Le 21 février 2025, le groupe Lazarus — unité cyber offensive rattachée au régime nord-coréen — dérobe 1,5 milliard de dollars en Ethereum à la plateforme d'échange Bybit. En volume, c'est le plus gros hack de l'histoire des crypto-actifs. En méthode, c'est une opération chirurgicale qui révèle autant sur les failles de l'écosystème que sur ce qu'un acteur étatique déterminé peut accomplir lorsque la cible est suffisamment exposée.
Pour un cabinet d'intelligence économique spécialisé dans l'audit d'exposition numérique, cet incident n'est pas qu'un fait divers crypto. C'est un cas d'école qui condense l'ensemble des vulnérabilités que nous observons quotidiennement chez les acteurs du Web3 : surface d'attaque sous-estimée, corrélation identité/patrimoine visible on-chain, et absence quasi systématique d'audit offensif préalable.
Anatomie de l'attaque : une compromission invisible
L'attaque contre Bybit ne relève pas du brute force ou de l'exploitation d'une faille dans un smart contract. Le groupe Lazarus a ciblé l'interface de gestion du portefeuille multisignature de Bybit, opéré via Gnosis Safe (désormais Safe). Le vecteur : une compromission de l'infrastructure front-end utilisée par les signataires autorisés.
Concrètement, les attaquants ont manipulé l'interface de signature de telle sorte que les signataires — pensant valider une transaction légitime — ont en réalité signé une transaction modifiée redirigeant l'intégralité des fonds du cold wallet vers des adresses contrôlées par Lazarus. La transaction malveillante a été exécutée en quelques minutes. Les 401 346 ETH ont quitté le portefeuille de Bybit en une seule opération.
Ce n'est pas la blockchain qui a été compromise. C'est la couche humaine — l'interface entre le signataire et le protocole. La faille la plus dangereuse est celle que l'utilisateur ne peut pas voir.
Plusieurs éléments méritent d'être soulignés. D'abord, le niveau de préparation de l'attaque. Lazarus a dû compromettre l'infrastructure de Safe ou un composant de la chaîne de déploiement, ce qui implique une reconnaissance préalable approfondie — probablement sur plusieurs semaines. Ensuite, le fait que la signature à froid — censée être le dernier rempart de sécurité — a été conttournée non pas par une attaque cryptographique, mais par une manipulation de l'affichage. Enfin, la rapidité d'exécution indique une automatisation complète du processus d'exfiltration, avec des adresses de réception pré-configurées et des scripts de dispersion prêts à l'emploi.
Traçabilité OSINT : la blockchain comme terrain d'investigation
L'un des aspects les plus remarquables de cet incident est la réaction de la communauté OSINT crypto. En quelques heures, les principaux analystes on-chain avaient identifié, tracé et documenté publiquement les mouvements de fonds.
ZachXBT, investigateur indépendant reconnu dans l'écosystème, a été parmi les premiers à publier une cartographie des wallets impliqués, en corrélant les adresses de réception avec des patterns déjà observés dans des opérations attribuées à Lazarus. Arkham Intelligence, plateforme de traçabilité blockchain, a déployé un tableau de bord public permettant de suivre en temps réel la dispersion des fonds volés à travers des centaines d'adresses intermédiaires.
Les rapports de Chainalysis et Elliptic ont confirmé l'attribution au Lazarus Group sur la base de plusieurs indicateurs convergents :
- Réutilisation de patterns de splitting caractéristiques des opérations nord-coréennes précédentes (Ronin Bridge, Harmony Horizon)
- Utilisation de Tornado Cash comme couche de mixing, malgré les sanctions OFAC pesant sur le protocole
- Conversion cross-chain via des bridges décentralisés (THORChain notamment) pour disperser les fonds entre Ethereum, Bitcoin et d'autres réseaux
- Passage par des wallets intermédiaires liés à des opérations Lazarus antérieures, identifiés par analyse de clusters
La blockchain est un registre public. Chaque transaction est traçable, chaque wallet est observable. Ce qui rend le blanchiment difficile n'est pas l'absence de données — c'est leur volume et la vitesse à laquelle les fonds sont dispersés.
La réalité, cependant, est nuancée. Malgré la traçabilité théorique, une part significative des fonds a été efficacement obscurcie en quelques jours. Les techniques de mixing, de chain-hopping et d'utilisation de services décentralisés sans KYC rendent la récupération effective des fonds extrêmement complexe. L'attribution est possible ; la restitution l'est beaucoup moins.
Ce que ça révèle sur l'exposition des acteurs Web3
Au-delà de l'aspect technique, le hack Bybit met en lumière un problème structurel que nous observons dans nos missions d'audit : l'exposition informationnelle des acteurs de l'écosystème crypto est massivement sous-estimée.
Dans le Web3, le patrimoine est visible. Un wallet dont l'adresse est connue expose son solde, son historique de transactions, ses interactions avec des protocoles DeFi, ses NFT détenus. Lorsqu'un acteur — fondateur, CTO, investisseur — peut être corrélé à une adresse on-chain, l'ensemble de son patrimoine crypto devient une information publique.
Les vecteurs de corrélation sont nombreux et souvent triviaux :
- ENS domains liés à des identités réelles (nom.eth enregistré depuis un wallet principal)
- Transactions vers des plateformes centralisées avec KYC, créant un lien wallet/identité
- Publications sur les réseaux sociaux mentionnant des adresses ou des transactions
- Participations à des airdrops ou des governance votes depuis des wallets identifiables
- Dons publics en crypto depuis des adresses liées à un profil connu
Pour un attaquant motivé — qu'il s'agisse d'un groupe étatique comme Lazarus, d'un réseau criminel, ou simplement d'un acteur cherchant à faire pression — cette corrélation transforme une cible abstraite en un profil complet : patrimoine estimé, habitudes transactionnelles, interactions professionnelles, et parfois localisation physique.
