Skip to content
private-keystolen

Casse NEM de Coincheck

La plateforme d'échange de cryptomonnaies Coincheck, basée à Tokyo, a perdu 523 millions de jetons NEM (~530 M$ à l'époque) depuis un portefeuille chaud dépourvu de protection multi-signature. Le plus grand vol sur une plateforme d'échange de cryptomonnaies en une seule fois à l'époque — attribué par la suite au groupe Lazarus de Corée du Nord.

Partie de la campagnelazarus crypto theft
Victime
Coincheck Inc.
Perte
$530.0M
utilisateurs
260.0K

Au petit matin du 26 janvier 2018, Coincheck — à l'époque la plateforme d'échange de cryptomonnaies la plus populaire du Japon par le volume — a enregistré une transaction sortante non autorisée de 523 millions de jetons NEM (XEM) d'une valeur d'environ 530 millions de dollars USD. Il s'agissait du plus grand vol sur une plateforme d'échange de cryptomonnaies en une seule fois jamais enregistré à l'époque, et l'opération a depuis été formellement attribuée au groupe Lazarus de Corée du Nord par le Groupe d'experts de l'ONU sur les sanctions contre la RPDC.

Ce qui s'est passé

Le portefeuille chaud NEM de Coincheck constituait, selon les standards du secteur, une configuration de conservation catastrophiquement faible :

  • Aucune exigence de multi-signature sur les transactions sortantes. Une seule signature de clé privée suffisait à autoriser des transferts d'un montant arbitraire.
  • Aucun module de sécurité matériel ne détenait la clé privée. La clé était stockée sur un système accessible depuis les postes de travail des opérateurs.
  • Aucun composant de stockage à froid pour la majorité des avoirs en NEM. Coincheck conservait l'ensemble des 523 millions de NEM dans le même portefeuille chaud.

L'opération de Lazarus qui a exploité cette configuration a suivi un modèle Lazarus désormais canonique :

  • Spearphishing des ingénieurs de Coincheck via des leurres sur le thème de LinkedIn et de faux documents d'offre d'emploi au cours des mois précédents.
  • Logiciel malveillant sur mesure installé sur le poste de travail d'au moins un ingénieur, donnant aux opérateurs de Lazarus un accès de commande et de contrôle au réseau interne de Coincheck.
  • Reconnaissance patiente et préparation des identifiants culminant avec l'accès à la clé privée NEM.

À 02h57 JST le 26 janvier 2018, les opérateurs ont signé une transaction transférant 523 000 000 de NEM depuis le portefeuille chaud de Coincheck vers neuf portefeuilles contrôlés par l'attaquant. La surveillance de Coincheck n'a pas signalé le transfert sur le moment ; la violation a été découverte huit heures plus tard lorsque le personnel a remarqué le solde NEM anormal.

La réponse de Coincheck

La réponse de Coincheck a été inhabituellement rapide pour l'époque :

  • Conférence de presse en moins de 14 heures confirmant le vol.
  • Engagement public d'indemnisation intégrale des 260 000 détenteurs de NEM affectés sous 48 heures, à un taux fixe de 88,549 JPY par NEM (~0,83 $). Coincheck a versé l'indemnisation à partir de ses réserves d'entreprise.
  • Retraits de NEM suspendus immédiatement ; trading suspendu pendant des semaines le temps de l'examen de la remédiation.

L'indemnisation a coûté environ 420 millions de dollars USD — la majeure partie des réserves accumulées par Coincheck. Deux mois plus tard, Monex Group a acquis Coincheck pour ~33,5 millions de dollars, assurant la recapitalisation. Le prix d'acquisition reflétait le bilan épuisé de Coincheck après l'indemnisation.

Le mécanisme de marquage de NEM

L'architecture du protocole de NEM permettait à la NEM Foundation de marquer publiquement les portefeuilles volés, et les grandes plateformes d'échange ont convenu de signaler toute transaction provenant de portefeuilles marqués. Le mécanisme de marquage a été suffisamment efficace pour que :

  • La conversion directe de NEM marqués sur toute plateforme d'échange conforme soit bloquée.
  • Les opérateurs de Lazarus se tournent vers des plateformes de dark pool et des bureaux de gré à gré prêts à accepter des jetons marqués avec des décotes importantes.
  • Une part substantielle ait finalement été blanchie via des plateformes vietnamiennes et canadiennes qui ne respectaient pas le marquage.
  • L'intégralité du produit n'ait jamais été récupérée.

Le mécanisme de marquage — et la réponse transparente de Coincheck — a produit un changement notable dans le secteur : l'affaire NEM est devenue le modèle de réponse post-vol que les plateformes d'échange ont suivi depuis (par exemple, l'absence de réponse de Mt. Gox a été l'exemple négatif ; l'indemnisation transparente de Coincheck est devenue l'exemple positif).

Impact

  • 523 millions de NEM volés (~530 M$ au moment du vol).
  • 260 000 clients affectés intégralement indemnisés par Coincheck (~420 M$ provenant des réserves d'entreprise).
  • La capitalisation boursière de Coincheck s'est effondrée, conduisant à l'acquisition par Monex à une fraction de sa valorisation d'avant le vol.
  • La FSA japonaise a émis une sévère injonction administrative citant l'absence de portefeuilles multi-signature de Coincheck, l'absence de stockage à froid et une ségrégation opérationnelle inadéquate. Cette injonction a façonné les attentes ultérieures de la FSA japonaise envers les plateformes d'échange de cryptomonnaies agréées.
  • L'ensemble du secteur japonais des plateformes d'échange de cryptomonnaies a par la suite adopté des portefeuilles multi-signature et un stockage à froid obligatoires pour la majorité des avoirs — Coincheck en a été le cas déclencheur explicite.

