Venus Protocol, une plateforme de prêt de finance décentralisée, a récupéré avec succès 13,5 millions de dollars en cryptomonnaies volés à un utilisateur lors d'une attaque de phishing sophistiquée attribuée au groupe Lazarus de Corée du Nord. La récupération a eu lieu en moins de 12 heures après l'incident de mardi grâce à des protocols d'urgence coordonnés et l'intervention de partenaires de sécurité.
Ce qu'il faut savoir :
- Venus Protocol a interrompu l'ensemble de sa plateforme après que des partenaires de sécurité ont détecté des activités suspectes quelques minutes après l'attaque de phishing
- Les attaquants ont utilisé un client Zoom malveillant pour tromper la victime Kuan Sun afin d'obtenir un contrôle du compte, permettant des emprunts et rédemptions non autorisées
- Un vote d'urgence de gouvernance a permis la liquidation forcée du portefeuille de l'attaquant, envoyant les tokens volés à une adresse de récupération
Réponse rapide pour éviter des pertes totales
L'attaque a commencé lorsque les auteurs ont trompé la victime via une application Zoom compromise. Ce logiciel malveillant a accordé aux attaquants un contrôle délégué sur le compte de l'utilisateur sur la plateforme Venus Protocol.
Les entreprises de sécurité HExagate et Hypernative ont identifié les schémas de transactions suspectes quelques minutes après leur exécution. Leur détection rapide a déclenché la décision de Venus Protocol de suspendre immédiatement les opérations de la plateforme à titre de précaution. L'arrêt a empêché tout mouvement supplémentaire de fonds pendant que les enquêteurs analysaient la brèche.
Venus Protocol a confirmé que ses smart contracts et son interface utilisateur sont restés sécurisés pendant l'incident. L'infrastructure centrale de la plateforme n'a montré aucun signe de compromis lors des audits de sécurité réalisés après l'attaque.
La gouvernance d'urgence permet la récupération
Les administrateurs de la plateforme ont lancé un vote de gouvernance d'urgence pour faire face à la crise. Ce processus démocratique a permis à Venus Protocol d'autoriser la liquidation forcée du portefeuille numérique de l'attaquant. Cette mesure d'urgence a permis aux équipes de récupération de saisir les actifs volés et de les rediriger vers une adresse de récupération sécurisée.
La victime Kuan Sun a exprimé sa gratitude pour l'effort de réponse coordonné.
"Ce qui aurait pu être un désastre total s'est transformé en une bataille que nous avons effectivement remportée, grâce à un groupe incroyable d'équipes", a déclaré Sun dans des commentaires publics après la récupération.
Plusieurs organisations ont contribué au succès de l'opération. PeckShield, Binance et SlowMist ont apporté une assistance technique supplémentaire pendant le processus de récupération. Leur expertise combinée s'est révélée cruciale pour suivre et récupérer les actifs cryptographiques volés.
Comprendre la méthode d'attaque
Le stratagème de phishing reposait sur des tactiques d'ingénierie sociale plutôt que sur des vulnérabilités techniques des systèmes de Venus Protocol. Les attaquants ont convaincu Sun de télécharger et d'installer une version modifiée du populaire logiciel de visioconférence Zoom.
Cette application malveillante contenait du code caché accordant un accès non autorisé aux comptes cryptographiques de Sun. Une fois installée, le logiciel compromis permettait aux attaquants d'exécuter des transactions au nom de Sun sans autorisation directe. Les auteurs ont ensuite systématiquement vidé les stablecoins et les actifs encapsulés des avoirs de la victime.
L'analyse médico-légale de SlowMist a par la suite confirmé la connexion de l'attaque au groupe Lazarus. L'enquête menée par la société de cybersécurité a révélé des signatures tactiques cohérentes avec des opérations précédentes de la Corée du Nord. "SlowMist a effectué un travail d'analyse approfondi et fait partie des premiers à avoir signalé que Lazarus était derrière cette attaque", a reconnu Sun.
Portefeuille criminel du groupe Lazarus
Le groupe Lazarus opère en tant que collectif de piratage parrainé par l'État sous l'appareil de renseignement de la Corée du Nord. Les agences de sécurité internationales attribuent de nombreux vols de cryptomonnaies de grande envergure à cette organisation ces dernières années.
Les opérations précédentes du groupe Lazarus incluent l'exploit du pont Ronin de 600 millions de dollars et le piratage de 1,5 milliard de dollars de l'échange Bybit. Ces incidents représentaient certains des vols de cryptomonnaies les plus importants dans l'histoire de l'industrie. Les méthodes sophistiquées du groupe et son soutien étatique en font une menace persistante pour les plateformes d'actifs numériques dans le monde entier.
Les experts en sécurité notent que les hackers nord-coréens ciblent souvent les plateformes de cryptomonnaies pour contourner les sanctions économiques internationales. Les actifs numériques volés fournissent à la nation isolée des devises fortes pour diverses activités étatiques.
Explication des termes clés
Les plateformes de finance décentralisée comme Venus Protocol fonctionnent sans intermédiaires bancaires traditionnels. Les utilisateurs interagissent directement avec des smart contracts — des programmes automatisés qui exécutent les transactions quand des conditions spécifiques sont remplies. Ces plateformes offrent généralement des services de prêt, d'emprunt et de trading via la technologie blockchain.
Les stablecoins sont des cryptomonnaies conçues pour maintenir des valeurs stables par rapport à des actifs de référence comme le dollar américain.
Les actifs encapsulés représentent des cryptomonnaies traditionnelles comme le Bitcoin qui ont été converties pour être utilisées sur différents réseaux blockchain. Les deux types d'actifs ont figuré en bonne place dans cette tentative de vol.
Les votes de gouvernance d'urgence permettent aux utilisateurs de la plateforme et aux parties prenantes de prendre des décisions rapides lors de situations de crise. Ce mécanisme démocratique permet des réponses rapides aux menaces de sécurité sans attendre les périodes de vote standard.
Réflexions finales
L'incident de Venus Protocol démontre à la fois les vulnérabilités et les capacités de protection des systèmes de finance décentralisée. Bien que des attaquants sophistiqués aient réussi à exécuter leur stratagème de phishing initial, une détection rapide et des efforts de réponse coordonnés ont empêché des pertes permanentes. La récupération en 12 heures fixe un précédent positif pour les futurs incidents de sécurité dans le domaine des cryptomonnaies.