Le groupe Lazarus soupçonné d'avoir volé 30 millions USD à Upbit

Source : CryptoValleyJournal Titre original : Le groupe Lazarus suspecté d'avoir volé 30 millions USD à Upbit Lien original : https://cryptovalleyjournal.com/hot-topics/news/lazarus-group-suspected-of-stealing-30-million-usd-from-upbit/ Le groupe de hackers notoire Lazarus de la Corée du Nord est suspecté d'avoir volé environ 44,5 milliards de wons ( environ 30,4 millions de dollars ) d'Upbit – de loin le plus grand échange de crypto-monnaies en Corée du Sud.

L'échange a signalé des retraits inhabituels d'actifs cryptographiques basés sur Solana et a immédiatement suspendu tous les dépôts et retraits. Selon l'agence de presse sud-coréenne Yonhap, les autorités préparent une inspection sur place à Upbit, car le schéma d'attaque ressemble à celui de 2019 – lorsque 342 000 ETH ( aujourd'hui d'une valeur de près de 1 milliard USD ) ont été volés à l'échange. La police sud-coréenne a déjà conclu en 2024 que le groupe Lazarus était derrière ce vol. Au moins 24 jetons basés sur Solana ont été drainés d'un portefeuille chaud compromis. Les données on-chain montrent qu'un portefeuille lié à l'attaque a déjà commencé à échanger Solana contre USDC et à déplacer des fonds via des ponts vers Ethereum.

Tactique prouvée : ingénierie sociale au lieu d'une exploitation technique

La méthode suspectée des attaquants suit un schéma familier : au lieu d'attaquer directement les serveurs, les hackers ont probablement compromis des comptes administrateurs ou ont usurpé l'identité d'administrateurs pour autoriser des transactions. Cette méthode d'ingénierie sociale s'est avérée extrêmement rentable pour le groupe Lazarus.

L'affaire actuelle d'Upbit rejoint une longue série de vols de crypto-monnaies très médiatisés. En 2025 seulement, des hackers nord-coréens ont volé plus de 2 milliards de dollars en crypto-monnaies – le total annuel le plus élevé jamais enregistré. La majorité de cela provient du vol de 1,46 milliard de dollars sur la plateforme d'échange d'une certaine plateforme de trading en février 2025. D'autres attaques ont visé LND.fi, WOO X et Seedify.

Regarder plus en arrière révèle l'échelle complète : le groupe Lazarus est accusé de vols totalisant entre 5 et 6 milliards de dollars de 2017 à 2025. Parmi les cas les plus spectaculaires figurent le piratage du Ronin Bridge en mars 2022 impliquant 625 millions de dollars, et l'attaque de 100 millions de dollars sur le Harmony Horizon Bridge en juin 2022. Dans les deux cas, le FBI a confirmé l'implication du groupe de hackers nord-coréen. De plus, les auteurs ont systématiquement utilisé le mixeur Tornado Cash pour le blanchiment d'argent, faisant transiter plus de 555 millions de dollars de ces deux piratages par ce service.

Financement de l'État par la cybercriminalité : le modèle économique de la Corée du Nord

Ce qui distingue ces attaques de la cybercriminalité typique, c'est leur dimension géopolitique. Le gouvernement nord-coréen s'appuie sur un large éventail d'activités illicites, y compris la cybercriminalité, pour générer des revenus pour ses programmes d'armement de destruction massive et de missiles. Des hackers liés à l'État ont pour mission explicite d'obtenir des devises étrangères par des moyens illégaux.

Les chiffres sont alarmants. Les cryptomonnaies volées pourraient représenter jusqu'à 13 % du PIB de la Corée du Nord. Certaines estimations suggèrent que plus de la moitié du budget pour le développement de missiles est financée par la cybercriminalité. Un rapport de l'équipe de surveillance des sanctions multilatérales des Nations Unies, intitulé “La violation et l'évasion des sanctions de l'ONU par la RPDC grâce aux activités des travailleurs en cybersécurité et en technologie de l'information”, souligne que les activités cybernétiques malveillantes de la Corée du Nord constituent une menace pour la sécurité internationale.

En novembre 2025, le Département du Trésor des États-Unis a réagi avec des sanctions contre huit individus et deux organisations impliqués dans le blanchiment des produits du cybercrime nord-coréen. Pendant ce temps, les tactiques du groupe Lazarus ont évolué : tandis que les attaques précédentes exploitaient souvent des vulnérabilités techniques au sein de l'infrastructure crypto, la plupart des piratages en 2025 ont été réalisés par le biais d'ingénierie sociale. Ce changement complique considérablement la défense, car les humains restent le maillon le plus faible de la chaîne de sécurité.

