Ripple partage désormais ses informations internes sur les menaces des pirates informatiques nord-coréens avec l’industrie de la cryptographie, a annoncé lundi la société, dans le cadre d’une démarche qui recadre la manière dont le secteur répond à un changement de méthodologie d’attaque en RPDC.
Le hack Drift n’était pas un hack au sens où la plupart des gens le pensent.
Personne n’a trouvé de bug ni exploité de contrat intelligent. Les agents nord-coréens ont passé des mois à se lier d’amitié avec les contributeurs de Drift, à introduire des logiciels malveillants sur leurs machines et à repartir avec les clés. Au moment où les 285 millions de dollars ont été transférés, tous les systèmes censés être détectés par un piratage n’avaient plus rien à signaler.
C’est la version des événements que Ripple et Crypto ISAC, le groupe de partage des menaces de l’industrie de la cryptographie, ont présentée lundi, parallèlement à l’information selon laquelle Ripple partage désormais ses données internes sur les acteurs nord-coréens de la menace avec le reste du secteur.
La vague de piratages DeFi de 2022 à 2024 était centrée sur l’exploitation du code, les attaquants trouvant des vulnérabilités dans les contrats intelligents et vidant les protocoles en quelques minutes.
Mais à mesure que la sécurité se renforce, le modus operandi passe de la technologie aux personnes. Les agents malhonnêtes postulent à des emplois dans des sociétés de cryptographie, réussissent les vérifications d’antécédents, se présentent aux appels Zoom et établissent la confiance pendant des mois. Ils déploient ensuite des attaques qu’aucun outil de sécurité traditionnel n’a été conçu pour détecter, car l’attaquant est déjà à l’intérieur.
Ripple fournit désormais à Crypto ISAC le type de données de profil qui rendent ce modèle lisible dans toutes les entreprises. Profils LinkedIn, adresses e-mail, emplacements, numéros de contact – ou le tissu conjonctif qui permet à une équipe de sécurité de reconnaître le candidat qu’elle vient d’interroger comme étant le même agent qui a échoué à la vérification de ses antécédents dans trois autres entreprises la semaine dernière.
« La posture de sécurité la plus solide en matière de cryptographie est celle partagée », a publié Ripple sur X. « Un acteur menaçant qui échoue à une vérification d’antécédents dans une entreprise en postulera dans trois autres la même semaine. Sans intelligence partagée, chaque entreprise repart de zéro. »
La portée du groupe Lazarus dans le secteur de la cryptographie est désormais suffisamment visible pour qu’il ait commencé à remodeler les procédures judiciaires ainsi que celles en matière de sécurité.
Lundi, un avocat représentant les victimes du terrorisme nord-coréen a signifié des avis d’interdiction à Arbitrum DAO, arguant que les 30 765 ETH gelés après l’exploitation du pont Kelp en avril sont la propriété nord-coréenne en vertu de la loi américaine.
La société de prêt Aave a depuis contesté ce dépôt à l’appui de l’arbitrage, arguant qu’un « voleur n’acquiert pas la propriété légale d’un bien volé simplement en le prenant ».
La violation de Kelp a drainé 292 millions de dollars d’éther (ETH) et a également été publiquement attribuée aux agents du groupe Lazarus, ce qui porte les pertes de Drift et de Kelp d’avril à plus d’un demi-milliard de dollars liées à un seul acteur étatique en l’espace d’un seul mois.
La question reste ouverte de savoir si le partage de renseignements au niveau de l’industrie ralentit réellement les campagnes. Il se peut que les mêmes agents soient déjà quelque part dans la prochaine série d’entretiens.