Ripple partage ses informations sur les hackers nord-coréens avec le secteur crypto

Ripple partage ses connaissances internes sur les hackers nord-coréens avec le secteur de la cryptomonnaie. Cette décision a été annoncée par l’entreprise lundi. Elle marque un changement de stratégie dans la manière dont le secteur gère les menaces en provenance de Corée du Nord.

Les attaques ciblent désormais les individus plutôt que le code

Entre 2022 et 2024, la majorité des attaques DeFi visaient des vulnérabilités dans le code. Les hackers exploitaient des erreurs dans les contrats intelligents, leur permettant de dérober des millions en cryptomonnaies en peu de temps.

Avec l’amélioration de ces sécurités, le focus a changé. Les attaques ciblent de plus en plus les personnes plutôt que les technologies.

Selon Ripple, les hackers nord-coréens tentent activement de s’infiltrer dans les entreprises de cryptomonnaie. Ils postulent, passent des entretiens et établissent progressivement la confiance grâce aux discussions et réunions, avant de frapper.

Le danger réside justement dans cette approche : l’attaquant est déjà à l’intérieur. Ainsi, ces opérations échappent souvent aux systèmes de sécurité traditionnels.

L’attaque contre Drift : une infiltration sur plusieurs mois

Un exemple clair est l’attaque contre la plateforme DeFi Drift Protocol en avril. Aucune vulnérabilité dans le code n’a été trouvée et aucun contrat intelligent n’a été exploité.

À la place, les hackers nord-coréens ont infiltré l’organisation pendant des mois. Ils ont gagné la confiance des employés, installé discrètement des logiciels malveillants et ainsi accédé à des systèmes sensibles.

Lorsque 285 millions de dollars ont finalement été dérobés, aucun système d’alarme ne s’est déclenché. L’attaque provenait de l’intérieur et est restée sous le radar.

Cette reconstitution est conforme aux informations de Ripple et de Crypto ISAC, le groupe de collaboration pour l’échange d’informations dans le secteur crypto.

Ripple partage les profils des comptes suspects

Désormais, Ripple partage avec Crypto ISAC des informations de profil pour aider à identifier plus rapidement ce type d’attaques. Cela inclut les profils LinkedIn, adresses e-mail, localisations et numéros de téléphone.

Grâce à ces données, les équipes de sécurité peuvent établir des liens entre les candidats suspects. Ainsi, une personne refusée par une entreprise peut être immédiatement reconnue si elle réessaie ailleurs.

« La sécurité la plus forte en crypto est une sécurité partagée », a écrit Ripple sur X. « Un attaquant refusé par une entreprise postule la même semaine dans plusieurs autres. Sans partage d’informations, chaque entreprise repart de zéro. »

Bataille juridique autour des Ethereum gelés

L’influence du groupe Lazarus, une organisation de hackers nord-coréens notoire, s’étend désormais au-delà des cyberattaques. Elle affecte aussi les procédures juridiques.

Un avocat représentant les victimes du terrorisme nord-coréen a envoyé lundi une mise en demeure à Arbitrum DAO. Selon lui, les 30 765 Ethereum gelés après l’attaque sur Kelp appartiennent juridiquement à la Corée du Nord. Cela permettrait, selon la législation américaine, d’utiliser ces fonds pour indemniser les victimes.

La plateforme de prêt Aave s’oppose à ce raisonnement et soutient Arbitrum. Selon la plateforme, les cryptos volées restent la propriété du propriétaire initial. « Un voleur ne devient pas propriétaire légitime en volant », explique-t-elle.

Lors de l’attaque sur Kelp, environ 292 millions de dollars en Ethereum ont été dérobés, une opération également attribuée au groupe Lazarus. Avec l’attaque contre Drift, le montant total lié à ce groupe en un mois dépasse le demi-milliard de dollars.