Les données on-chain relient les piratages de KelpDAO (292 M$) et Humanity (21 M$) aux mêmes attaquants

Les enquêteurs on-chain ont confirmé que l'exploit du bridge KelpDAO de 292 millions de dollars et le vol de Humanity Protocol de 21 millions de dollars ont été perpétrés par les mêmes attaquants liés à la Corée du Nord.

Les analystes on-chain ont retracé 23,6 millions de dollars de fonds volés à Humanity Protocol jusqu'à des portefeuilles Bitcoin qui détiennent également les produits du piratage du bridge KelpDAO de 292 millions de dollars survenu en avril, confirmant que les deux attaques étaient l'œuvre du même groupe.

« Les fonds ont atterri dans les mêmes portefeuilles », a déclaré l'analyste blockchain Specter, citant des preuves on-chain montrant que l'attaquant de Humanity a transféré 15 403 ETH vers le réseau Bitcoin, où ils se sont mélangés aux produits provenant de l'exploit de KelpDAO.

L'attaque de KelpDAO le 18 avril a vu des pirates compromettre les nœuds RPC internes exploités par LayerZero Labs, trompant le contrat du bridge Ethereum en libérant 116 500 rsETH sans la brûlure de jetons correspondante sur la chaîne source. Chainalysis a attribué l'exploit au groupe Lazarus de la Corée du Nord. La violation de Humanity Protocol le 8 juin a suivi une méthode différente mais a abouti à la même destination. Un e-mail de phishing imitant la bourse coréenne Bithumb a donné aux attaquants un accès à distance au bureau à une machine Windows d'un directeur de l'entreprise, selon un rapport d'incident de Quantstamp préparé pour Humanity Protocol le 11 juin. L'attaquant a copié les clés du portefeuille MetaMask et les a utilisées pour frapper et vendre des jetons $H non autorisés sur Ethereum et BNB Smart Chain, provoquant l'effondrement du jeton d'environ 89 %. Quantstamp a décrit l'intrusion comme « caractéristique des intrusions de la RPDC ».

Le lien confirmé entre les deux attaques — séparées de deux mois et ciblant des infrastructures totalement différentes — signale une campagne coordonnée et soutenue par un État contre les protocoles DeFi et d'identité crypto, augmentant les enjeux pour les audits de sécurité et les coûts d'assurance dans tout le secteur.

Comment les fonds ont été retracés

Specter a identifié que l'attaquant de Humanity Protocol a déplacé 15 403 ETH, d'une valeur d'environ 23,6 millions de dollars, vers une nouvelle adresse Ethereum avant de transférer les fonds sur Bitcoin. Là, les actifs volés se sont mélangés aux produits de l'exploit de KelpDAO — une technique bien documentée du groupe Lazarus consistant à consolider les fonds provenant d'opérations distinctes dans des portefeuilles Bitcoin unifiés avant de les acheminer via des mixeurs et des comptoirs de gré à gré.

La seule attaque de KelpDAO a drainé environ 292 millions de dollars en rsETH, bien que le Conseil de sécurité d'Arbitrum ait gelé plus de 30 000 ETH des fonds en aval de l'attaquant, et que la pause d'urgence de KelpDAO ait empêché le drainage de 95 millions de dollars supplémentaires. Les produits aux adresses connues de l'attaquant de Humanity Protocol valent plus de 21 millions de dollars en ETH, selon les conclusions de Quantstamp.

Des complications juridiques entravent la récupération

Le lien confirmé avec la Corée du Nord ajoute une complexité juridique aux efforts de récupération. Des plaignants détenant plus de 877 millions de dollars de jugements impayés des tribunaux américains contre la Corée du Nord ont signifié à l'Arbitrum DAO un avis de restriction le 30 avril, cherchant à saisir environ 30 766 ETH — soit environ 71 millions de dollars — de fonds gelés liés à l'exploit de KelpDAO. Les plaignants ont fait valoir que, puisque les fonds étaient liés à la Corée du Nord, ils avaient le droit de saisir les actifs liés à ce pays dans le cadre de jugements impayés.

Un tribunal a ensuite approuvé un vote de gouvernance d'Arbitrum visant à transférer les fonds gelés de KelpDAO vers Aave, qui s'était retrouvée avec une créance douteuse estimée entre 190 et 230 millions de dollars après que l'exploit a déclenché plus de 8 milliards de dollars de retraits d'utilisateurs. La manière dont les plaignants réagiront au lien on-chain confirmé entre les deux attaques reste floue, mais les pertes de Humanity Protocol pourraient faire l'objet de litiges similaires.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.