Hack Upbit : la Corée du Sud accuse le groupe Lazarus de Corée du Nord

Le 27 novembre 2025 à 4h42 du matin, heure locale, Upbit – le plus grand exchange de cryptomonnaies de Corée du Sud – a subi une attaque massive. 36 millions de dollars en tokens Solana ont été siphonnés d’un hot wallet vers une adresse inconnue. Les autorités sud-coréennes pointent du doigt le groupe Lazarus, une organisation de hackers liée au régime nord-coréen.

Cette attaque survient dans un contexte particulier. Elle coïncide avec l’annonce d’une fusion de 10,3 milliards de dollars entre Dunamu (la société mère d’Upbit) et le géant tech Naver. Plus troublant encore : le hack s’est produit exactement six ans jour pour jour après l’attaque de 2019, où 342 000 ETH (50 millions de dollars à l’époque) avaient été dérobés.

Comment s’est déroulée l’attaque ?

Selon les premières analyses des autorités sud-coréennes, les hackers auraient compromis ou usurpé les identifiants d’un administrateur. Cette technique, appelée « credential hijacking », permet de contourner les protections sans attaquer directement les serveurs.

Les tokens volés

L’attaque a ciblé un hot wallet contenant des actifs de l’écosystème Solana. Plus de 20 tokens différents ont été dérobés :

• SOL (Solana)
• USDC (stablecoin)
• BONK, JUP (Jupiter), RENDER
• ORCA, PYTH (Pyth Network)
• TRUMP, 2Z (Double Zero)

Une réponse rapide d’Upbit

Dès la détection de l’incident, Upbit a suspendu tous les dépôts et retraits. L’exchange a également initié des mesures on-chain pour geler les fonds volés. Résultat : environ 2,3 milliards de wons (1,6 million de dollars) de tokens Solayer (LAYER) ont pu être gelés.

Dunamu, l’opérateur d’Upbit, a immédiatement annoncé qu’il rembourserait intégralement tous les utilisateurs affectés sur ses propres réserves. Selon la loi sud-coréenne sur la protection des utilisateurs crypto, Upbit détenait 67 milliards de wons (environ 47 millions de dollars) en réserve de sécurité en septembre 2025.

Qui est le groupe Lazarus ?

Le groupe Lazarus est une organisation de hackers sponsorisée par l’État nord-coréen. Actif depuis 2009, ce groupe est responsable de certaines des plus grandes cyberattaques de l’histoire. Leur spécialité : les vols de cryptomonnaies à grande échelle.

Un palmarès effrayant

Depuis 2017, Lazarus a dérobé plus de 6 milliards de dollars en actifs numériques. Leur plus gros coup ? Le hack de Bybit en février 2025, avec 1,5 milliard de dollars d’Ethereum volés – le plus grand vol de cryptomonnaies de l’histoire.

En 2025 uniquement, les hackers nord-coréens auraient volé plus de 2 milliards de dollars, représentant environ 70% des pertes mondiales liées aux hacks crypto selon TRM Labs.

Des techniques d’ingénierie sociale sophistiquées

Le groupe Lazarus ne se contente pas d’exploiter des failles techniques. Leurs méthodes incluent :

• Fausses offres d’emploi : La campagne « ClickFake Interview » cible des professionnels crypto via LinkedIn avec de fausses opportunités
• Dépôts malveillants sur GitHub : Des projets apparemment légitimes contiennent du code malveillant
• Attaques de la chaîne d’approvisionnement : Infiltration de logiciels tiers utilisés par les exchanges
• Usurpation d’identité : Les hackers se font passer pour des employés internes

Selon les experts, Lazarus utilise désormais l’intelligence artificielle pour améliorer ses techniques d’ingénierie sociale. Des « candidats » avec des CV fabriqués et des compétences en entretien réussissent parfois à intégrer des entreprises crypto.

Un financement du programme nucléaire nord-coréen

Les fonds volés par Lazarus ne servent pas à enrichir des individus. Selon l’ONU et les autorités américaines, ces cryptomonnaies financent directement les programmes nucléaires et balistiques de la Corée du Nord.

Face aux sanctions internationales qui étranglent l’économie nord-coréenne, le régime de Pyongyang a trouvé dans les cryptomonnaies une source de revenus difficile à tracer. Le blanchiment s’effectue rapidement via des mixers et des plateformes DeFi.

Dans le cas du hack Bybit, 160 millions de dollars ont été blanchis dans les 48 premières heures suivant l’attaque.

La sécurité des exchanges en question

Cette attaque relance le débat sur la sécurité des hot wallets. Contrairement aux cold wallets (stockage hors ligne), les hot wallets restent connectés à internet pour faciliter les transactions. Cette accessibilité en fait des cibles privilégiées.

Les bonnes pratiques de sécurité en 2025

Les experts recommandent plusieurs mesures pour les exchanges et les investisseurs individuels :

• Architecture hybride : Conserver la majorité des fonds en cold storage, seul le minimum nécessaire en hot wallet
• Wallets multisignatures : Exiger plusieurs signatures pour valider les grosses transactions
• Authentification matérielle : Utiliser des clés physiques (hardware keys) plutôt que des SMS
• Surveillance IA : Détecter les comportements anormaux en temps réel

Selon un rapport récent, le hack moyen d’un hot wallet en 2025 dépasse 200 millions de dollars. La majorité des institutions (78%) utilisent désormais le cold storage pour leurs réserves.

