Des hackers nord-coréens relient 3,2 millions de dollars de fonds volés
Les enquêteurs crypto tirent la sonnette d'alarme après que 3,2 millions de dollars ont été drainés de plusieurs portefeuilles Solana le 16 mai 2025, ce qu'ils disent porter les caractéristiques du groupe Lazarus lié à la Corée du Nord. Les actifs volés ont été rapidement vendus en chaîne et transférés sur Ethereum avant qu'une partie ne soit blanchie via Tornado Cash.
Le 16 mai, les adresses Solana de la victime ont été vidées de leurs tokens, et les actifs ont ensuite été convertis en Ethereum via un pont avant qu'une partie ne soit déposée à Tornado Cash.
Le chercheur blockchain ZachXBT a publiquement signalé l'exploitation, établissant des parallèles avec l'activité antérieure de Lazarus.
Les hackers ont relié les fonds volés
Les détectives blockchain ont d'abord tiré la sonnette d'alarme après avoir observé de grands transferts depuis l'adresse « C4WY…e525 » sur Solana.
Ces transactions, liées au groupe notoire Lazarus, impliquaient le transfert des tokens volés à travers un pont et leur conversion en Ethereum. ZachXBT a signalé l'attaque en surveillant l'activité du pont et en traçant des fonds qui ont finalement abouti dans un réseau de portefeuilles sur Ethereum.
Le 25 juin et à nouveau le 27 juin, 400 ETH ont été envoyés à Tornado Cash en deux dépôts séparés. Ces transactions de 800 ETH, totalisant environ 1,6 million de dollars, s'alignent sur les tactiques de blanchiment bien documentées du groupe Lazarus.
À la suite de hacks très médiatisés comme Bybit, où 1,5 milliard de dollars ont été volés en février 2025, et 100 millions de dollars du pont Horizon de Harmony en 2022, parmi d'autres hacks notables, Lazarus a à plusieurs reprises utilisé Tornado Cash, ainsi que des échanges décentralisés et des ponts inter-chaînes, pour blanchir des fonds en obscurcissant les pistes de transaction.
Environ 1,25 million de dollars résident encore dans une adresse de portefeuille identifiée comme « 0xa5…d528 » sur Ethereum, détenue dans une combinaison de DAI et d'ETH. Les analystes spéculent que ces fonds peuvent soit être garés pour un blanchiment futur, soit être intentionnellement maintenus dormants pour atténuer le risque de détection.
Le groupe Lazarus est actif depuis 2017
Le groupe Lazarus a gagné une réputation en tant qu'organisation de cybercriminalité liée à un État la plus prolifique, les sanctions contre la Corée du Nord les désignant comme une menace persistante avancée liée aux unités de renseignement militaire d'élite de Pyongyang. Au fil des ans, ils ont volé des milliards en crypto depuis 2017.
Leur modus operandi commence souvent par du phishing ou une infiltration basée sur des malwares des personnels clés, exploitant les failles des contrats intelligents ou les vulnérabilités des portefeuilles. Une fois les fonds obtenus, ils sont rapidement convertis en actifs liquides, fragmentés en plusieurs portefeuilles, et blanchis à travers des chaînes en utilisant des mixers comme Tornado Cash et des services fournissant des échanges instantanés sans exigences de connaissance du client (KYC).
Tornado Cash reste central à la stratégie de blanchiment de Lazarus. Bien que des sanctions américaines aient été imposées en 2022, l'hébergement décentralisé et l'immutabilité ont permis au service d'échapper à une fermeture permanente. En janvier 2025, une cour d'appel américaine a annulé ces sanctions, en citant des considérations de liberté d'expression, malgré les preuves croissantes liant Lazarus à l'utilisation continue de mixers.
Les régulateurs et les échanges peuvent désormais prendre des mesures pour marquer les adresses signalées comme suspectes. Cependant, avec la rapidité et la complexité du pipeline de blanchiment de Lazarus, les services de mixage continuent de prouver leur efficacité à dissimuler le mouvement de leurs fonds volés.
Vos nouvelles crypto méritent de l'attention - KEY Difference Wire vous place sur plus de 250 sites de premier plan