Les autorités sud-coréennes enquêtent pour déterminer si le groupe de pirates nord-coréen Lazarus a orchestré une faille de 36 millions de dollars visant la plus grande plateforme d’échange de cryptomonnaies du pays, l’attaque survenant exactement six ans après le précédent incident majeur de sécurité de la plateforme, déjà attribué aux mêmes acteurs étatiques.
Upbit a suspendu les dépôts et retraits jeudi après avoir détecté des transferts non autorisés d’environ 44,5 milliards de wons (36 millions de dollars) d’actifs basés sur Solana depuis un hot wallet vers des adresses externes inconnues.
La faille s’est produite à 4 h 42, heure locale, le 27 novembre, déclenchant immédiatement des protocoles d’urgence et un gel à l’échelle de la plateforme sur l’ensemble des services de transaction.
Des sources gouvernementales et industrielles ont indiqué à l’agence Yonhap que les enquêteurs, en analysant les flux de portefeuilles et les vecteurs d’intrusion, soupçonnent désormais que les attaquants aient soit compromis un compte administrateur, soit réussi à se faire passer pour un opérateur interne – des tactiques qui reflètent étroitement l’incident de 2019, lorsque 342 000 ETH d’une valeur de 50 millions de dollars avaient été volés lors d’une attaque plus tard reliée à Lazarus et au groupe nord-coréen associé Andariel.
Ce qui s’est passé
La faille a touché plus de 20 tokens de l’écosystème Solana, dont SOL, USDC, BONK, Jupiter, Raydium, Render, Orca et Pyth Network. Dunamu, l’opérateur d’Upbit, a confirmé les retraits non autorisés et s’est engagé à rembourser intégralement les clients à partir des réserves opérationnelles de la plateforme. L’entreprise a déclaré détenir 67 milliards de wons de réserves pour les piratages ou défaillances de système en septembre, conformément à la loi sud-coréenne sur la protection des utilisateurs de crypto-actifs.
« Nous avons identifié le montant exact des actifs numériques qui ont été dérobés et nous couvrirons intégralement la perte avec les propres actifs d’Upbit afin que les clients ne soient en aucun cas affectés », a déclaré Oh Kyung-seok, PDG de Dunamu, dans un communiqué. La plateforme a déplacé les actifs restants vers du stockage à froid pour empêcher d’autres retraits pendant que les équipes de forensic enquêtaient.
Upbit a gelé environ 2,3 milliards de wons (1,6 million de dollars) de tokens Solayer grâce à des mesures on-chain et coordonne ses efforts avec les émetteurs de tokens pour bloquer d’autres actifs traçables. Selon des responsables de la sécurité, des sociétés de forensic blockchain ont identifié des transferts rapides à travers de multiples portefeuilles ainsi que des activités de mixing cohérentes avec les précédents schémas de blanchiment attribués à Lazarus.
« Plutôt que d’attaquer le serveur, il est possible que les pirates aient compromis les comptes des administrateurs ou se soient fait passer pour eux afin d’effectuer le transfert », a déclaré un responsable gouvernemental à Yonhap. Cette approche indique une manipulation ciblée de comptes plutôt qu’une attaque directe contre l’infrastructure d’Upbit, renforçant les comparaisons avec les précédentes opérations de Lazarus.
Les régulateurs du ministère des Sciences et des TIC, de la Commission des services financiers et d’autres organismes de supervision ont lancé des inspections sur site des systèmes d’Upbit, en se concentrant sur la gestion des clés des hot wallets et la sécurité du réseau interne. La plateforme a indiqué qu’elle menait un examen complet de l’ensemble de son système de dépôt et de retrait d’actifs numériques et qu’elle rétablirait progressivement les services une fois la sécurité confirmée.
La société de sécurité blockchain CertiK a observé que la rapidité et l’ampleur des retraits ressemblaient aux précédentes attaques liées à Lazarus, même si elle ne dispose pas encore de preuves on-chain définitives. Elle suit les flux de fonds de plus de 100 adresses d’exploiteurs sur Solana et continue de surveiller les mouvements pour retracer d’éventuels liens avec les réseaux de blanchiment associés à Lazarus.
Le calendrier de l’attaque a alimenté les spéculations sur les motivations des pirates. La faille est survenue le même jour où Naver Financial, une filiale du géant internet coréen Naver, a annoncé un accord d’échange d’actions de 10,3 milliards de dollars pour acquérir la totalité du capital de Dunamu. La fusion ferait de Dunamu une filiale détenue à 100 % et constituerait l’une des transitions d’entreprise les plus importantes de la crypto en Corée du Sud.
