Le 21 février 2025, le marché crypto a été secoué par une cyberattaque d’une ampleur inédite, le piratage de la plateforme d’échange Bybit, qui a entraîné la perte de 1,46 milliard de dollars en Ethereum (ETH). Au cœur de cet événement un groupe de cyberattaquants, apparemment lié à la célèbre entité nord-coréenne Lazarus Group, déjà mise en cause dans diverses opérations similaires. Comme à chaque faillite ou hack d’un gros exchange, l’épisode n’a pas manqué de bouleverser le marché des actifs numériques, et a bien sûr aussi (re)soulevé plusieurs questions relatives à la sécurisation des portefeuilles et à la gestion des risques sur les plateformes d’échange. Mais est-ce que ce hack nous signale la fin du range sur le marché crypto et allons nous maintenant pouvoir repartir à la hausse ?
Qu’est ce que la plateforme Bybit ?
Fondée en 2018 et dirigée par son co-fondateur chinois Ben Zhou, Bybit s’est progressivement affirmée parmi les plateformes de référence pour le trading de cryptomonnaies. Basée à Dubaï, aux Émirats arabes unis, cette entreprise a conquis une clientèle internationale en proposant plusieurs types de services : trading d’actifs numériques, produits de rendement passifs et même une place de marché dédiée aux jetons non fongibles (NFT). Bien que la plateforme cible un large public, elle reste inaccessible dans certaines régions, dont les États-Unis, la Chine continentale ou encore Singapour, du fait de restrictions réglementaires.
En parallèle de ses activités principales, Bybit a dû composer avec des environnements législatifs variés. À titre d’exemple, la plateforme a fourni des efforts considérables pour se conformer aux exigences françaises, obtenant sa radiation de la liste noire de l’Autorité des Marchés Financiers (AMF) en février 2025. Cette démarche s’inscrivait dans l’objectif d’acquérir à terme une licence conforme au cadre établi par le règlement MiCA (Markets in Crypto-Assets), visant le marché européen. À l’inverse, les choses ont été plus complexes en Inde, où Bybit a interrompu ses services en janvier 2025, peu après avoir été sanctionnée à hauteur d’environ 1,06 million de dollars pour des manquements liés à la loi de prévention du blanchiment d’argent.
Détails de l’attaque du 21 février 2025
Le piratage subi par Bybit s’est produit lors d’un transfert a priori routinier entre son portefeuille Ethereum multi-signature hors ligne (cold wallet) et un portefeuille intermédiaire (warm wallet). Les cyberattaquants ont réussi à s’introduire dans la procédure de signature en dissimulant la véritable logique de la transaction. Ainsi, l’interface affichait une adresse de destination conforme aux processus de sécurité habituels, tandis que, sous la couche de présentation, le contrat intelligent modifié permettait d’accéder librement aux fonds.
Le montant total soustrait, évalué à environ 401 347 ETH, dépasse les 1,4 milliard de dollars. D’après diverses sources, dont la société d’analyse Arkham Intelligence et le spécialiste ZachXBT, cette attaque est l’une des plus spectaculaires jamais recensées sur le marché des cryptomonnaies. La méthode, appelée « Blind Signing », est de plus en plus appréciée de certains malfaiteurs. Elle consiste à faire signer à la victime une transaction dont la teneur précise n’est pas visible ou est présentée de manière tronquée, ce qui empêche la personne qui signe de se rendre compte qu’elle autorise un transfert irrégulier de fonds.
Au-delà de la falsification de l’interface de signature, les assaillants auraient également utilisé des techniques avancées de hameçonnage et de manipulation psychologique pour récupérer des identifiants internes, afin de contourner plusieurs paliers de sécurité. Une fois ces étapes franchies, la compromission du système de multi-signature a permis d’autoriser un mouvement de fonds conséquent en quelques opérations à peine.
Identification des responsables et pistes nord-coréennes
Très vite, l’attention s’est portée sur le Lazarus Group, un collectif déjà réputé pour avoir orchestré plusieurs cyberattaques d’envergure dans l’univers des cryptomonnaies. Arkham Intelligence avait initialement promis une récompense de 50 000 jetons ARKM à quiconque parviendrait à apporter une preuve fiable quant à l’identité des pirates. ZachXBT, enquêteur bien connu sur les réseaux sociaux, a soumis des éléments jugés suffisamment probants, illustrant des similitudes entre ce piratage et des cas précédents attribués à Lazarus, notamment l’attaque de la plateforme Phemex en janvier 2025.
Si la responsabilité de ce collectif se confirme, certains analystes estiment que la Corée du Nord détiendrait désormais une quantité d’ETH dépassant celle de figures éminentes de l’écosystème, comme le cofondateur d’Ethereum Vitalik Buterin ou encore la Fondation Ethereum. Pour parvenir à disperser les jetons volés, les attaquants ont fait appel à des mécanismes de dissimulation tels que des passerelles décentralisées et des protocoles accentuant la confidentialité des transactions. Cette fragmentation et ce recours à des transactions en multiples étapes rendent la récupération directe des fonds particulièrement complexe.