Dans nos audits offensifs sur des profils crypto, nous constatons systématiquement que les CTO et fondateurs de projets Web3 présentent une surface d'attaque considérable. Leur identité civile est publique (LinkedIn, conférences, interviews), leurs wallets sont souvent identifiables par recoupement, et leur patrimoine on-chain — parfois considérable — constitue un signal de ciblage direct pour des acteurs malveillants.
Leçons pour les détenteurs et dirigeants crypto
Le hack Bybit n'est pas un incident isolé. C'est l'aboutissement logique d'une tendance : les acteurs de l'écosystème crypto détiennent des actifs considérables tout en évoluant dans un environnement où la séparation entre identité et patrimoine est structurellement fragile. Les leçons sont concrètes.
Hygiène numérique de base. La première ligne de défense reste la séparation stricte des contextes. Un wallet utilisé pour des opérations courantes ne devrait jamais être lié, même indirectement, à un wallet de stockage long terme. Les ENS domains, les participations à des votes de gouvernance, les interactions avec des dApps — chaque opération on-chain est un point de corrélation potentiel.
Séparation des identités. Pour les dirigeants et fondateurs, la question n'est pas de savoir si leur identité est publique — elle l'est. La question est de savoir si cette identité publique peut être corrélée à des wallets spécifiques. Cette corrélation doit être activement prévenue par l'utilisation de wallets dédiés, de relais de transactions, et d'une discipline opérationnelle stricte.
Audit offensif comme prérequis. Avant qu'un attaquant ne le fasse, il est impératif de connaître sa propre exposition. Un audit offensif — mené en posture d'attaquant — identifie ce qu'un tiers malveillant peut reconstituer : wallets liés à l'identité, patrimoine estimable, vecteurs de social engineering, données personnelles exploitables pour du phishing ciblé. Ce type d'audit n'est plus un luxe pour les profils à forte exposition : c'est un prérequis opérationnel.
Dans l'écosystème crypto, votre patrimoine est votre surface d'attaque. Si un tiers peut corréler votre identité à vos wallets, il connaît votre exposition mieux que vous.
Sécurité opérationnelle des procédures de signature. Le cas Bybit montre que même un cold wallet multisig peut être compromis si l'interface de signature est manipulée. Les organisations détenant des volumes significatifs de crypto-actifs doivent implémenter des procédures de vérification indépendantes : vérification de l'adresse de destination sur un canal séparé, double contrôle des paramètres de transaction sur un dispositif distinct, et simulation systématique des transactions avant signature.
Implications pour l'intelligence économique : la blockchain comme source OSINT
Pour les praticiens de l'intelligence économique, l'écosystème blockchain ouvre un champ d'investigation considérable. La blockchain est, par nature, un registre ouvert. Chaque transaction est horodatée, immuable, et publiquement consultable. Pour un analyste OSINT, c'est une source d'information d'une richesse inégalée — à condition de disposer des outils et de la méthodologie adaptés.
Traçabilité des flux financiers. Dans le cadre de due diligences portant sur des acteurs de l'écosystème crypto, l'analyse on-chain permet de vérifier la cohérence entre les déclarations d'un acteur et la réalité de ses opérations. Volumes réels, contreparties, interactions avec des protocoles à risque (mixers, plateformes non conformes) — tout est observable pour qui sait lire la blockchain.
Due diligence crypto. Les fonds d'investissement, les family offices et les institutions financières confrontés à des contreparties disposant de patrimoine crypto ont besoin d'une couche d'analyse supplémentaire. L'analyse on-chain ne remplace pas la due diligence traditionnelle : elle la complète en ajoutant une dimension que les documents comptables classiques ne captent pas.
Identification de réseaux. L'analyse de clusters de wallets permet d'identifier des connexions entre acteurs que les documents officiels ne révèlent pas. Deux entités juridiquement distinctes partageant des wallets de financement communs, des flux récurrents entre des adresses a priori non liées, des patterns transactionnels révélant des relations d'affaires non déclarées — l'analyse on-chain est un complément naturel à la cartographie d'acteurs.
La blockchain ne ment pas. Elle ne cache rien. Mais elle ne parle qu'à ceux qui savent la lire. L'intelligence économique appliquée à l'écosystème crypto est une compétence qui n'est plus optionnelle.
L'affaire Bybit est un rappel brutal. Les crypto-actifs ne sont pas un espace dématérialisé sans conséquences. Derrière chaque wallet, il y a une personne, une organisation, un patrimoine. Et derrière chaque hack, il y a un attaquant qui a su lire cette exposition mieux que la cible elle-même. Pour les acteurs de l'écosystème — plateformes, fondateurs, détenteurs — la question n'est plus de savoir si cette lecture sera tentée. La question est de savoir si elle a déjà été faite.
Sources
Chainalysis, 2025 Crypto Crime Report — Elliptic, Bybit Hack Analysis — ZachXBT, investigations on-chain publiées sur X/Twitter — Arkham Intelligence, tableau de bord de traçabilité Bybit — Safe (ex-Gnosis Safe), analyse post-incident — OFAC, Tornado Cash Sanctions — FBI, attribution publique au Lazarus Group.
Vous détenez des crypto-actifs ou dirigez un projet Web3 ?
Sentryum réalise des audits offensifs OSINT pour les détenteurs de crypto-actifs et les dirigeants de l'écosystème Web3. Corrélation identité civile / wallets, surface d'exposition, vecteurs de ciblage, plan de durcissement.
Engager le cabinet