Les fonds volés par le piratage de plateformes de cryptomonnaies ont bondi de 21 % par rapport à l’année dernière pour atteindre 2,2 milliards de dollars en 2024, a révélé jeudi un rapport de la société d’analyse de la blockchain Chainalysis.
Le montant du piratage a dépassé le milliard de dollars pour la quatrième année consécutive, et le nombre d’incidents est passé de 282 en 2023 à 303, selon le rapport. Les pirates ont volé 1,8 milliard de dollars en 2023.
L’augmentation des vols de cryptomonnaies intervient alors que le bitcoin a bondi de 140 % cette année pour dépasser la barre des 100 000 dollars, attirant la participation institutionnelle et le soutien du président élu américain Donald Trump.
« Alors que le marché des actifs numériques est en plein essor, il est typique de voir l’utilisation illicite des cryptomonnaies croître en tandem », a déclaré Eric Jardine, responsable de la recherche sur la cybercriminalité chez Chainalysis.
Le piratage de cryptomonnaies reste une menace persistante. Au cours de la dernière décennie, quatre années ont vu plus d’un milliard de dollars de cryptomonnaies volées (2018, 2021, 2022 et 2023). 2024 marque la cinquième année à atteindre ce cap inquiétant, soulignant comment, à mesure que l’adoption et les prix des cryptomonnaies augmentent, le montant qui peut être volé augmente également.
En 2024, les fonds volés ont augmenté d’environ 21,07 % en glissement annuel (YoY) pour atteindre 2,2 milliards de dollars, et le nombre d’incidents de piratage individuels est passé de 282 en 2023 à 303 en 2024.
Il est intéressant de noter que l’intensité du piratage de cryptomonnaies a changé vers la moitié de l’année. Dans notre mise à jour de la criminalité de mi-année, nous avons noté que la valeur cumulée volée entre janvier 2024 et juillet 2024 avait déjà atteint 1,58 milliard de dollars, soit environ 84,4 % de plus que la valeur volée au cours de la même période en 2023. Comme nous le voyons dans le graphique ci-dessous, jusqu’à la fin du mois de juillet, l’écosystème était facilement sur la bonne voie pour une année qui pourrait rivaliser avec les années 2021 et 2022, qui ont généré plus de 3 milliards de dollars. Cependant, la tendance à la hausse de 2024 a considérablement ralenti après juillet, après quoi elle est restée relativement stable. Plus tard, nous explorerons une raison géopolitique potentielle à ce changement.
En termes de montant volé par type de plateforme victime, 2024 a également connu des tendances intéressantes. Au cours de la plupart des trimestres entre 2021 et 2023, les plateformes de finance décentralisée (DeFi) ont été les principales cibles des piratages de crypto-monnaies. Il est possible que les plateformes DeFi aient été plus vulnérables car leurs développeurs ont tendance à privilégier la croissance rapide et la mise sur le marché de leurs produits plutôt que la mise en œuvre de mesures de sécurité, ce qui en fait des cibles de choix pour les pirates informatiques.
Bien que la DeFi ait toujours représenté la plus grande part des actifs volés au premier trimestre 2024, les services centralisés ont été les plus ciblés au deuxième et au troisième trimestre. Parmi les piratages de services centralisés les plus notables figurent DMM Bitcoin (mai 2024 ; 305 millions de dollars) et WazirX (juillet 2024 ; 234,9 millions de dollars).
Ce changement d’orientation de la DeFi vers les services centralisés souligne l’importance croissante de sécuriser les mécanismes couramment exploités dans les piratages, tels que les clés privées. Les compromissions de clés privées ont représenté la plus grande part des crypto-monnaies volées en 2024, soit 43,8 %. Pour les services centralisés, il est essentiel de garantir la sécurité des clés privées, car elles contrôlent l’accès aux actifs des utilisateurs. Étant donné que les échanges centralisés gèrent des montants substantiels de fonds d’utilisateurs, l’impact d’une compromission de clé privée peut être dévastateur ; Il suffit de regarder le piratage de Bitcoin DMM de 305 millions de dollars, qui est l’un des plus gros exploits de crypto à ce jour, et qui pourrait avoir eu lieu en raison d’une mauvaise gestion des clés privées ou d’un manque de sécurité adéquate.
Après avoir compromis les clés privées, les acteurs malveillants blanchissent souvent les fonds volés en les canalisant via des échanges décentralisés (DEX), des services de minage ou des services de mixage pour brouiller la piste des transactions et compliquer le traçage. En 2024, nous pouvons constater que l’activité de blanchiment des pirates de clés privées diffère sensiblement de celle des pirates exploitant d’autres vecteurs d’attaque. Par exemple, après avoir volé des clés privées, ces pirates se sont souvent tournés vers des ponts et des services de mixage. Pour d’autres vecteurs d’attaque, les DEX étaient plus populaires pour le blanchiment.
