Imaginez ouvrir votre application d’échange crypto préférée et découvrir que plus de 30 millions de dollars se sont évaporés en silence. C’est exactement ce qui est arrivé aux utilisateurs d’Upbit jeudi dernier. Et cette fois, les soupçons se tournent très vite vers un acteur que l’industrie redoute depuis des années : le groupe Lazarus, la branche cyber de la Corée du Nord.
Un piratage qui rappelle de très mauvais souvenirs
Le choc est d’autant plus violent que l’histoire semble se répéter presque à l’idententique. En novembre 2019, Upbit avait déjà subi une attaque massive : 342 000 ETH, soit environ 50 millions de dollars à l’époque, s’étaient envolés d’un hot wallet. L’enquête avait rapidement pointé le même coupable : Lazarus. Six ans plus tard, le scénario est troublant de similarités.
Cette fois, ce sont plus de 44,5 milliards de wons (environ 30 millions d’euros) qui ont disparu, principalement sous forme de 24 tokens différents basés sur Solana. L’échange a immédiatement suspendu tous les dépôts et retraits, promettant de rembourser les victimes sur ses fonds propres. Un geste coûteux, mais qui préserve la confiance des utilisateurs sud-coréens, particulièrement exigeants sur la sécurité.
Comment le hold-up a-t-il été possible ?
Les premières analyses convergent vers une compromission humaine plutôt qu’une faille technique pure. Les attaquants n’auraient pas forcé les serveurs, mais auraient pris le contrôle de comptes d’administrateurs ou se seraient fait passer pour eux. Une méthode devenue la signature de Lazarus : le social engineering ultra-ciblé.
Phishing sophistiqué, faux profils LinkedIn, offres d’emploi piégées, malware dissimulé dans des documents PDF… Le groupe nord-coréen a perfectionné ces techniques au point d’infiltrer les équipes les plus protégées. Une source proche de l’enquête confiait : « Ils passent parfois des mois à étudier leur cible avant de frapper. »
« Au lieu d’attaquer le serveur directement, ils compromettent les comptes administrateurs ou se font passer pour eux afin d’effectuer les transferts. »
Un enquêteur sud-coréen
Le chemin déjà bien rodé du blanchiment
Dès les premières minutes, les fonds volés ont commencé leur voyage. Les analystes de Dethective ont observé la séquence classique : conversion rapide des tokens Solana en USDC, puis pontage vers Ethereum. Une technique que Lazarus utilise depuis des années pour brouiller les pistes.
Ensuite, direction des exchanges moins regardants ou des mixers encore en activité malgré les sanctions. L’objectif : casser la traçabilité blockchain avant de réinjecter l’argent propre dans le circuit nord-coréen. Car oui, derrière ces attaques se cache un financement d’État.
Les services de renseignement américains estiment que Pyongyang a déjà volé plus de 3 milliards de dollars en cryptomonnaies depuis 2017. Une manne qui compenserait largement l’effet des sanctions internationales sur le régime de Kim Jong-un.
Lazarus, la machine de guerre cyber de Pyongyang
Le groupe Lazarus n’est pas un simple gang de cybercriminels. Il s’agit d’une unité du Bureau Général de Reconnaissance, l’équivalent nord-coréen de la CIA. Créé dans les années 2000, il s’est d’abord illustré avec l’attaque Sony Pictures en 2014, puis avec WannaCry en 2017.
Depuis 2018, il s’est spécialisé dans la crypto. Ronin Network (620 M$), KuCoin, ByBit (1,5 Md$ en février 2025)… la liste des victimes s’allonge chaque année. Et à chaque fois, la même unité revient : TraderTraitor, le commando dédié aux exchanges.
Les plus gros coups attribués à Lazarus ces dernières années
- 2022 – Ronin (Axie Infinity) : 620 millions $
- 2023 – CoinsPaid : 37 millions $
- 2024 – Plusieurs exchanges asiatiques (montants non publics)
- 2025 – ByBit : environ 1,5 milliard $
- 2025 – Upbit : plus de 30 millions $
Pourquoi Upbit, et pourquoi maintenant ?
Le timing intrigue les enquêteurs. L’attaque survient 24 heures après l’annonce officielle de la fusion entre Dunamu (maison-mère d’Upbit) et Naver Corp. Un mariage qui doit donner naissance à un géant tech sud-coréen coté aux États-Unis.
Certains y voient un message politique : « Regardez, même votre exchange numéro 1 n’est pas à l’abri. » D’autres parlent d’opportunisme pur : plus l’exchange grandit, plus ses hot wallets contiennent de liquidités appétissantes.
Quoi qu’il en soit, le message est clair : aucune plateforme, même la plus solide d’Asie du Sud-Est, n’est à l’abri quand un État entier met ses meilleurs hackers sur le coup.
Que peuvent faire les exchanges face à cette menace ?
La première réponse évidente serait de réduire drastiquement l’exposition des hot wallets. Mais dans un marché où la vitesse d’exécution est reine, c’est plus facile à dire qu’à faire. Les traders coréens, particulièrement actifs, exigent des retraits instantanés.
Les solutions techniques existent pourtant :
- Multi-signature avec géo-blocage et délais de validation
- Whitelisting d’adresses avec validation humaine
- IA de détection comportementale sur les comptes admin
- Assurance dédiée aux attaques d’État
- Partenariats renforcés avec Chainalysis, Elliptic et les autorités
Mais le vrai problème reste humain. Tant que des employés ou des prestataires pourront être manipulés, aucune barrière technique ne sera totalement étanche.
Et les utilisateurs dans tout ça ?
Bonne nouvelle : Upbit a annoncé qu’il rembourserait intégralement les victimes. Mauvaise nouvelle : cela ne sera peut-être pas le cas partout. D’autres exchanges, moins capitalisés, pourraient vaciller face à une attaque similaire.
La leçon est cruelle mais claire : en 2025, laisser de gros montants sur un exchange reste un pari. Les portefeuilles froids, les solutions self-custody et la diversification restent les meilleures défenses.
Comme le résume un trader séoulite sur un forum local : « Upbit paiera cette fois. Mais la prochaine, ce sera peut-être ton exchange préféré qui fermera boutique. »
Vers une réponse internationale coordonnée ?
La Corée du Sud, les États-Unis et le Japon discutent déjà d’une task force dédiée aux attaques nord-coréennes. L’idée : partager en temps réel les indicateurs de compromission et geler les fonds avant qu’ils ne disparaissent dans les mixers.
Mais la tâche est titanesque. Lazarus change constamment d’infrastructure, utilise des exchanges décentralisés, et bénéficie de la protection d’un État souverain. Certains experts estiment qu’on ne récupérera jamais plus de 5 à 10 % des fonds volés.
Le piratage Upbit de novembre 2025 restera probablement dans les annales. Non pas par son montant – d’autres ont été bien plus gros – mais parce qu’il montre que même les plateformes les plus sérieuses restent vulnérables face à un adversaire qui ne joue pas selon les mêmes règles que les criminels ordinaires.
La guerre cyber entre Pyongyang et le reste du monde crypto est loin d’être terminée. Et pour l’instant, le score penche dangereusement en faveur du régime nord-coréen.
