logiciel de gestion des porte-parole froide, selon deux personnes familières avec la question. Ils ont pu télécharger le logiciel et configurer une fausse version du service.

The startup also sells a paid tier of its service that offers more specialized security features, but Bybit wasn’t using this tier of the software. Instead, it was using the free tier of Safe’s service because it was designed for smaller businesses and didn’t require a large setup fee.

La startup vend également un niveau payant de son service qui offre des fonctionnalités de sécurité plus spécialisées, mais Bybit n'utilisait pas ce niveau du logiciel. Au lieu de cela, il utilisait le niveau gratuit du service de Safe car il a été conçu pour les petites entreprises et ne nécessitait pas de frais de configuration importants.

The hackers used this fact to their advantage. They created a fake version of Safe’s service and tried to get Bybit employees to use it to transfer coins. At first, the employees ignored the overtures. But then the hackers threatened to report the exchange to regulators if it didn’t cooperate.

Les pirates ont utilisé ce fait à leur avantage. Ils ont créé une fausse version du service de Safe et ont essayé d'amener les employés de Bybit à l'utiliser pour transférer des pièces. Au début, les employés ont ignoré les ouvertures. Mais ensuite, les pirates ont menacé de signaler l'échange aux régulateurs s'il ne coopère pas.

The exchange ultimately decided to transfer a small amount of Ether to the account that the hackers set up, hoping to appease them and get them to leave the company alone.

L'échange a finalement décidé de transférer une petite quantité d'éther au compte que les pirates ont créé, dans l'espoir de les apaiser et de les faire laisser l'entreprise seule.

The hackers used this small transfer to gain the trust of a midlevel manager at Bybit, who began transferring larger sums of Ether to the account over several days.

Les pirates ont utilisé ce petit transfert pour gagner la confiance d'un gestionnaire de niveau intermédiaire à Bybit, qui a commencé à transférer des sommes plus importantes d'éther sur le compte sur plusieurs jours.

Finally, on Feb. 21, the manager transferred nearly all of Bybit’s Ether holdings—about $1.5 billion—to an account controlled by the hackers.

Enfin, le 21 février, le gestionnaire a transféré presque tous les avoirs d'Ether de Bybit - environ 1,5 milliard de dollars - à un compte contrôlé par les pirates.

The hackers then quickly moved the Ether to another cryptocurrency—PChain—and fled the scene.

Les pirates ont ensuite rapidement déplacé l'éther vers une autre crypto-monnaie - Pchain - et ont fui la scène.

Bybit executives discovered the theft the next morning when they arrived at the office and saw that all of the exchange’s Ether had vanished. They immediately contacted the F.B.I., which began an investigation.

Les dirigeants de Bybit ont découvert le vol le lendemain matin lorsqu'ils sont arrivés au bureau et ont vu que tout l'éther de l'échange avait disparu. Ils ont immédiatement contacté le FBI, qui a commencé une enquête.

The F.B.I. is still investigating the theft and hasn’t yet determined how the hackers were able to penetrate Bybit’s security systems. However, two people familiar with the matter said that the hackers may have been able to exploit a vulnerability in one of the startup’

Le FBI enquête toujours sur le vol et n'a pas encore déterminé comment les pirates ont pu pénétrer les systèmes de sécurité de Bybit. Cependant, deux personnes familières avec l'affaire ont déclaré que les pirates avaient peut-être pu exploiter une vulnérabilité dans l'une des startups '