Une enquête internationale en cours

Les autorités sud-coréennes ont lancé une investigation sur site chez Upbit. Le Ministère de la Science et des TIC, la Commission des Services Financiers (FSC) et d’autres régulateurs examinent les systèmes de sécurité de l’exchange.

CertiK, une société de sécurité blockchain, a suivi le flux des fonds à travers plus de 100 adresses sur Solana. Leur analyse révèle un schéma de « hopping » (transferts rapides entre wallets) caractéristique des opérations Lazarus.

Cependant, récupérer les fonds reste extrêmement difficile. Une fois les cryptomonnaies mélangées via des mixers, leur traçabilité devient quasi impossible.

Quel impact sur le marché crypto ?

Ce hack s’ajoute à une année 2025 record pour les vols de cryptomonnaies. Les pertes totales dépassent déjà 2,4 milliards de dollars, un niveau inédit.

Pour les investisseurs, cette situation rappelle l’importance de :

• Ne pas laisser tous ses fonds sur un exchange
• Privilégier les plateformes régulées avec des réserves prouvées
• Utiliser un hardware wallet pour le stockage long terme
• Vérifier les assurances proposées par les plateformes

La réaction rapide d’Upbit et son engagement à rembourser les victimes limitent l’impact sur la confiance. Mais chaque hack majeur renforce les appels à une régulation plus stricte des exchanges.

📚 Glossaire

• Exchange : Plateforme permettant d’acheter, vendre et échanger des cryptomonnaies. Upbit est le plus grand exchange de Corée du Sud.
• Hot wallet : Portefeuille crypto connecté à internet. Pratique pour les transactions fréquentes mais plus vulnérable aux attaques.
• Cold wallet : Portefeuille crypto hors ligne (hardware wallet). Plus sécurisé car non connecté à internet.
• Mixer (ou tumbler) : Service qui mélange des cryptomonnaies de différentes sources pour en masquer l’origine. Utilisé pour le blanchiment.
• DeFi (Finance décentralisée) : Ensemble de services financiers fonctionnant sur blockchain sans intermédiaire centralisé.
• Multisignature (multisig) : Système exigeant plusieurs signatures (clés privées) pour autoriser une transaction, renforçant la sécurité.

❓ Questions fréquentes

Les utilisateurs d’Upbit vont-ils récupérer leurs fonds ?

Oui, Dunamu (société mère d’Upbit) s’est engagé à rembourser intégralement tous les utilisateurs affectés sur ses propres réserves. L’exchange disposait de 67 milliards de wons en réserve de sécurité.

Pourquoi la Corée du Nord cible-t-elle les cryptomonnaies ?

Les sanctions internationales ont coupé la Corée du Nord des systèmes financiers traditionnels. Les cryptomonnaies offrent un moyen de contourner ces restrictions pour financer les programmes nucléaires et militaires du régime.

Comment se protéger contre les attaques Lazarus ?

Ne conservez que le minimum nécessaire sur les exchanges. Utilisez un hardware wallet pour vos économies. Méfiez-vous des offres d’emploi crypto non sollicitées et ne cliquez jamais sur des liens suspects.

Upbit est-il toujours sûr à utiliser ?

Upbit reste l’un des exchanges les plus importants et régulés d’Asie. Le remboursement garanti et la réponse rapide montrent une gestion de crise professionnelle. Cependant, aucun exchange n’est à l’abri d’une attaque.

Peut-on récupérer des cryptomonnaies volées ?

Très rarement. Une fois les fonds passés par des mixers, leur traçabilité devient quasi impossible. Certains exchanges et services peuvent geler des adresses identifiées, mais la majorité des fonds volés ne sont jamais récupérés.

Combien Lazarus a-t-il volé en 2025 ?

Selon TRM Labs, les hackers nord-coréens ont volé environ 2 milliards de dollars au premier semestre 2025, soit 70% des pertes mondiales liées aux hacks crypto. Le hack Bybit seul représente 1,5 milliard de dollars.

📚 Sources

Cet article s’appuie sur les sources suivantes :

• CoinDesk – South Korea Suspects North Korea-Linked Lazarus Behind $36M Upbit Hack
• Bloomberg – North Korea Suspected of $30 Million Crypto Hack
• Decrypt – Upbit Hack Attributed to North Korea’s Lazarus as Seoul Opens Probe
• The Block – South Korea’s Upbit Suffers $32 Million Hack
• Hacken – Inside Lazarus Group: Analyzing North Korea’s Most Infamous Crypto Hacks
• CCN – Top 9 Crypto Heists by Lazarus Group
• CryptoNews – North Korea’s Lazarus Group Linked to $30M Upbit Hack

Comment citer cet article :
Fibo Crypto. (2025). Hack Upbit : la Corée du Sud accuse le groupe Lazarus de Corée du Nord. Consulté sur https://fibo-crypto.fr/hack-upbit-lazarus-coree-nord-36-millions