Bybit Piraté : Comment mieux protéger vos cryptomonnaies ?

Bybit Piraté : Comment mieux protéger vos cryptomonnaies ?

Le piratage de Bybit, survenu le 21 février 2025, a marqué l'une des plus importantes attaques dans l'histoire des cryptomonnaies, avec une perte estimée à environ 1,5 milliard de dollars. Cette attaque a mis en lumière les vulnérabilités potentielles des systèmes de sécurité utilisés par les grandes plateformes d'échange. Dans cet article, nous allons explorer comment cette attaque a eu lieu et comment vous pouvez mieux protéger vos cryptomonnaies.

Backdrop : Le piratage de Bybit 

En février 2025, Bybit, l'une des plus grandes plateformes d'échange de cryptomonnaies au monde, a été victime d'une cyberattaque sophistiquée. Les hackers ont réussi à détourner environ 401 000 ETH en exploitant une faille dans Safe{Wallet}, un outil de gestion de portefeuille multi-signature utilisé par la plateforme.

Source : ELLIPTIC

Détails de l'attaque

  • Compromission de Safe{Wallet} : L'attaque a commencé par l’infiltration de l'ordinateur d’un développeur de Safe{Wallet}. En accédant à cet appareil, les cybercriminels ont pu injecter un code malveillant dans l’interface utilisateur de l'application. Cette manipulation leur a permis de modifier à la volée une transaction légitime entre les portefeuilles froid et chaud de Bybit.

  • Transfert frauduleux des fonds : Sans se douter de la compromission, les employés de Bybit ont validé une transaction falsifiée, croyant signer une opération normale. Cela a permis aux attaquants de rediriger l'équivalent de plus de 600 millions de dollars en ETH vers des adresses sous leur contrôle.

Conséquences et réactions

  • Sécurisation des fonds restants : Malgré l'ampleur de l'attaque, Bybit a rapidement assuré que les autres portefeuilles froids restaient sécurisés et que les fonds des clients n'étaient pas compromis. La plateforme a immédiatement mis en place des mesures de contrôle renforcées pour éviter toute nouvelle fuite.

  • Un programme de récupération des fonds   : Pour maximiser les chances de récupérer une partie des fonds volés, Bybit a lancé un programme de "bounty", offrant jusqu'à 10 % des sommes retrouvées aux chercheurs en cybersécurité ou aux acteurs du secteur capables de retracer et récupérer les cryptomonnaies volées.

  • Imputation au groupe Lazarus   : Plusieurs firmes de cybersécurité spécialisées ont attribué cette attaque au groupe Lazarus, un collectif de hackers nord-coréens connu pour ses cybercrimes à grande échelle, notamment dans le secteur des cryptomonnaies. Leurs attaques visent généralement à financer le régime nord-coréen en contournant les sanctions économiques internationales.

Une attaque qui soulève des questions

Cet incident met une nouvelle fois en évidence les risques majeurs qui pèsent sur les plateformes d’échange de cryptomonnaies et l’importance de renforcer la cybersécurité des outils de gestion des actifs numériques. La compromission de Safe{Wallet} souligne également la vulnérabilité des chaînes d'approvisionnement logicielles dans le secteur.

Alors que Bybit tente de limiter les dégâts, cette attaque rappelle à l’ensemble de l’écosystème crypto la nécessité de processus de validation plus stricts et de mécanismes de surveillance renforcés pour protéger les transactions et les fonds des utilisateurs.

Comment mieux protéger vos cryptomonnaies ? 

Face à de telles attaques, il est crucial de prendre des mesures pour sécuriser vos propres cryptomonnaies. Voici quelques conseils pour améliorer la sécurité de vos actifs numériques :

  • Utiliser un portefeuille matériel avec écran : Achetez un portefeuille matériel d'une marque réputée, comme Ledger ou Trezor. Ces portefeuilles disposent d'un écran qui vous permet de vérifier les transactions avant de les signer, réduisant ainsi le risque de transactions malveillantes. Cela vous permet de vérifier que l'adresse de destination est correcte avant d'approuver une transaction.

  • Ne stockez pas tous vos actifs sur une plateforme d'échange : Divisez vos actifs entre plusieurs portefeuilles matériels et utilisez les plateformes d'échange uniquement pour les transactions courantes. Cela réduit l'exposition en cas d'attaque sur une plateforme. En effet, si une plateforme est piratée, vous ne perdrez que la partie de vos actifs stockés sur cette plateforme.

  • Gardez vos phrases de semence en lieu sûr : Stockez vos phrases de semence sur du papier ou des engravures métalliques dans un endroit sûr, comme un coffre-fort. Évitez de les stocker sous forme numérique sur votre ordinateur ou smartphone, car ces appareils peuvent être vulnérables aux attaques de phishing ou aux logiciels malveillants.

