Bybit, un Titan de l'industrie crypto
Depuis sa création en 2018, Bybit s’est imposé comme l’un des leaders mondiaux des plateformes d’échange de cryptomonnaies.
Avec des milliards de dollars en volume d’échange quotidien et une base d’utilisateurs fidèle, Bybit s’est hissé au sommet de l’écosystème derrière Binance. Son modèle de plateforme robuste, ses services de trading avancés et ses produits financiers innovants lui ont permis de capter une large audience, allant des traders professionnels aux nouveaux entrants dans l’univers crypto.
Pourtant, en ce mois de février 2025, Bybit a été le théâtre du plus grand hack de l’histoire des cryptomonnaies, une attaque d’une ampleur inédite qui a vu 1,46 milliard de dollars disparaître en l’espace de quelques minutes.
Cette attaque a non seulement marqué un tournant pour la plateforme, mais aussi pour l’ensemble de l’écosystème crypto, mettant en lumière les vulnérabilités des infrastructures centralisées et la nécessité d’un renforcement des protocoles de sécurité.
Le déclenchement de l'Alerte
Le 21 février 2025, vers 17h05, l’enquêteur on-chain ZachXBT fut le premier à déceler des mouvements suspects sur les cold wallets de Bybit.
Des transferts de fonds massifs, principalement en mETH et sETH, se déroulaient sous les yeux de la communauté. En quelques minutes, plus de 401 000 ETH et divers tokens de staking liquide avaient été déplacés vers des adresses inconnues. L’alerte fut immédiatement relayée sur les réseaux sociaux, générant une onde de choc au sein de la communauté crypto.
L’information s’est répandue comme une traînée de poudre. Ben Zhou, PDG de Bybit, confirmait le hack de Bybit sur X (anciennement Twitter) :
Bybit ETH multisig cold wallet just made a transfer to our warm wallet about 1 hr ago. It appears that this specific transaction was musked, all the signers saw the musked UI which showed the correct address and the URL was from @safe . However the signing message was to change…
— Ben Zhou (@benbybit) February 21, 2025
Le mode opératoire : une attaque sophistiquée
Injection de malware
Un virus aurait infecté l’ordinateur des signataires, remplaçant les transactions en cours par des versions malveillantes. Ce type d’attaque repose sur une compromission en amont, généralement via un fichier téléchargé, un email frauduleux ou une extension malveillante installée sur le navigateur d’un des signataires.
Une fois le malware activé, il est capable de modifier discrètement les transactions affichées, manipulant ainsi les informations visibles par les utilisateurs. Au moment de la signature, les transactions semblent parfaitement valides, mais elles redirigent en réalité les fonds vers des adresses contrôlées par les hackers.
Exploitation d’une faille Safe
L’interface de Safe aurait été manipulée, affichant une transaction légitime aux signataires tout en envoyant une transaction différente au portefeuille.
Dans ce scénario, l’attaquant aurait exploité une faille dans le front-end de Safe, la plateforme utilisée pour la gestion des portefeuilles multi-signatures de Bybit. En interposant un script malveillant, l’interface aurait généré une transaction trompeuse, modifiant la logique du smart contract sans que les signataires ne puissent détecter l’anomalie.
Une fois la transaction validée, les hackers ont obtenu un contrôle complet sur le portefeuille multi-signatures ETH en cold storage de Bybit. L’ensemble des fonds a été transféré vers une adresse inconnue, où ils ont immédiatement commencé à être fractionnés en plusieurs transactions plus petites, une technique connue sous le nom de peeling chain, qui consiste à disperser des fonds volés en petites quantités sur une multitude de portefeuilles afin de complexifier le suivi on-chain.
L’attaque rappelle étrangement celle de WazirX en 2024, attribuée au groupe de hackers nord-coréens Lazarus. En analysant les flux de transactions, les enquêteurs ont constaté que les fonds volés étaient échangés contre de l’ETH sur divers DEXs avant d’être dispersés sur 54 portefeuilles différents. Une opération classique de layering, visant à brouiller les pistes et à anonymiser les flux financiers.
Pour cela, les hackers ont utilisé des plateformes de mixage et des protocoles DeFi anonymes, comme Tornado Cash, avant de convertir les actifs volés en BTC et autres stablecoins, puis de les déplacer via des cross-chain bridges vers des blockchains moins surveillées comme Tron et Solana.
Les premiers indices laissaient penser que les hackers avaient également utilisé des services de trading OTC (over-the-counter) pour liquider une partie des actifs.
Ces plateformes, souvent peu réglementées, permettent d’échanger de grandes quantités de cryptomonnaies sans attirer l’attention des régulateurs et des enquêteurs on-chain.
Malgré les efforts déployés par des entreprises comme Chainalysis et Arkham pour suivre les fonds en temps réel, les hackers ont réussi à déplacer plusieurs centaines de millions de dollars avant que certaines adresses ne soient signalées et bloquées par certains exchanges centralisés
L’implication du Groupe Lazarus
Le groupe Lazarus, tristement célèbre pour ses attaques de grande envergure contre l’industrie crypto, semble être directement impliqué dans le hack de Bybit.
