Elliptic, une entreprise spécialisée dans l’analyse des blockchains, a mis en évidence certains aspects prouvant que le groupe d’hackeurs Lazarus serait à l’origine du braquage d’Harmony, leur causant une perte de 100 millions de dollars. Cela correspond à 41 % des actifs volés en piratant Horizon Brige, le protocole d’Harmony permettant de transférer des cryptomonnaies entre différentes blockchains.

100 millions d’euros volés par les hackeurs

Le protocole Horizon Bridge a été la cible de hackeurs qui ont exploité Tornado Cash, un mélangeur de cryptomonnaies permettant d’anonymiser l’origine des fonds d’un utilisateur. Ce n’est pas la première fois que cet outil est utilisé pour pirater des blockchains afin que les hackeurs puissent brouiller toute trace de leur passage.

Frustrée de s’être fait voler la somme de 100 millions de dollars, l’équipe en charge du projet annonçait qu’une récompense d’un million de dollars serait versée à quiconque fournirait des informations autour de l’identité du hackeur.

Elliptic a réussi, quelques jours plus tard, à remonter les différentes transactions des hackeurs, y compris à travers Tornado Cash en utilisant sa technologie de démixage des cryptomonnaies. Selon l’entreprise, ces transactions mènent vers de nombreux portefeuilles Ethereum qui pourraient appartenir au groupe de hackeurs de Corée du Nord, Lazarus.

Quels indices laissent à penser que Lazarus serait à l’origine de ce hack ?

Selon Elliptic, plusieurs indices permettent de suspecter Lazarus. Tout d’abord, le groupe à l’origine du vol de plus de 2 milliards de dollars sous forme de cryptomonnaies, a tendance à s’orienter vers le hack des protocoles de finance décentralisée (DeFi), et plus particulièrement vers les bridges, comme l’Horizon Bridge d’Harmony. C’est en exploitant le pont de Ronin Network que Lazarus avait réussi à voler, en avril 2022, plus de 500 millions de dollars en Ethereum.

De plus, les hackeurs auraient piraté le système de portefeuille multisignature qu’utilisent les employés d’Harmony. Cette stratégie d’hacking est régulièrement utilisée par Lazarus lorsqu’elle s’attaque à une blockchain. Elliptic ajoute à cela les fonds envoyés vers Tornado Cash ont été transmis automatiquement puisque le délai entre chaque transaction était régulier. Cette particularité est également présente dans d’autres hacks perpétrés par Lazarus.

Enfin, les fonds ont cessé d’être transférés lors des créneaux horaires de nuit de la région Asie-Pacifique, concordant avec une attaque provenant de cette zone géographique. La société spécialisée dans les blockchains a indiqué qu’elle continuerait à suivre de très près, l’ensemble des transactions des portefeuilles qu’elle a ciblé dans le cadre de son enquête.