« Les hackers ont tendance à avoir un fort désir de se mettre en avant », a indiqué un expert en sécurité à Yonhap, suggérant que les attaquants ont pu choisir délibérément le 27 novembre pour maximiser l’attention pendant l’annonce de cette fusion très médiatisée. La date marquait aussi le sixième anniversaire du piratage de 2019 d’Upbit, au jour près, comme l’a rappelé day.
Also read: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Pourquoi c’est important
La faille subie par Upbit s’ajoute à une année déjà record en matière d’incidents de sécurité dans les cryptomonnaies. Les pertes liées aux piratages et exploits ont dépassé 2,4 milliards de dollars en 2025, largement dominées par l’énorme piratage de 1,5 milliard de dollars de la plateforme Bybit en février. L’attaque contre Bybit, la plus importante de l’histoire de la crypto, a elle aussi été attribuée au groupe Lazarus de Corée du Nord.
Selon la société de sécurité blockchain CertiK, le premier semestre 2025 a enregistré 2,47 milliards de dollars de pertes dues aux piratages, arnaques et exploits, soit une hausse de près de 3 % par rapport aux 2,4 milliards de dollars volés sur l’ensemble de l’année 2024. Le compromis de portefeuilles est apparu comme le vecteur d’attaque le plus coûteux, avec plus de 1,7 milliard de dollars volés lors de 34 incidents. Les attaques de phishing ont représenté le plus grand nombre d’incidents, avec 132 failles et 410 millions de dollars dérobés.
Le groupe Lazarus a à plusieurs reprises employé une grande variété de tactiques, passant des intrusions sur les plateformes d’échange aux attaques sur la chaîne d’approvisionnement et aux compromissions d’environnements de développement. Le groupe a déployé des grappes de malwares sur mesure, des appâts d’ingénierie sociale et une vaste infrastructure de blanchiment, en faisant transiter les cryptomonnaies volées via des mixers et des bridges à travers différentes blockchains. Les experts en sécurité soulignent que la Corée du Nord, confrontée à une pénurie de devises étrangères, utilise les cryptomonnaies volées pour financer les activités du régime.
Lors de l’attaque d’Upbit en 2019, les enquêteurs ont conclu que plus de la moitié de l’ETH volé avait été blanchi via des comptes sur des plateformes d’échange créés avec de fausses identités, en utilisant des méthodes typiques de Lazarus, comme le « wallet hopping » et des techniques de mixing. Le groupe a déjà ciblé des plateformes crypto pour maximiser l’impact et l’exposition, ce qui laisse penser que certaines attaques sont délibérément mises en scène pour exploiter une attention publique accrue.
« Leur approche standard consiste à disperser les tokens sur plusieurs réseaux pour casser le traçage », a indiqué un responsable de la sécurité. Le fournisseur d’analyses blockchain Dethective a signalé que les portefeuilles liés au pirate présumé ont déjà commencé à déplacer des fonds, indiquant que le processus de blanchiment est en cours.
La faille chez Upbit met également en lumière les vulnérabilités persistantes de l’infrastructure des hot wallets, qui restent connectés pour des raisons opérationnelles. Alors que les cold wallets, qui stockent la majorité des actifs de la plateforme, sont restés sécurisés, les hot wallets – qui gèrent le trading actif et les retraits – continuent d’être des cibles de choix pour des attaquants sophistiqués. Même des plateformes de longue date ayant fait l’objet de nombreux audits de sécurité ne sont pas épargnées, comme l’a montré le piratage du protocole Balancer à 128 millions de dollars en novembre, illustrant l’ampleur de la menace.
La capacité d’Upbit à rembourser intégralement ses clients à partir de ses réserves opérationnelles offre une certaine assurance, mais l’incident représente un impact financier direct significatif pour la plateforme et pour Dunamu, alors qu’elle entame son intégration avec Naver Financial. La fusion avait été présentée comme une initiative stratégique visant à investir 10 000 milliards de wons sur cinq ans pour développer les infrastructures d’IA et de technologies Web3 en Corée du Sud. Le fait que le piratage soit survenu quelques heures après l’annonce de l’acquisition crée un contexte délicat pour la nouvelle entité combinée.
Les autorités continuent de suivre les actifs volés grâce à l’analyse on-chain tout en menant des examens forensic de l’infrastructure de sécurité d’Upbit. La plateforme n’a pas indiqué de calendrier pour la reprise des dépôts et retraits, même si les audits de sécurité consécutifs à des incidents de cette ampleur prennent généralement plusieurs jours, voire plus, selon les conclusions.
Read next: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users