Les autorités sud-coréennes affirment qu’un groupe de piratage informatique soutenu par l’État nord-coréen a probablement volé environ 44,5 milliards de wons, soit environ 30 millions de dollars, au plus grand échange cryptographique du pays, Upbit. La violation a touché un portefeuille chaud Solana le 27 novembre, selon l’opérateur Dunamu d’Upbit.
Vers 4 h 42, heure locale, la bourse a détecté des retraits anormaux de jetons basés sur Solana et a rapidement suspendu les dépôts et les retraits sur le réseau. Les actifs volés comprenaient SOL, USDC et un panier d’autres jetons de l’écosystème Solana qui ont été envoyés vers un portefeuille externe non contrôlé par la bourse.
Peu de temps après l’incident, Yonhap et d’autres médias locaux ont rapporté que les enquêteurs avaient vu des « empreintes digitales nord-coréennes » sur l’attaque. Les responsables ont déclaré que l’opération présente des similitudes avec le piratage Upbit de 2019, uns en vedette dans notre couverture, lorsque 58 milliards de wons d’Ethereum ont disparu dans une affaire liée plus tard au groupe nord-coréen Lazarus.
La cyberunité de la police sud-coréenne, les régulateurs financiers et les agences de renseignement mènent des inspections sur place à Dunamu. Ils traquent les flux liés à environ 44,5 milliards de wons de crypto volés et examinent si des informations d’identification d’administrateur compromises ou usurpées ont ouvert la porte, plutôt qu’une rupture directe des serveurs principaux d’Upbit.
Upbit rembourse 30 millions de dollars de pertes alors qu’une piste nord-coréenne présumée apparaît
Upbit a déclaré avoir déjà remboursé tous les actifs des membres concernés à partir de ses propres réserves et absorbé une perte d’entreprise d’environ 5,9 milliards de won. Il a également signalé avoir gelé une partie des fonds volés avec l’aide d’équipes de projet et de sociétés d’analyse de blockchain, tout en transférant les avoirs restants de Solana dans un entrepôt frigorifique.
Au fur et à mesure que l’enquête se déroule, les traces de la blockchain montrent que l’attaquant a rapidement échangé plusieurs jetons Solana contre des Solana et SOL enveloppés, puis a transféré le produit sur environ 185 portefeuilles avant de se connecter à Ethereum. Ce schéma, selon les analystes, correspond à des itinéraires de blanchiment antérieurs liés à Lazarus.
La Corée du Sud cible quatre autres échanges après l’affaire Upbit
Pendant ce temps, la cellule de renseignement financier sud-coréenne se tourne désormais vers Korbit, Gopax, Bithumb et Coinone après l’incident d’Upbit. Les régulateurs prévoient des sanctions pour ces quatre plateformes suite à une amende de 35,2 milliards de won contre Dunamu, uns auparavant mentionné dans notre rapport, l’opérateur d’Upbit, pour la faible lutte contre le blanchiment d’argent et les contrôles des clients.
Les inspecteurs ont effectué des examens sur place dans les échanges de 2024 au début de 2025 et ont continué à découvrir des problèmes similaires. Ils ont signalé une mauvaise vérification d’identité, des rapports lents d’activités suspectes et des transferts importants qui ont échappé aux contrôles AML. En conséquence, les autorités s’attendent à ce que de nouvelles sanctions soient imposées au premier semestre de l’année prochaine.