En 2024, les pirates informatiques nord-coréens ont volé plus de crypto-monnaies que jamais auparavant
Les pirates informatiques liés à la Corée du Nord sont devenus célèbres pour leur savoir-faire sophistiqué et implacable, utilisant souvent des logiciels malveillants avancés, l’ingénierie sociale et le vol de crypto-monnaies pour financer des opérations parrainées par l’État et contourner les sanctions internationales. Les responsables américains et internationaux ont estimé que Pyongyang utilise les crypto-monnaies qu’il vole pour financer ses programmes d’armes de destruction massive et de missiles balistiques, mettant ainsi en danger la sécurité internationale. En 2023, les pirates informatiques affiliés à la Corée du Nord ont volé environ 660,50 millions de dollars au cours de 20 incidents ; en 2024, ce chiffre est passé à 1,34 milliard de dollars volés au cours de 47 incidents, soit une augmentation de 102,88 % de la valeur volée. Ces chiffres représentent 61 % du montant total volé pour l’année et 20 % du total des incidents.
Notez que, dans le rapport de l’année dernière, nous avons publié que la RPDC avait volé 1,0 milliard de dollars à travers 20 piratages. Après une enquête plus approfondie, nous avons déterminé que certains piratages importants que nous avions précédemment attribués à la RPDC ne sont probablement plus liés, d’où la diminution à 660,50 millions de dollars. Cependant, le nombre d’incidents reste le même, car nous avons identifié d’autres piratages plus petits attribués à la RPDC. Nous avons pour objectif de réévaluer constamment notre évaluation des événements de piratage liés à la RPDC à mesure que nous acquérons de nouvelles preuves on-chain et off-chain.
Malheureusement, il semble que les attaques cryptographiques de la RPDC deviennent plus fréquentes. Dans le graphique ci-dessous, nous avons examiné le temps moyen entre les attaques réussies de la RPDC en fonction de la taille de l’exploit et avons constaté une baisse d’une année sur l’autre des attaques de toutes tailles. En particulier, les attaques entre 50 et 100 millions de dollars et celles supérieures à 100 millions de dollars se sont produites beaucoup plus fréquemment en 2024 qu’en 2023, ce qui suggère que la RPDC s’améliore et accélère dans les exploits massifs. Cela contraste fortement avec les deux années précédentes, au cours desquelles ses exploits ont plus souvent généré des profits inférieurs à 50 millions de dollars.
Lorsque l’on examine l’activité de la RPDC par rapport à tous les autres piratages que nous avons mesurés, il est clair que la RPDC a été systématiquement responsable au cours des trois dernières années de la plupart des exploits de grande envergure. Il est intéressant de noter que la domination de la RPDC sur le haut de l’échelle des exploitations s’est poursuivie en 2024, mais on observe également une densité croissante de piratages de la RPDC pour des montants inférieurs, notamment autour de 10 000 dollars.
Certains de ces événements semblent être liés à des informaticiens nord-coréens, qui ont de plus en plus infiltré des entreprises de crypto et du Web3, et compromis leurs réseaux, leurs opérations et leur intégrité. Ces travailleurs utilisent souvent des tactiques, techniques et procédures (TTP) sophistiquées, telles que de fausses identités, des intermédiaires de recrutement tiers et la manipulation des opportunités de travail à distance pour y accéder. Dans une affaire récente, le ministère américain de la Justice (DOJ) a inculpé 14 ressortissants de la RPDC qui ont obtenu un emploi comme travailleurs informatiques à distance dans des entreprises américaines et ont généré plus de 88 millions de dollars en volant des informations exclusives et en extorquant leurs employeurs.
Pour atténuer ces risques, les entreprises doivent donner la priorité à une diligence raisonnable approfondie en matière d’emploi – y compris des vérifications des antécédents et des identités – tout en maintenant une hygiène rigoureuse des clés privées pour protéger les actifs critiques, le cas échéant.
Bien que toutes ces tendances suggèrent une année très active pour la RPDC, la plupart de ses exploits ont eu lieu au début de l’année, l’activité globale de piratage ayant stagné au troisième et au quatrième trimestre, comme le montre ce graphique précédent.
Fin juin 2024, le président russe Vladimir Poutine et le dirigeant nord-coréen Kim Jong Un se sont rencontrés à Pyongyang lors d’un sommet pour signer un pacte de défense mutuelle. Depuis le début de l’année, leur alliance grandissante a été marquée par la libération par la Russie de millions de dollars d’actifs nord-coréens auparavant gelés en vertu des sanctions du Conseil de sécurité de l’ONU. Dans le même temps, la Corée du Nord a déployé des troupes en Ukraine, fourni à la Russie des missiles balistiques et aurait demandé à Moscou des technologies spatiales, de missiles et de sous-marins de pointe.
Si l’on compare la valeur quotidienne moyenne perdue à cause des exploits de la RPDC avant et après le 1er juillet 2024, on constate une diminution significative du montant de la valeur volée. Plus précisément, comme le montre le graphique ci-dessous, les montants volés par la RPDC ont chuté d’environ 53,73 % après le sommet, tandis que les montants volés hors RPDC ont augmenté d’environ 5 %. Il est donc possible qu’en plus de réorienter ses ressources militaires vers le conflit en Ukraine, la RPDC – qui a considérablement accru sa coopération avec la Russie ces dernières années – ait également modifié son activité cybercriminelle.