Les régulateurs et analystes sud-coréens examinent la réaction de Binance au piratage d’Upbit alors qu’ils recherchent de meilleures protections mondiales contre les vols de crypto-monnaies rapides.
Summary
Binance n’a gelé qu’une fraction des fonds piratés d’Upbit
Selon les enquêteurs, seuls 17% des actifs signalés pour gel par Upbit et la police ont effectivement été bloqués, ont rapporté les médias locaux vendredi. De plus, les analystes en sécurité ont déclaré que le groupe de hackers a exécuté une stratégie de blanchiment élaborée le matin du 27 novembre, dispersant rapidement les actifs volés à travers plus d’un millier de portefeuilles.
Les attaquants ont continuellement divisé les fonds en portions plus petites et les ont déplacés à travers plusieurs chaînes. Ils ont également utilisé des ponts de tokens et des échanges pour obscurcir leur trace sur la chaîne. Cependant, les autorités ont déclaré que la plupart des actifs blanchis ont finalement atterri dans des portefeuilles de service sur Binance, soulignant le rôle crucial des grandes bourses centralisées dans la réponse aux incidents.
Upbit et la police ont demandé un gel immédiat d’environ 470 millions de won (environ 370 000 $) de Solana confirmés comme ayant atteint la bourse. Cela dit, Binance n’a gelé que 80 millions de won (environ 75 000 $), affirmant qu’il nécessitait une vérification supplémentaire avant d’imposer des restrictions plus larges sur les fonds.
L’action limitée a été confirmée vers minuit le jour de l’incident, environ 15 heures après la demande initiale. Interrogé par le diffuseur coréen KBS sur la portée étroite et le retard du gel, Binance a refusé de commenter les détails, invoquant sa politique sur les enquêtes en cours. La société a seulement déclaré qu’elle « continue de coopérer avec les autorités et partenaires concernés conformément aux procédures appropriées », une déclaration qui a laissé de nombreuses questions sans réponse.
Les experts de Binance appellent à des mécanismes de gel mondiaux plus rapides et coordonnés
Cette explication n’a pas satisfait plusieurs experts en Corée du Sud. Cho Jae-woo, directeur de l’Institut de Recherche sur la Blockchain de l’Université Hansung, a soutenu qu’une intervention rapide est essentielle pour minimiser les pertes des utilisateurs lors d’attaques de cette ampleur. Pour prévenir les dommages causés par le piratage, a-t-il dit, un gel initial rapide est vital, mais les bourses invoquent souvent les risques de litige comme raison d’hésiter.
De plus, Cho a suggéré que l’industrie devrait explorer la mise en place d’une ligne d’urgence mondiale entre les bourses ou un organisme coordonné habilité à imposer des gels immédiats en situation de crise. Dans ce contexte, il a déclaré qu’une réponse de gel de Binance plus standardisée et des protocoles similaires sur d’autres plateformes pourraient limiter considérablement les dommages des futures exploitations inter-chaînes.
Les enquêteurs disent que la plupart des actifs volés ont depuis été convertis de Solana à Ethereum. Selon leur analyse, ce changement visait probablement à améliorer la liquidité, étant donné les marchés plus profonds d’Ethereum et la disponibilité plus large de lieux de trading pour l’actif.
Outils de confidentialité Railgun et blanchiment à travers les chaînes
Les analystes on-chain suivant le piratage d’Upbit ont mis en évidence l’utilisation de Railgun, un système de contrat intelligent axé sur la confidentialité. Un post largement partagé a noté que « Le hacker d’Upbit blanchit des fonds via Railgun et a passé leur ‘preuve ZK d’innocence' » et a décrit le mécanisme comme un système automatisé qui vérifie si une adresse appartient à un bon acteur en utilisant plusieurs fournisseurs de données judiciaires.
Cependant, le même commentaire a ajouté que les utilisateurs peuvent s’appuyer sur l’explorateur de Railgun pour vérifier les adresses, illustrant comment les outils de confidentialité, les preuves à connaissance zéro et les couches de conformité peuvent coexister de manière complexe. Cela dit, l’incident souligne également comment le blanchiment zk de Railgun et des outils similaires peuvent compliquer l’application de la loi lorsque les fonds se déplacent rapidement entre les chaînes et les mixeurs.
Les chercheurs en sécurité disent que les tactiques des hackers, y compris le blanchiment à travers les chaînes, les échanges de tokens et les sauts de ponts, ont rendu le gel rapide encore plus crucial. De plus, ils soutiennent que sans une meilleure coordination entre les principales bourses, le suivi des fonds volés de Solana après qu’ils aient atteint des hubs à haute liquidité comme Binance ou d’autres lieux restera difficile.
Révision du stockage à froid d’Upbit après le vol de 44,5 milliards de won
Comme précédemment rapporté, Upbit transfère presque tous les actifs des clients dans un stockage à froid après que des hackers aient volé 44,5 milliards de won (environ 30 millions de dollars) de son portefeuille chaud Solana. La violation a déclenché l’une des réponses de sécurité les plus fortes à ce jour par une grande bourse, l’opérateur Dunamu accélérant une révision complète de la garde.
Dunamu a déclaré que la plateforme augmentera son ratio de portefeuille froid à 99% et réduira l’exposition des portefeuilles chauds à pratiquement zéro. De plus, cela va bien au-delà de l’exigence légale de la Corée du Sud selon laquelle 80% des fonds des utilisateurs doivent être stockés hors ligne, positionnant le modèle d’Upbit comme l’un des plus conservateurs sur le marché domestique.
La bourse détenait déjà 98,33% des actifs en stockage à froid à la fin octobre, le plus élevé parmi les plateformes locales. Cependant, la violation a poussé la direction à se rapprocher encore plus d’un système entièrement basé sur le froid. En termes pratiques, ce grand mouvement de stockage à froid d’Upbit est conçu pour limiter fortement la quantité de crypto accessible aux attaquants en ligne à tout moment donné.
Enquêtes sur le piratage d’Upbit, Binance et soupçons sur le groupe Lazarus
Pendant ce temps, les autorités sud-coréennes ont lancé une enquête formelle sur le piratage de la bourse Upbit. Les rapports locaux ont cité des évaluations de renseignement préliminaires qui relieraient l’intrusion au groupe Lazarus de Corée du Nord, une organisation de cybercriminalité déjà liée à plusieurs vols majeurs de crypto-monnaies ces dernières années.
Cependant, les responsables n’ont pas encore publié de preuves publiques définitives soutenant les allégations contre le groupe Lazarus. Les enquêteurs continuent de suivre les flux de fonds sur Solana et Ethereum, y compris les transferts via des outils de confidentialité, alors qu’ils tentent de construire une image plus complète de l’opération et de ses bénéficiaires finaux.
En résumé, l’incident d’Upbit a révélé des lacunes critiques dans la coordination mondiale des échanges, des gels retardés à la surveillance limitée des chaînes croisées. Alors que les régulateurs, les bourses et les chercheurs étudient les retombées, la pression monte pour des mécanismes internationaux plus agiles qui peuvent arrêter les fonds volés en quelques minutes, et non en heures, lors de la prochaine attaque crypto à grande échelle.