Conséquences sur la sécurité des fonds
Face à un tel préjudice, la première interrogation concerne la sécurité des fonds restants sur la plateforme.
D’après Ben Zhou, PDG de Bybit, aucune autre partie de l’infrastructure n’a été altérée, et les autres portefeuilles à froid demeurent intacts. Malgré l’ampleur de la perte, la société a affirmé disposer d’une assise financière suffisante pour faire face à l’incident : Zhou a notamment souligné que Bybit était « solvable, même si les fonds n’étaient pas retrouvés ».
Néanmoins, l’entreprise doit impérativement faire face à un manque de liquidités au vu de l’importance de la somme dérobée. Les procédures de retrait, toujours fonctionnelles, ont subi un ralentissement pour certains utilisateurs.
Dans le même temps, près de 70 % des demandes de retrait ont pu être traitées sans incident, selon des sources internes. Pour répondre aux besoins urgents, Bybit a décidé de recourir à un prêt relais fourni par des partenaires, et a déjà obtenu près de 80 % de l’ETH dérobé sous cette forme de financement temporaire.
Gestion de crise réussie de la part de Bybit
La manière dont Bybit a réagi à cet incident a été largement commentée. À peine 30 minutes après la découverte de la brèche, Ben Zhou a communiqué publiquement en live sur X, se montrant disponible pour répondre aux interrogations et éviter l’escalade de rumeurs. La plateforme a également tenu des sessions en direct, proposant des points d’information réguliers et des explications détaillées, accompagnées de chiffres précis relatifs aux montants concernés, aux délais de rétablissement et aux mesures envisagées pour renforcer la sécurité.
Ce choix de transparence et de réactivité a contribué à limiter la panique des utilisateurs. Certains observateurs de l’industrie, comme Casey Taylor, ont salué l’exemple de gestion de crise donné par Bybit. Selon Taylor, la plateforme a fourni « une démonstration remarquable en matière de communication de crise » à la suite de ce qui est considéré comme l’un des plus grands piratages de l’histoire des cryptomonnaies.
Par ailleurs, la société a fait appel à des équipes de cybersécurité spécialisées et collaboré avec les forces de l’ordre afin de retracer le parcours des fonds soustraits, tout en envisageant des options de négociation pour tenter d’aboutir à la restitution d’une partie de l’ETH. À ce stade, aucune information officielle ne signale que des pourparlers ont été conclus, mais Bybit indique poursuivre le travail sur plusieurs fronts pour maximiser les possibilités de récupération.
Impact sur l’écosystème et réflexions sur la sécurité
L’attaque visant Bybit s’ajoute à une liste grandissante d’opérations malveillantes qui ont touché l’univers des cryptomonnaies. Les estimations pour l’année 2024 évoquent un total de 2,2 milliards de dollars dérobés, soit une hausse de plus de 21 % par rapport à l’année précédente. La nécessité est clairement d’adapter en permanence les protocoles de protection, à mesure que les méthodes des cybercriminels gagnent en complexité.
La technique du « Blind Signing » attire particulièrement l’attention. Malgré l’efficacité potentielle des portefeuilles multi-signatures, la faille se loge souvent dans les interfaces de signature et le comportement des utilisateurs eux-mêmes. Les experts en sécurité soulignent l’importance de développer des solutions plus robustes, telles que des systèmes d’authentification faisant apparaître clairement la teneur de chaque transaction avant approbation.
Next step pour Bybit
Pour Bybit, la priorité à court terme consiste à honorer les retraits et à reconstituer sa réserve d’ETH grâce au soutien de ses partenaires.
Selon les propos tenus par Ben Zhou, l’essentiel de la liquidité nécessaire a déjà été assuré. Il reste cependant des points en suspens, notamment la récupération éventuelle des fonds détournés et la mise en place de nouvelles mesures de surveillance. Sur le long terme, la plateforme devra sans doute renforcer ses liens avec des acteurs spécialisés en cybersécurité et diversifier ses protocoles de stockage afin de limiter les risques liés à la concentration de fonds dans un même portefeuille.
Le hack final avant le bull run ?
Ce piratage récent de Bybit peut être perçu comme l’événement ultime qui pousse encore davantage d’investisseurs à abandonner le marché, générant une énième vague de pessimisme généralisé.
Toutefois, l’historique des cycles en cryptomonnaies montre qu’après ces épisodes de doute, le marché peut rebondir de façon inattendue. C’est un peu comme s’il fallait un dernier découragement pour que certains se retirent, laissant finalement la place à un renouveau d’optimisme et de volumes. Personne ne peut prédire avec certitude la fin exacte de la phase actuelle, mais beaucoup considèrent que ces secousses font partie d’un processus classique : elles incitent à la capitulation avant qu’une nouvelle tendance haussière ne se manifeste.
Connexe : Les 30 premiers jours de Trump : une révolution pro crypto
Investir comporte des risques de perte en capital. Faites vos propres recherches. Il ne s’agit pas de conseils en investissement.
