Des chercheurs affirment qu’un groupe de hackers nord-coréen a volé 600 millions de dollars de crypto dans le piratage d’Axie Infinity

Le département du Trésor américain a ajouté jeudi une nouvelle adresse Ethereum à sa liste de sanctions et l’a liée à des pirates nord-coréens connus sous le nom de Lazarus Group. Les chercheurs de Blockchain ont déclaré que l’adresse était probablement à l’origine du piratage de mars de Ronin Bridge, un réseau de blockchain connecté au jeu populaire de jeu pour gagner Axie Infinity, où plus de 600 millions de dollars de crypto-monnaies ont été volés.

L’adresse a reçu 173 600 ETHUSD et 25,5 millions exploités de l’attaque Ronin, selon plusieurs fournisseurs d’analyse de blockchain. Ronin Network fournit un pont qui permet le transfert de jetons entre Ethereum et Axie Infinity.

Connu pour son piratage présumé contre Sony Pictures et l’attaque du rançongiciel WannaCry, Lazarus Group et d’autres pirates nord-coréens ont lancé au moins sept attaques au total en 2021 sur des plateformes cryptographiques, exploitant près de 400 millions de dollars de fonds, selon la société de conformité cryptographique Chainalysis.

Un représentant du département du Trésor n’a pas immédiatement répondu à une demande de commentaire.

« La Corée du Nord est, à bien des égards, coupée du système financier mondial par une longue campagne de sanctions menée par les États-Unis et ses partenaires étrangers », a écrit Ari Redbord, responsable des affaires juridiques et gouvernementales de la société de gestion des risques cryptographiques TRM Labs dans un e-mail à Oxtero. En conséquence, la nation a lancé des piratages de crypto-monnaie qui équivalaient à « essentiellement un vol de banque » pour financer des programmes d’armement, la prolifération nucléaire et d’autres activités, selon Redbord.

Dans le piratage de Ronin, toutes les preuves indiquaient que l’attaque était socialement conçue, plutôt que menée par l’exploitation d’une faille technique, selon un article de blog du 30 mars de Ronin Network. Ronin est sécurisé par neuf nœuds validateurs, tandis que cinq ont été piratés pour attaquer le réseau, selon le post.

Blanchiment des fonds volés

Le groupe Lazarus est devenu de plus en plus sophistiqué dans le blanchiment de fonds volés, utilisant souvent plusieurs services de mixage et d’autres techniques d’obscurcissement, selon Redbord de TRM. Cependant, comme les attaquants « ne se soucient finalement pas d’être pris », ils se concentrent généralement sur le transfert rapide des fonds avant qu’ils ne soient gelés, au lieu de s’engager dans des techniques d’obscurcissement longues et coûteuses, a déclaré Redbord.

Le piratage de Ronin a suivi le même schéma. Jeudi, les pirates avaient blanchi 18% des fonds volés, selon le fournisseur d’analyse de blockchain Elliptic.

Ils ont d’abord échangé le stablecoin USDC contre de l’éther par le biais d’échanges décentralisés, car les émetteurs de stablecoins pourraient geler les jetons dans des activités illicites dans certains cas, selon Elliptic. Pendant ce temps, ils ont choisi d’opérer via des échanges décentralisés pour contourner la lutte contre le blanchiment d’argent et les mesures dites « connaissez votre client » mises en œuvre par la plupart des échanges cryptographiques centralisés.

Cependant, les pirates ont également tenté de blanchir près de 17 millions de dollars d’éther via trois échanges centralisés, une pratique peu courante, a déclaré Elliptic. Après que les échanges aient annoncé qu’ils travailleraient avec les forces de l’ordre, l’attaquant est passé à Tornado Cash, un protocole décentralisé qui permet aux utilisateurs d’effectuer des transactions privées, après avoir envoyé jusqu’à présent 80,3 millions de dollars d’éther au service de mixage, selon Elliptic.

Il reste environ 433 millions de dollars dans le portefeuille d’origine de l’attaquant, a noté Elliptic.

Ether se négocie à environ 3 030,5 $, en hausse de 1,4 % au cours des dernières 24 heures, selon les données de CoinDesk.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*