Cyberattaques sur les plateformes crypto : Le cas Upbit et la Corée du Nord

Points clés

• Les hackers nord-coréens ont ciblé à plusieurs reprises les plateformes crypto sud-coréennes, Upbit subissant des vols importants.
• Ces attaques s'inscrivent dans une lutte géopolitique plus large, où la Corée du Nord utilise la cryptomonnaie volée pour financer ses programmes de missiles.
• Les plateformes crypto sud-coréennes font face à des défis majeurs pour sécuriser leurs actifs numériques contre des groupes de hackers soutenus par l'État comme le groupe Lazarus.
• Malgré une réglementation accrue, la menace persistante des cyber-adversaires nécessite une vigilance constante et l'innovation dans les mesures de sécurité.

WEEX Crypto News, 2025-11-27 09:13:21

Introduction

Ces dernières années, le marché de la cryptomonnaie en Corée du Sud est devenu l'un des principaux théâtres de la cyberguerre géopolitique, impliquant principalement des hackers nord-coréens. Connu pour son activité élevée d'investisseurs particuliers et ses primes de liquidité, surnommées "kimchi premium", l'industrie crypto sud-coréenne est devenue à la fois une cible lucrative et un point chaud vulnérable pour les cyber-adversaires soutenus par l'État. Cet article se penche sur les cyberattaques historiques et en cours, se concentrant principalement sur la plus grande plateforme, Upbit, qui a été victime à plusieurs reprises de ce que l'on pense être des efforts de piratage nord-coréens.

Une brève chronique des failles

Le parcours des plateformes en Corée du Sud, en particulier Upbit, ressemble à un cycle d'attaques et d'adaptations. L'incident le plus récent, le 27 novembre 2025, a marqué un nouveau chapitre dans cette saga. Upbit a signalé une faille importante où les attaquants ont exploité leur portefeuille crypto Solana, entraînant une perte d'environ 540 milliards de wons coréens, soit 36,8 millions de dollars. Ce n'était pas un incident isolé, mais une partie d'un schéma plus large d'intrusions cybernétiques sophistiquées, entraînant des pertes cumulées bien supérieures à 2 milliards de dollars aux prix historiques.

L'origine en 2017

L'année 2017 a marqué le début d'une série incessante de vols cybernétiques. Bithumb, une plateforme sud-coréenne majeure, a été l'une des premières cibles principales. Les hackers ont infiltré les ordinateurs des employés, extrayant des données personnelles d'environ 31 000 utilisateurs. Ces informations ont été utilisées pour mener des attaques de phishing, entraînant des pertes d'environ 32 millions de dollars. Les échecs ont mis en évidence des mesures de sécurité inadéquates et un manque d'hygiène cybernétique de base, ce qui a ouvert la voie à des attaques ciblées ultérieures.

Les raids sur les portefeuilles mi-2018

En 2018, les plateformes coréennes ont continué d'être des aimants pour la cybercriminalité. Coinrail a subi une faille entraînant une perte de 40 millions de dollars, les hackers ciblant les tokens ICO alors populaires plutôt que des cryptomonnaies plus stables comme Bitcoin ou Ethereum. Cet incident témoignait d'une diversification des stratégies de piratage, allant au-delà des actifs traditionnels pour exploiter la dynamique du marché. Comparez cela avec la perte de Bithumb d'environ 31 millions de dollars en tokens XRP le même mois, ce qui a ébranlé la confiance du marché et conduit à un examen réglementaire plus large.

Le casse d'Upbit en 2019

Un moment décisif fut le piratage d'Upbit en 2019, considéré comme le plus grand casse unique de l'époque en Corée du Sud. Environ 342 000 ETH ont été volés lors d'une manœuvre stratégique alors que les criminels profitaient de la réorganisation du portefeuille interne de la plateforme. Les enquêtes ont révélé des techniques de blanchiment complexes impliquant des chaînes de pelage, dispersant habilement l'ether volé à travers de nombreuses transactions et nations, compliquant les efforts de récupération.

Menaces et pertes continues

Les attaques contre des plateformes de taille moyenne comme GDAC en 2023, qui ont vu un vol de 13 millions de dollars, ont souligné les menaces persistantes auxquelles l'industrie est confrontée. Pour Upbit, l'histoire s'est répétée à la date exacte en 2025, avec des pertes faisant écho à leur traumatisme passé. Ce schéma de failles a montré que les cadres de conformité et de sécurité comme la Loi sur l'information financière, mis en œuvre après 2019, bien que nécessaires, sont insuffisants compte tenu de l'évolution des tactiques des hackers soutenus par l'État.

La primauté du groupe Lazarus

Au centre de bon nombre de ces attaques se trouve le groupe Lazarus, une faction de hackers notoire liée au Bureau général de reconnaissance de la Corée du Nord. Lazarus a gagné en notoriété grâce à des attaques médiatisées en dehors du domaine crypto, comme le piratage de Sony Pictures en 2014 et le casse de la Banque du Bangladesh en 2016. Depuis qu'ils se sont tournés vers les cryptomonnaies, leurs opérations ont exploité la surveillance réglementaire plus faible et les normes de sécurité variables de plateformes comme Upbit.

Pourquoi la Corée du Sud ?