Attribution

Le rapport du Groupe d'experts de l'ONU sur les sanctions contre la RPDC de janvier 2020 a formellement attribué Coincheck à des acteurs étatiques nord-coréens. Le dossier forensique a relié Coincheck à la signature opérationnelle plus large de Lazarus partagée avec WannaCry, la banque centrale du Bangladesh, ainsi qu'avec les vols de cryptomonnaies ultérieurs du pont Ronin (625 M$, 2022), d'Atomic Wallet (100 M$, 2023) et de WazirX (230 M$, 2024).

L'intérêt stratégique de la RPDC pour le vol de cryptomonnaies comme mécanisme de contournement des sanctions — pleinement manifeste dès 2018 — n'a fait que s'intensifier. Les estimations de l'ONU et du Trésor américain situent le produit cumulé des vols de cryptomonnaies nord-coréens entre 2017 et 2024 à plus de 3 milliards de dollars, avec Coincheck comme modèle opérationnel.

Pourquoi c'est important

Coincheck est le cas canonique de l'échec de conservation en portefeuille chaud à grande échelle. Il a établi :

  • Que la conservation en portefeuille chaud à signature unique est une architecture fondamentalement inadéquate pour toute plateforme d'échange détenant des actifs clients significatifs.
  • Qu'une réponse publique, transparente et d'indemnisation intégrale permet de survivre sur le plan réputationnel — même à un coût de plus de 400 M$ — et constitue désormais la référence attendue en cas de défaillance d'une plateforme d'échange agréée.
  • Que le programme de vol de cryptomonnaies de la RPDC est une opération stratégique soutenue, et non une série d'opportunités criminelles déconnectées. Les mêmes signatures opérationnelles apparaissent de Coincheck (2018) jusqu'à WazirX (2024) — une continuité qui fait de Lazarus l'opération de vol de cryptomonnaies la plus active et la plus prospère de l'histoire.
  • Que les mécanismes de marquage on-chain entravent matériellement le blanchiment lorsque les plateformes d'échange concernées coopèrent. La fraction du produit de Coincheck finalement récupérée ou rendue inutilisable a été bien plus élevée que ce qui est typique pour un vol hors chaîne, principalement grâce au marquage.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
530.0M
USD · 530 000 000 $US
  • Perte d’exploitation$530.0M

Chronologie

  1. Les opérateurs de Lazarus mènent une campagne de spearphishing ciblant les ingénieurs de Coincheck via des leurres sur le thème de LinkedIn et de faux documents d'offre d'emploi.

  2. Transaction sortante non autorisée de 523 000 000 de jetons NEM (XEM) depuis le portefeuille chaud NEM principal de Coincheck vers des portefeuilles contrôlés par l'attaquant.

  3. Coincheck détecte le solde anormal et suspend tous les retraits de NEM.

  4. Coincheck tient une conférence de presse confirmant le vol. Estimation initiale de la perte : ~58 milliards de yens (~530 M$ USD à l'époque).

  5. La NEM Foundation marque les portefeuilles volés et collabore avec les grandes plateformes d'échange pour signaler les transactions. Le mécanisme de marquage réduit le blanchiment sans l'empêcher.

  6. Coincheck s'engage à indemniser les 260 000 détenteurs de NEM affectés à partir de ses réserves d'entreprise, à un taux fixe.

  7. La FSA japonaise ordonne à Coincheck d'améliorer ses opérations ; elle cite l'absence de portefeuilles multi-signature et l'absence de stockage à froid pour les NEM volés.

  8. Monex Group acquiert Coincheck pour ~33,5 M$, recapitalisant la plateforme après le vol.

  9. Le rapport du Groupe d'experts de l'ONU sur les sanctions contre la RPDC attribue formellement Coincheck (ainsi que plusieurs autres vols de plateformes de cryptomonnaies) à des acteurs étatiques nord-coréens.

Sources

  1. corporate.coincheck.comhttps://corporate.coincheck.com/news/20180127.html
  2. fsa.go.jphttps://www.fsa.go.jp/en/news/2018/20180129-2.html
  3. un.orghttps://www.un.org/press/en/2022/sc14816.doc.htm

Incidents liés

private-keypartially-recovered

Casse du Ronin Bridge

Des opérateurs de Lazarus ont compromis cinq des neuf nœuds validateurs de Ronin et falsifié des signatures de retrait, siphonnant 173 600 ETH et 25,5 millions d'USDC (~625 M$) — le plus important vol de cryptomonnaie jamais enregistré à l'époque.

Victim
Sky Mavis / Axie Infinity / Ronin Network
Loss
$625.0M
Espionnagestolen

Casse SWIFT de la Bangladesh Bank

Des opérateurs de Lazarus ont envoyé des instructions SWIFT frauduleuses via la Fed de New York pour virer 951 millions de dollars du compte de réserve de la Bangladesh Bank. Une faute de frappe sur un virement a bloqué 850 M$ ; 81 M$ se sont tout de même échappés vers des casinos philippins.

Victim
Bangladesh Bank
Loss
$81.0M
RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss
$6.00B