Ce groupe de hackers nord-coréens a été identifié comme l’auteur de nombreuses attaques contre des plateformes crypto, volant plusieurs milliards de dollars au fil des années pour financer des activités illicites du régime nord-coréen, notamment son programme de missiles balistiques.
Dans le cas de Bybit, les experts en cybersécurité ont mis en évidence des similitudes frappantes avec des hacks précédents, notamment l’exploitation de failles de sécurité dans les systèmes de gestion des signatures multi-signatures et la manipulation d’interfaces utilisateur pour duper les administrateurs.
De plus, une partie des fonds volés a été envoyée vers des portefeuilles déjà associés à des attaques antérieures orchestrées par Lazarus, renforçant l’hypothèse de leur implication.
Le groupe a utilisé des techniques avancées de blanchiment d’argent, notamment en transférant les fonds à travers plusieurs blockchains et en utilisant des services de mixage et des plateformes DeFi anonymes.
À ce jour, les analyses on-chain montrent que plus de 200 millions de dollars issus du hack de Bybit ont été échangés via des protocoles décentralisés et intégrés dans des pools de liquidité, rendant leur récupération particulièrement difficile.
Les tentatives de récupération des Fonds
Bybit a immédiatement réagi en collaborant avec plusieurs entreprises spécialisées en traçabilité on-chain, notamment Chainalysis et Arkham Intelligence.
Leur objectif était d’identifier et de geler les fonds volés avant qu’ils ne soient complètement blanchis via des mixeurs ou des échanges décentralisés. Pour cela, des analyses poussées des transactions ont été réalisées afin de tracer le parcours des fonds et d’identifier les adresses suspectes impliquées dans l’opération.
Une des premières mesures prises a été de contacter les principales plateformes d’échange centralisées (CEX), notamment Binance, Kraken et Coinbase, afin d’imposer des restrictions sur les adresses identifiées comme recevant des fonds volés. Cela a permis de geler rapidement plus de 40 millions de dollars dispersés sur différentes plateformes, bien que la majorité des fonds restent hors d’atteinte en raison des transactions effectuées via des protocoles anonymes.
Ensuite, Bybit a collaboré avec des autorités financières internationales, y compris Interpol et le FBI, pour coordonner une surveillance accrue des transactions suspectes sur plusieurs blockchains.
L’équipe de cybersécurité de Bybit a également mis en place un système de surveillance en temps réel qui scanne l’ensemble des blockchains utilisées par les hackers afin de signaler immédiatement tout transfert suspect.
Un autre obstacle majeur réside dans la dispersion des fonds en plusieurs transactions complexes et l’utilisation de multiples blockchains, rendant leur récupération difficile. Les hackers ont utilisé des ponts inter-chaînes pour transférer une partie des fonds sur Solana, Tron et BNB Chain, augmentant ainsi la complexité des opérations de traçage.
Bybit a réagi en travaillant avec des analystes on-chain pour cartographier ces transactions et essayer de remonter aux entités les ayant reçues.
Cette affaire met en lumière l’importance de développer des protocoles de réponse rapide en cas de vol à grande échelle.
Dans cet objectif, Bybit a annoncé la mise en place d’un fonds de réserve de sécurité visant à couvrir les pertes potentielles en cas d’incidents similaires à l’avenir. De plus, la plateforme travaille désormais sur l’amélioration des processus de validation multi-signatures pour éviter qu’une telle faille ne puisse être exploitée à nouveau.
Remboursement des utilisateurs et couverture des pertes
Malgré l’ampleur des pertes, Bybit a immédiatement pris des mesures pour garantir que ses utilisateurs ne soient pas affectés financièrement par ce hack.
Latest Update: Bybit has already fully closed the ETH gap, new audited POR report will be published very soon to show that Bybit is again Back to 100% 1:1 on client assets through merkle tree, Stay tuned. https://t.co/QLa1vOujM6
— Ben Zhou (@benbybit) February 24, 2025
La plateforme a assuré qu’elle avait les réserves nécessaires pour couvrir l’intégralité des fonds dérobés sans impacter les dépôts des clients. Pour ce faire, Bybit a mobilisé ses propres liquidités et a contracté des prêts stratégiques auprès de partenaires institutionnels afin de compenser les pertes.
En complément, l’exchange a annoncé la création d’un fonds de compensation spécial pour les utilisateurs affectés. Ce fonds, alimenté en partie par les profits de l’entreprise et en partie par des contributions externes, a permis de rétablir rapidement les soldes des comptes des clients.
Selon des sources officielles, plus de 80 % des fonds volés ont été couverts en moins d’une semaine, un exploit qui a grandement contribué à rétablir la confiance des investisseurs et des traders sur la plateforme.
