Upbit détecte une faille dans son portefeuille après un piratage de 30 M$

Upbit a publié une mise à jour concernant le récent piratage, reconnaissant que des lacunes dans ses processus de sécurité ont contribué à l’incident. L’entreprise assume l’entière responsabilité et affirme qu’« il n’y a pas de place pour des excuses ».

Upbit détecte une faiblesse dans le système de portefeuille

Dans sa dernière communication, Upbit indique que lors de l’enquête sur le vol de 30 millions de dollars découvert le 27 novembre, son équipe a examiné un vaste ensemble de transactions issues des portefeuilles de la plateforme. C’est au cours de cette analyse qu’une faille permettant de déduire des clés privées a été identifiée.

Bien que la vulnérabilité ait désormais été corrigée, l’exchange précise qu’elle n’a été détectée qu’au prix d’un examen technique approfondi, lancé après l’observation de retraits inhabituels provenant de portefeuilles liés à Solana.

Nous avons analysé de nombreuses transactions de portefeuilles Upbit rendues publiques sur la blockchain et identifié une faille de sécurité qui nous a permis de déduire les clés privées, un type de mot de passe donnant accès aux adresses et aux actifs du portefeuille. Cette vulnérabilité a depuis été corrigée.

Oh Kyung-seok, PDG de Dunamu

Afin de prévenir tout nouveau dommage, Upbit a suspendu l’ensemble des dépôts et retraits, et a immédiatement commencé à suivre et geler les actifs transférés hors de la plateforme. Les services ne reprendront qu’une fois que l’exchange sera certain de la stabilité complète de son système.

Impact sur les actifs et remboursement

Selon Upbit, la violation a concerné l’équivalent de 44,5 milliards de wons (30 M$). Sur cette somme, 38,6 milliards de wons (26 M$) appartenaient aux clients, dont environ 2,3 milliards de wons (1,5 M$) ont pu être gelés. Les fonds propres de l’exchange représentaient les 5,9 milliards de wons restants. Upbit affirme avoir déjà remboursé intégralement tous les clients affectés à l’aide de ses propres réserves.

Une précédente couverture de Cointribune rappelait que l’intrusion provenait d’un hot wallet d’Upbit, tandis que le cold wallet était resté intact. L’activité suspecte a été détectée à 4 h 42, impliquant plusieurs tokens de l’écosystème Solana : Solana (SOL), Jupiter (JUP), Magic Eden (NFT), USDC, ainsi que d’autres actifs associés.

Violation d’Upbit liée à Lazarus

Upbit a déclenché des procédures d’urgence à l’échelle de l’entreprise et réévalue toute son infrastructure de sécurité. La plateforme rappelle que la protection des fonds des clients reste sa priorité absolue, tout en soulignant que cet incident illustre la vulnérabilité permanente des plateformes face aux menaces sophistiquées.

Par ailleurs, selon l’agence Yonhap News, le groupe nord-coréen Lazarus serait lié à l’attaque, d’après des sources gouvernementales et sectorielles. Les autorités prévoient désormais une inspection sur place pour approfondir l’enquête. Lazarus avait déjà été suspecté lors d’un précédent piratage visant Upbit en 2019, au cours duquel 58 milliards de wons d’Ethereum avaient été dérobés ; les enquêteurs notent que les techniques utilisées présentent de fortes similitudes avec celles observées cette fois-ci.