Des chercheurs ont lié Lazarus Group, un groupe de piratage notoire soutenu par l’État nord-coréen, au vol de 100 millions de dollars d’actifs cryptographiques à Harmony’s Horizon Bridge.
La semaine dernière, la startup américaine de cryptographie Harmony a mis en garde contre une “attaque malveillante” sur son Horizon Bridge, un pont inter-chaînes qui permet aux utilisateurs de transférer leurs actifs cryptographiques d’une blockchain à une autre. L’attaquant a volé 100 millions de dollars d’actifs cryptographiques, dont Ethereum (ETH), Binance Coin, Tether, USD Coin et Dai.
Le fournisseur d’analyse de blockchain basé à Londres Elliptic, qui a publié une analyse de l’attaque, écrit que les pirates ont converti les actifs volés en 85 837 ETH via Tornado Cash, un mélangeur couramment utilisé pour blanchir la crypto obtenue illégalement. Jusqu’à présent, l’attaquant a envoyé 35 000 ETH – d’une valeur de 39 millions de dollars, soit environ 41 % du total des fonds volés – à Tornado Cash.
Chainalysis, une autre société de sécurité blockchain qui travaille avec Harmony pour enquêter sur le piratage, a confirmé les conclusions d’Elliptic.
Elliptic a lié l’attaque au groupe Lazarus, affirmant que “le piratage et le blanchiment ultérieur des actifs cryptographiques volés” sont cohérents avec les activités des pirates nord-coréens. Il note que bien qu’aucun facteur ne prouve l’implication de Lazarus dans l’attaque d’Horizon Bridge, le groupe a “perpétré plusieurs vols importants de crypto-monnaie totalisant plus de 2 milliards de dollars, et a récemment tourné son attention vers DeFi [decentralized finance] services tels que les ponts inter-chaînes.
En avril, le département du Trésor américain a lié le groupe de piratage soutenu par la Corée du Nord au vol de 625 millions de dollars en crypto-monnaie du réseau Ronin, une chaîne latérale basée sur Ethereum conçue pour le jeu populaire Axie Infinity.
Elliptic note que l’attaque a été menée en compromettant les clés cryptographiques d’un portefeuille multi-signatures, une technique couramment utilisée par le groupe Lazarus, ajoutant que la programmation du blanchiment de fonds qu’il a observée suite au piratage d’Horizon Bridge était “très similaire” à celle observée suite à l’attaque du pont Ronin.
“Le groupe Lazarus a tendance à se concentrer sur les cibles basées sur l’APAC, peut-être pour des raisons linguistiques”, a ajouté Elliptic, faisant référence à la région Asie-Pacifique. “Bien que Harmony soit basée aux États-Unis, de nombreux membres de l’équipe principale ont des liens avec la région APAC.”
Dans une série de tweets jeudi, Harmony a déclaré qu’elle avait lancé une “chasse à l’homme mondiale” pour le(s) criminel(s) responsable(s) du vol de 100 millions de dollars. « Tous les échanges ont été notifiés. Les forces de l’ordre, Chainalysis et AnChainAI mènent des enquêtes actives pour identifier les acteurs responsables et récupérer les actifs volés », a-t-il déclaré. “Nous offrons une DERNIÈRE opportunité aux acteurs de restituer les actifs volés dans l’anonymat.”
La société a également proposé à l’attaquant un dernier ultimatum, s’engageant à abandonner son enquête si les fonds étaient restitués moins une prime de 10 millions de dollars. Harmony offre également 10 millions de dollars pour des informations menant au retour en toute sécurité des fonds.