Des enquêteurs sud-coréens ont ouvert des enquêtes à la suite d’un retrait anormal de 44,5 milliards de won sur la plateforme d’échange de crypto-monnaies Upbit le 27 novembre 2025. L’attaque, détectée par les équipes de sécurité de l’échange, a déclenché une réponse d’urgence impliquant l’Agence nationale de police et le Service national du renseignement.
Les autorités soupçonnent qu’une unité cyber affiliée à la Corée du Nord, connue sous le nom de Lazarus Group, aurait orchestré le vol en exploitant des protocoles d’authentification et des vulnérabilités du système. L’incident présente une ressemblance frappante avec un retrait non autorisé de 58 milliards de won en 2019, renforçant l’attribution aux mêmes acteurs malveillants avancés (APT).
L’agence Yonhap News Agency a rapporté que les enquêteurs ont découvert des preuves médico-légales caractéristiques liant les schémas d’intrusion à des outils et des tactiques déjà employés par les opérateurs de Lazarus. Les plateformes d’échange et les régulateurs ont intensifié leur coopération pour retracer les flux de fonds via l’analyse de la blockchain et des points de contrôle des échanges.
Un responsable anonyme a déclaré que les attaquants ont contourné l’authentification multifactorielle et exploité une vulnérabilité zero-day dans l’infrastructure de garde des actifs internes d’Upbit. L’opérateur de l’échange, Dunamu, a confirmé des audits système en cours tout en rassurant les utilisateurs sur le fait que les actifs récupérés seront restaurés à partir des réserves d’assurance.
La violation a eu lieu à peine quelques heures avant que Naver Financial n’annonce son projet d’acquérir Dunamu, la société mère d’Upbit, dans une opération évaluée à plus de 15 000 milliards de won. Cette concordance soulève des préoccupations concernant la diligence raisonnable et l’intégration des mesures de cybersécurité dans les processus de fusion et d’acquisition.
Des incidents passés attribués à Lazarus incluent le vol de 81 millions de dollars à la Bangladesh Bank en 2016 et plusieurs exploits DeFi. L’arsenal évolutif du groupe mêle des campagnes de spear-phishing, des implantations de malwares et des manipulations de contrats intelligents, ciblant les échanges, les portefeuilles et les passerelles de blockchain.
En réaction au piratage, la Commission des services financiers de Corée du Sud s’est engagée à accélérer les directives réglementaires concernant les normes de garde et la divulgation des incidents d’urgence. Les analystes du marché prévoient une volatilité accrue à mesure que les investisseurs institutionnels réévaluent les risques, tandis que les volumes de trading au détail pourraient être temporairement restreints en attendant les examens de sécurité.
La société de sécurité de la blockchain Chainalysis et d’autres prestataires d’analyses on-chain ont été mobilisés pour tracer les jetons volés, déployant des heuristiques propriétaires pour identifier les itinéraires de blanchiment et les ramps d’échange. Les efforts conjoints visent à intercepter les points de sortie de fonds potentiels et à geler les actifs dans plusieurs juridictions.
L’incident Upbit constitue l’une des plus grandes attaques de 2025, ravivant les appels pressants à ce que les protocoles de finance décentralisée intègrent des primitives de sécurité avancées, telles que le calcul multipartite (MPC) et des solutions de gestion des clés basées sur le matériel. Alors que l’industrie fait face à des incertitudes réglementaires et à des menaces émergentes, l’importance de cadres de cybersécurité robustes n’a jamais été aussi importante.
Commentaires (0)