Dans un effort de transparence, Bybit a également publié une preuve de réserves auditées, démontrant qu’elle disposait bien des actifs nécessaires pour assurer l’intégrité financière de sa plateforme.
Ce rapport, validé par une société d’audit externe, a permis de dissiper toute crainte d’insolvabilité, évitant ainsi une potentielle panique bancaire qui aurait pu exacerber la crise.
L’impact réglementaire et les conséquences pour Bybit
Face à l’ampleur du hack, les régulateurs du monde entier se sont penchés sur l’affaire, mettant en avant la nécessité d’un renforcement des contrôles de sécurité des exchanges.
Aux États-Unis, la SEC et le Trésor américain ont réitéré leur volonté d’établir des normes plus strictes pour les plateformes centralisées. En Europe, certaines discussions ont émergé concernant la possibilité de rendre obligatoire la mise en place de nouvelles mesures de protection pour les cold wallets et les systèmes multi-signatures.
Bybit, quant à lui, a dû redoubler d’efforts pour rassurer ses utilisateurs. La plateforme a promis la mise en place de nouvelles politiques de sécurité, incluant une refonte complète de son infrastructure et une surveillance accrue des transactions en temps réel.
Pour éviter une crise de confiance, la plateforme a également organisé plusieurs sessions AMA (Ask Me Anything) avec son PDG afin de répondre aux inquiétudes des clients.
L'impact du hack Bybit sur le Marché
L’ampleur du hack de Bybit a eu des répercussions immédiates sur le marché des cryptomonnaies.
Dès l’annonce de l’attaque, le cours de l’ETH a connu une chute brutale de plus de 10 % en quelques heures, passant sous la barre des 2 500 dollars pour la première fois en plusieurs mois. Cette panique s’est propagée à d’autres actifs, entraînant un effet domino sur l’ensemble du marché.
Les données de DefiLlama ont révélé une vague massive de retraits des plateformes centralisées, la confiance des investisseurs étant ébranlée.
En seulement 48 heures, plus de 6 milliards de dollars ont quitté les exchanges, reflétant une fuite vers des solutions auto-hébergées. Ce mouvement de panique a aussi touché le secteur de la finance décentralisée (DeFi), où plusieurs protocoles utilisant des actifs basés sur Ethereum ont vu leur liquidité fortement réduite.
Le token MNT du layer 2 Mantle, historiquement lié à Bybit, a plongé de 13 %, les investisseurs anticipant une réduction du soutien de l’exchange.
De nombreux analystes ont comparé cet événement à la faillite de FTX en 2022, bien que Bybit ait réussi à maintenir ses opérations. Cette différence a permis d’atténuer une crise plus profonde, mais elle a ravivé les débats sur la centralisation des exchanges et les risques systémiques associés.
Et maintenant ?
Les conséquences du hack de Bybit vont bien au-delà des pertes financières immédiates.
Les autorités judiciaires, notamment Interpol et le FBI, ont ouvert des enquêtes internationales pour tenter de retracer les auteurs de l’attaque et, si possible, récupérer une partie des fonds volés. Des coopérations entre plusieurs juridictions ont été mises en place, mais l’implication présumée du groupe Lazarus, affilié à la Corée du Nord, complique considérablement les efforts diplomatiques et légaux.
De plus, cet événement a ravivé le débat sur la régulation des exchanges centralisés. Des discussions sont en cours pour renforcer les obligations de transparence et de sécurité, avec notamment la possibilité de nouvelles directives imposant des audits de sécurité plus fréquents et l’obligation pour les plateformes d’avoir un fonds de réserve pour couvrir d’éventuelles pertes liées aux cyberattaques.
Pour Bybit, l’enjeu est désormais de regagner la confiance de ses utilisateurs et de l’industrie. La mise en place d’une nouvelle politique de cybersécurité et la promesse d’un renforcement des infrastructures de protection seront des éléments clés pour son avenir.
L’exchange devra également prouver sa résilience financière et continuer à démontrer sa solvabilité pour éviter un exode massif de capitaux.
À plus long terme, cette attaque pourrait aussi encourager une migration vers des solutions DeFi plus sécurisées et moins dépendantes de structures centralisées. Reste à voir si le secteur adoptera de nouvelles mesures pour prévenir de tels événements ou si l’histoire se répétera avec un autre acteur majeur du marché.
L’attaque contre Bybit constitue un tournant pour l’industrie des cryptomonnaies. Elle démontre que, malgré des avancées en matière de cybersécurité, les menaces restent omniprésentes et évoluent constamment. Cet événement devrait pousser l’ensemble de l’écosystème à repenser ses pratiques en matière de protection des actifs et à envisager des solutions plus résilientes face aux attaques sophistiquées.
Alors que l’exchange tente de se remettre de cet événement catastrophique, une question demeure : comment l’industrie peut-elle réellement se prémunir contre de telles attaques à l’avenir ?
