
60 millions de dollars volés dans un projet de l'écosystème Blast : les pirates nord-coréens maîtrisent désormais l'ingénierie sociale
TechFlow SélectionTechFlow Sélection

60 millions de dollars volés dans un projet de l'écosystème Blast : les pirates nord-coréens maîtrisent désormais l'ingénierie sociale
Outre le fait de faire un travail d'espion en s'infiltrant dans des équipes, les hackers se font aussi passer pour des clients ou des employeurs afin de s'approcher des développeurs.
Rédaction : Joyce
Une équipe infiltrée par des hackers nord-coréens : un projet de l'écosystème Blast vole 60 millions de dollars
Ce matin, le projet de jeu Munchables, membre de l'écosystème Blast, a annoncé avoir subi une attaque. Selon les données de PeckShield, un contrat verrouillé de Munchables présente une faille critique, entraînant le vol de 17 400 ETH (environ 62,3 millions de dollars).

L'enquête du détective blockchain ZachXBT révèle que l'attaquant est en réalité un hacker nord-coréen ayant infiltré l'équipe de développement de Munchables. Yu Xian, fondateur de SlowMist, a commenté sur les réseaux sociaux : « C'est au moins le deuxième cas similaire que SlowMist rencontre dans des projets DeFi. Un développeur principal se fait passer pour légitime pendant longtemps, gagne la confiance totale de l'équipe, puis frappe sans pitié au bon moment. Les victimes sont probablement nombreuses. »

Stratégie habituelle des hackers nord-coréens : exploiter la confiance accordée aux équipes de développement
Les hackers nord-coréens figurent parmi les plus notoires du secteur cryptographique. Selon un rapport de la société de cybersécurité Recorded Future, le groupe Lazarus, le plus célèbre d'entre eux, aurait dérobé 3 milliards de dollars en cryptomonnaies ces six dernières années. En 2022 seulement, ce montant s’élève à 1,7 milliard de dollars.
Contrairement aux hackers techniques qui exploitent des vulnérabilités protocolaires, les hackers nord-coréens ciblent souvent les équipes de développement elles-mêmes, abusent de leur confiance et attendent patiemment le moment opportun pour agir, comme dans l’attaque récente contre Munchables.
En 2021, l’équipe de sécurité de Google a découvert que Lazarus utilisait depuis longtemps Twitter, LinkedIn ou Telegram pour créer de fausses identités, se faisant passer pour des experts actifs en recherche de vulnérabilités afin de gagner la confiance du milieu, puis lançant des attaques 0day contre d'autres chercheurs.
Des chercheurs de la société Mandiant inc. ont indiqué qu’en 2022, ils avaient trouvé chez un candidat présumé nord-coréen un profil quasi identique à ceux d’autres postulants. Ces hackers sont désormais capables de copier fidèlement les profils LinkedIn et Indeed pour décrocher des postes dans des entreprises américaines de cryptomonnaies.
Outre le fait de se faire embaucher comme développeur, les hackers nord-coréens peuvent aussi se présenter en tant que clients ou employeurs pour approcher les développeurs.
En 2022, le réseau secondaire Ronin du jeu Axie Infinity a perdu 600 millions de dollars, le plus gros vol jamais enregistré dans l’univers crypto. Initialement, Ronin avait attribué ce vol à une attaque contre ses nœuds validateurs. Mais une enquête ultérieure a révélé que le groupe Lazarus avait créé une fausse entreprise, s’était fait passer pour un employeur sur LinkedIn et avait contacté via cette plateforme un ingénieur senior de Sky Mavis, le développeur d’Axie Infinity, en lui proposant un poste bien rémunéré.
Face à une offre salariale alléchante, l’ingénieur d’Axie Infinity a manifesté son intérêt et participé à plusieurs « entretiens ». Lors de l’un d’eux, il a reçu un fichier PDF contenant des détails sur le poste.
Or, ce document contenait un cheval de Troie permettant aux hackers d’accéder au système Ronin. Une fois téléchargé et ouvert sur l’ordinateur professionnel de l’employé, le fichier a lancé une chaîne d’infection qui a permis aux pirates de prendre le contrôle de quatre validateurs de jetons et d’un validateur Axie DAO.
Ce type d’attaque est connu sous le nom d’APT (Advanced Persistent Threat). SlowMist, via son outil MistTrack, en a résumé la méthode : l’attaquant se crée une fausse identité, trompe les vérificateurs pour être accepté comme client légitime, effectue même de vrais dépôts. Protégé par cette fausse identité, il engage ensuite des discussions avec plusieurs membres officiels. À ce stade, des chevaux de Troie personnalisés infectent précisément les appareils Mac ou Windows des employés. Après obtention d’accès, les hackers se déplacent latéralement dans le réseau interne, restent longtemps en sommeil, puis finissent par dérober les fonds.
Revenons à l’affaire actuelle. Après l’annonce du piratage de Munchables, un protocole DeFi de l’écosystème Blast lié à Munchables a déclaré évaluer les pertes liées à cette faille. Heureusement, les hackers n’ont volé que des ETH ; les WETH déposés par les utilisateurs n’ont pas été touchés. Un autre protocole de l’écosystème Blast a également annoncé distribuer des points de compensation aux personnes affectées par l’attaque contre Munchables.
CoderDan, fondateur d’Aavegotchi, a publié sur les réseaux sociaux : « L’équipe de développement Pixelcraft Studios, derrière Aavegotchi, a brièvement embauché l’auteur de l’attaque contre Munchables en 2022 pour des travaux de développement de jeu. Son niveau technique était médiocre, clairement celui d’un hacker nord-coréen. Nous l’avons licencié au bout d’un mois. Il a même tenté de nous faire embaucher un de ses amis, qui était très probablement aussi un hacker. »
CoderDan a également fourni à l’équipe de Munchables l’adresse couramment utilisée par ce hacker lors de son passage chez Pixelcraft Studios, espérant que ces indices puissent aider à retrouver les fonds volés.
Dans la forêt obscure du monde crypto, les dangers cachés sont omniprésents. Utilisateurs comme projets doivent rester vigilants et renforcer leurs mesures de sécurité.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News