  • Utilisez un ordinateur dédié pour les transactions : Si possible, utilisez un ordinateur dédié exclusivement aux transactions de cryptomonnaies. Restreignez l'accès à cet ordinateur et utilisez-le uniquement pour les opérations liées aux cryptomonnaies. Cela réduit le risque d'infection par des logiciels malveillants provenant d'autres activités en ligne.

  • Soyez prudent avec les mises à jour et les logiciels : Attendez quelques jours avant d'installer des mises à jour de logiciels liés aux cryptomonnaies. Assurez-vous de télécharger les logiciels depuis des sites officiels et vérifiez les signatures numériques. Cela évite l'installation de logiciels malveillants qui pourraient compromettre la sécurité de vos actifs.

  • Restez vigilant face aux phishing et aux scams : Soyez méfiant envers les messages inattendus qui pourraient être des tentatives de phishing. Suivez les dernières actualités sur les scams dans le domaine des cryptomonnaies pour rester informé. Les attaques de phishing peuvent vous inciter à révéler des informations sensibles ou à télécharger des logiciels malveillants.

Détection de LockBit avec une solution SIEM   de ManageEngine

La détection du ransomware LockBit à l'aide d'une solution SIEM repose sur une analyse approfondie des journaux et une surveillance comportementale avancée. Voici comment Log360 de ManageEngine permet d'identifier efficacement cette menace :

  • Identification des comportements suspects : Log360 analyse en continu les activités du système pour repérer les anomalies comportementales telles que des tentatives d'accès inhabituelles aux fichiers, des interactions suspectes avec le système ou un trafic réseau anormal pouvant signaler une attaque LockBit.

  • Surveillance des utilisateurs à risque : Grâce à son module UEBA (User and Entity Behavior Analytics), Log360 détecte les comportements anormaux des utilisateurs, comme une élévation soudaine des privilèges ou des accès inhabituels à des données sensibles, permettant ainsi une détection précoce des infiltrations.

  • Supervision des terminaux : La solution SIEM surveille les endpoints pour identifier des processus suspects, des modifications de fichiers inhabituelles ou toute autre activité pouvant indiquer une compromission par LockBit.

  • Analyse du trafic réseau : Log360 inspecte les flux réseau afin de repérer des modèles de mouvement latéral typiques de LockBit, ce qui permet une détection rapide et un confinement efficace du ransomware.

  • Corrélation avec MITRE ATT&CK® : Les mécanismes de détection et de réponse de Log360 s'alignent sur le framework MITRE ATT&CK, en ciblant les techniques fréquemment utilisées par LockBit, notamment les stratégies de propagation latérale au sein des réseaux compromis.

  • Surveillance de l'intégrité des fichiers : Log360 effectue des vérifications d’intégrité des fichiers pour détecter toute modification non autorisée, un indicateur clé d’une attaque en cours, et permettre une réponse rapide.

Mesures de protection essentielles

  • Sauvegarde régulière des données critiques et stockage des copies hors ligne ou dans un environnement sécurisé pour éviter la perte en cas d’attaque.

  • Déploiement d’antivirus, d’antimalware et de solutions SIEM fiables afin de bloquer le ransomware avant son exécution.

  • Filtrage des emails pour identifier et intercepter les courriels frauduleux contenant des fichiers malveillants.

  • Protection des endpoints en surveillant et en contrôlant les appareils connectés au réseau pour empêcher toute activité suspecte.

  • Segmentation du réseau afin de limiter la propagation du ransomware et d’isoler les systèmes critiques des environnements moins sensibles.

  • Mise en place de la MFA pour renforcer la sécurité et empêcher les accès non autorisés aux systèmes sensibles.

  • Participation aux réseaux de partage de renseignements sur les menaces afin de rester informé des nouvelles tactiques utilisées par LockBit et d'autres variantes de ransomwares.

  • Respect des réglementations en vigueur en matière de cybersécurité et de protection des données pour assurer une conformité optimale et éviter les sanctions.

En combinant ces stratégies avec une surveillance proactive et une réponse rapide aux incidents, Log360 de ManageEngine permet aux entreprises de renforcer leur sécurité face aux attaques sophistiquées comme celles de LockBit.

Conclusion

Le piratage de Bybit souligne l'importance d'une sécurité renforcée dans le monde des cryptomonnaies. En prenant ces mesures de protection, vous pouvez réduire considérablement le risque de perdre vos actifs numériques en cas d'attaque. Restez toujours vigilant et informé sur les dernières techniques utilisées par les pirates pour mieux protéger vos cryptomonnaies.