Piratage de HTX : Le groupe Lazarus est à l’origine de ce vol et commence à blanchir les fonds volés

Piratage de HTX ! En novembre dernier, la plateforme d‘échange HTX et le pont cross-chain Heco ont été la cible d’une attaque coordonnée. Les hackers ont réussi à dérober la somme totale de 112,5 millions de dollars. Après une investigation de plusieurs mois, Elliptic a réussi à remonter jusqu’à l’identité de l’assaillant, qui s’est avéré être le groupe Lazarus. Revisitons cette affaire.

Le groupe Lazarus à l’origine du piratage de HTX et Heco

Suite à l’attaque massive subie par HTX et Heco, de nombreuses entités ont ouvert des enquêtes. Rapidement, plusieurs internautes ont comparé les schémas de transactions avec ceux observés lors de précédents piratages. L’analyse de ces schémas a révélé une forte similitude avec ceux utilisés par le groupe de hackers Lazarus Group. Pour rappel, Lazarus est un groupe de hackers nord-coréen très actif dans le domaine des cryptomonnaies. Ils sont responsables du vol de centaines de millions de dollars et opèrent depuis plusieurs années.

Le 14 mars, les équipes d’Elliptic, une entreprise spécialisée dans l‘analyse de la blockchain, ont publié un rapport sur le piratage de HTX. Ce rapport intervient juste après un mouvement sur le portefeuille qui contenait les fonds dérobés à HTC et Heco.

Activité sur les fonds volés à HTX

Suite au vol des fonds en novembre dernier, les pirates ont rapidement converti ceux-ci en ETH. L’adresse contenant les fonds est ensuite demeurée inactive jusqu’au 13 mars.

Sans grande surprise, les pirates ont entrepris de blanchir les fonds volés en se tournant vers le protocole d’anonymisation Tornado Cash. Au total, 60 transactions ont été effectuées et 23 millions de dollars en ETH ont été transférés sur Tornado Cash.

Comme l’a souligné Elliptic, l’utilisation de Tornado Cash est assez surprenante. En effet, depuis que le Trésor américain a inscrit Tornado Cash sur sa liste noire, le protocole n’était plus utilisé par Lazarus.

Lazarus préférait plutôt utiliser des mélangeurs tels que Sinbad ou Blender. Cependant, ces deux services ont été saisis par les autorités américaines et mis hors ligne. En revanche, malgré son inscription sur la liste noire, le protocole Tornado Cash, en raison de sa nature décentralisée, demeure insaisissable.

En 2023, les pratiques de Lazarus avaient en effet évolué, passant de l’utilisation de Tornado Cash aux mélangeurs. Ces derniers ont également souvent recours aux ponts cross-chain pour rendre la traque des fonds plus complexe.

Ce changement de comportement et le retour à l’utilisation de Tornado Cash reflètent probablement le nombre limité de mélangeurs à grande échelle actuellement en activité, en raison du démantèlement par les forces de l’ordre de services tels que Sinbad et Blender.