La dominance d'Upbit et la question de la sécurité des échanges

L'attaque frappe au point le plus vulnérable de l'écosystème crypto de la Corée du Sud. Selon le régulateur financier sud-coréen FSS, Upbit contrôle 71,6 % du volume de trading crypto domestique – traitant 833 trillions de wons (642 milliards de dollars) en transactions crypto au cours des six premiers mois de 2025 seulement. Certaines sources citent même une part de marché de plus de 80 %. Plus de 2 milliards de dollars échangent des mains sur la plateforme chaque jour.

Le prochain plus grand concurrent, Bithumb, n'atteint que 25,8 % de part de marché. Des échanges plus petits tels que Coinone, Korbit et GOPAX contribuent ensemble à moins de 5 % du volume du marché. Cette concentration extrême rend Upbit une cible très attrayante pour les hackers soutenus par l'État et soulève des questions fondamentales sur l'architecture de sécurité des échanges centralisés.

Upbit a réagi immédiatement : l'opérateur Dunamu a annoncé que tous les utilisateurs concernés seraient entièrement indemnisés et que les transactions seraient temporairement suspendues. Mais l'incident montre à quel point même les plateformes leaders du marché peuvent être fragiles. Deux jours avant le piratage, le géant technologique sud-coréen Naver a annoncé son intention d'acquérir Upbit pour 10,3 milliards de dollars – la plus grande acquisition de l'histoire de la Corée du Sud. Le piratage retardera probablement la transaction et intensifiera les procédures de diligence raisonnable.

Impuissance réglementaire face aux attaques sponsorisées par l'État

L'affaire Upbit met en lumière un dilemme fondamental. Même si les échanges se conforment à des exigences réglementaires strictes, ils restent vulnérables à des attaquants hautement professionnels, financés par l'État. L'arsenal cybernétique de la Corée du Nord a été construit au fil des ans et possède des ressources bien au-delà de celles des acteurs criminels ordinaires. L'application de la loi transfrontalière atteint ses limites lorsqu'il s'agit de confronter ces opérateurs soutenus par l'État. Bien que les autorités occidentales puissent imposer des sanctions et démanteler des réseaux de blanchiment, le régime de Pyongyang lui-même reste intouchable. Les fonds volés circulent par le biais de services de mélange complexes et d'échanges décentralisés avant d'être convertis en devises fiat ou utilisés pour des achats d'armes.

Pour les investisseurs et l'industrie, cela a des implications concrètes. Détenir de grands soldes en crypto-monnaies sur des échanges centralisés comporte un risque qu'aucune réglementation ne peut entièrement éliminer. Les solutions de garde institutionnelle avec des portefeuilles multi-signatures, des modules de sécurité matériels et des systèmes de stockage à froid géographiquement répartis deviennent la norme pour les participants professionnels du marché.

Prochaines étapes pour Upbit

Les autorités sud-coréennes ont annoncé une inspection sur site chez Upbit dans les prochains jours. L'accent sera mis sur la manière dont les attaquants ont eu accès aux comptes administrateurs et si les protocoles de sécurité internes ont été violés. Si la négligence ou une architecture de sécurité inadéquate peut être prouvée, Upbit fait face à des sanctions importantes.

Pour l'acquisition prévue par Naver, le piratage est un revers. Certains analystes s'attendent à ce que la transaction soit réévaluée, Naver pouvant éventuellement pousser pour un prix d'achat plus bas. Si l'acquisition échoue complètement, cela pourrait fondamentalement remodeler le paysage fintech de la Corée du Sud et donner aux petites bourses une chance de regagner des parts de marché. À l'international, cette affaire est susceptible d'accroître la pression sur les services de mixage et les pièces de confidentialité. Les États-Unis et l'UE ont déjà annoncé des plans pour renforcer la réglementation des outils de blanchiment d'argent.

Le piratage d'Upbit est plus qu'une simple entrée dans la longue liste des vols de cryptomonnaies. Il montre que la cybercriminalité parrainée par l'État est devenue une menace sérieuse pour l'industrie, et que ni la réglementation ni la technologie à elles seules ne peuvent fournir une solution. La réponse réside dans une combinaison de normes de sécurité robustes, de coopération internationale en matière d'application de la loi et d'une remise en question fondamentale de la garde des actifs numériques.