Plusieurs facteurs font de la Corée du Sud une cible irrésistible pour de telles attaques :

• Tension géopolitique : Les attaques contre les plateformes sud-coréennes servent un double objectif pour la Corée du Nord : lever des fonds et créer de l'instabilité dans un État ennemi.
• Kimchi Premium : Ce phénomène, alimenté par l'enthousiasme local pour la crypto, conduit à d'importants pools de liquidité dans les portefeuilles chauds, présentant un environnement riche en cibles pour les hackers.
• Avantage culturel et linguistique : Partageant des liens linguistiques et culturels, les agents nord-coréens peuvent mener plus efficacement des attaques d'ingénierie sociale, augmentant leurs chances de succès.

Le canal de financement sombre de la crypto

Les ramifications de ces casses cybernétiques s'étendent au-delà de la perte financière. Selon des rapports internationaux, y compris ceux des Nations Unies, les cryptomonnaies volées ont fait partie intégrante du financement des développements de missiles de la Corée du Nord. Les estimations suggèrent que près de 50 % du financement de ces programmes provient de ces opérations cybernétiques illicites, une augmentation marquée par rapport aux estimations antérieures d'un tiers.

Blanchir le butin

Après le vol, les processus de blanchiment sont méticuleux et prolongés. Des techniques telles que les chaînes de pelage et les mixeurs comme Tornado Cash aident à obscurcir la source des fonds. Les plateformes prétendument exploitées par la Corée du Nord transforment ensuite les actifs, les vendant à prix réduit pour les convertir en monnaies moins traçables, se déplaçant souvent à travers des réseaux clandestins en Chine et en Russie.

Un problème mondial

Bien que les projecteurs soient braqués sur la Corée en raison d'incidents répétés, il ne s'agit que d'un sous-ensemble d'un problème mondial. Les cyberattaques parrainées par l'État sur les plateformes crypto ne se limitent pas à la Corée du Nord. Des entités liées à la Russie ont été accusées d'actes similaires, et des groupes iraniens ont ciblé des entreprises crypto israéliennes. Des cas comme la faille de Bybit en 2025 soulignent la portée étendue de ces menaces.

Vulnérabilités systémiques

Les nœuds centralisés, tels que les plateformes et les ponts cross-chain, soulignent les vulnérabilités systémiques au sein de l'écosystème crypto. Bien que les blockchain elles-mêmes puissent être sécurisées, les actifs doivent invariablement transiter par des passerelles centralisées, qui sont sujettes à des cyberattaques sophistiquées.

Conclusion

Le récit des plateformes sud-coréennes comme Upbit reflète la danse complexe entre les marchés crypto en plein essor et des adversaires déterminés soutenus par l'État. L'histoire est celle du chat et de la souris, où les plateformes s'efforcent de renforcer leurs défenses contre des hackers qui n'ont besoin de réussir qu'une seule fois. La bataille est symbolique des défis plus larges auxquels est confronté le domaine des actifs numériques, où l'innovation doit constamment suivre le rythme des menaces sophistiquées.

Améliorer les stratégies de défense

Pour les plateformes crypto du monde entier, cette lutte continue nécessite l'adoption de mesures de sécurité avancées. Cela inclut l'exploitation de structures de portefeuille multi-signature, l'amélioration de la formation des employés pour atténuer les risques de phishing et la promotion de collaborations transfrontalières pour un partage plus robuste des renseignements sur les menaces.

FAQ

Qu'est-ce que le "kimchi premium" ?

Le "kimchi premium" fait référence à la différence de prix des cryptomonnaies entre les plateformes sud-coréennes et mondiales. Il survient souvent en raison d'une demande locale plus élevée et d'obstacles à l'accès aux marchés internationaux, créant des pools de liquidité qui attirent les hackers.

Qui est le groupe Lazarus ?

Le groupe Lazarus est une organisation de hackers parrainée par l'État liée au Bureau général de reconnaissance de la Corée du Nord. Ils sont connus pour leurs casses cybernétiques, qui ciblent à la fois la finance traditionnelle et les cryptomonnaies pour financer des projets nationaux.

Comment les plateformes crypto tentent-elles de prévenir les piratages ?

Les plateformes utilisent plusieurs couches de sécurité telles que des portefeuilles froids pour la majorité des fonds, l'authentification à deux facteurs pour les comptes utilisateurs, des audits de sécurité réguliers et des protocoles de chiffrement avancés pour se protéger contre les accès non autorisés.

Comment la Corée du Nord utilise-t-elle les fonds crypto volés ?

Les cryptomonnaies volées sont acheminées vers les projets prioritaires de la Corée du Nord, y compris les programmes de missiles et nucléaires, car elles offrent une source de financement semi-anonyme qui contourne les sanctions internationales et la surveillance bancaire.

Que peuvent faire les investisseurs crypto individuels pour se protéger ?

Les individus doivent utiliser des portefeuilles sécurisés, activer l'authentification à deux facteurs, éviter de stocker de grandes quantités sur des plateformes, gérer soigneusement leurs mots de passe et rester informés des menaces de phishing potentielles pour protéger leurs actifs crypto.

En comprenant et en naviguant dans ces dynamiques complexes, les parties prenantes peuvent contribuer à un écosystème crypto plus sûr, malgré les menaces persistantes et en évolution.