Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Marchés
Trader
Basique
Avancé
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
TradFi
Or
Tradez des actifs traditionnels mondiaux avec des USDT en un seul endroit
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Lancement Futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Trading démo
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
tag
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Communauté
Square
Partagez votre message et restez informé sur les crypto et au-delà
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
Plus
Promotions
Autres
TradFi
giveaways
Centre de récompenses

Les hackers nord-coréens célèbrent l'« année de la richesse » : en 2025, ils ont établi un record de vols de fonds, avec un cycle de blanchiment d'argent d'environ 45 jours

PANews
DEFI-0,88%
SOL3,81%
ETH7,37%
TRX2,72%

Auteur : Chainalysis

Traduction : Felix, PANews

Face aux attaques des hackers nord-coréens contre l’industrie de la cryptomonnaie ces dernières années, Chainalysis a analysé en détail leurs méthodes dans le rapport sur les cyberattaques 2025. Voici le contenu détaillé.

Points clés :

  • Les hackers nord-coréens ont volé pour 20,2 milliards de dollars de cryptomonnaies en 2025, en hausse de 51 % par rapport à l’année précédente, malgré une diminution du nombre d’attaques, leur montant total de vols s’élève désormais à 6,75 milliards de dollars.
  • Les hackers nord-coréens dérobent plus de cryptomonnaies avec moins d’attaques, souvent en infiltrant le personnel IT dans les services cryptographiques ou en utilisant des stratégies d’usurpation sophistiquées ciblant les cadres.
  • Ils privilégient clairement les services de blanchiment d’argent en chinois, les ponts inter-chaînes et les protocoles de mixage, avec un cycle de blanchiment d’environ 45 jours après un vol important.
  • En 2025, les incidents de vol de portefeuilles personnels ont explosé à 158 000, affectant 80 000 utilisateurs, bien que la valeur totale volée (713 millions de dollars) ait diminué par rapport à 2024.
  • Malgré une augmentation de la valeur totale verrouillée (TVL) en DeFi, les pertes dues aux attaques de hackers entre 2024 et 2025 restent faibles, indiquant que les mesures de sécurité portent leurs fruits.

En 2025, l’écosystème cryptographique fait face à de nouveaux défis, avec une augmentation continue des fonds volés. L’analyse révèle que les modes de vol présentent quatre caractéristiques clés : les hackers nord-coréens restent la principale menace ; les attaques ciblant les services centralisés deviennent plus graves ; les vols de portefeuilles personnels explosent ; et la tendance des attaques en DeFi montre une divergence inattendue.

Situation globale : En 2025, le montant volé dépasse 34 milliards de dollars

De janvier à début décembre 2025, le montant total volé dans l’industrie cryptographique a dépassé 3,4 milliards de dollars, dont 1,5 milliard en février lors de l’attaque contre Bybit.

Les données révèlent également des changements importants dans ces incidents. Les vols de portefeuilles personnels ont fortement augmenté, passant de 7,3 % du total en 2022 à 44 % en 2024. Si l’attaque contre Bybit n’avait pas eu un impact aussi massif, cette proportion aurait atteint 37 % en 2025.

Par ailleurs, en raison d’attaques complexes ciblant l’infrastructure des clés privées et les processus de signature, les services centralisés subissent des pertes croissantes. Bien que ces plateformes disposent de ressources institutionnelles et d’équipes de sécurité professionnelles, elles restent vulnérables aux menaces capables de contourner le contrôle des cold wallets. Bien que ces intrusions soient peu fréquentes (voir graphique ci-dessous), lorsqu’elles se produisent, elles entraînent des pertes massives. Au premier trimestre 2025, ces incidents représentaient 88 % des pertes totales. De nombreux attaquants ont développé des méthodes exploitant l’intégration de portefeuilles tiers, incitant les signataires à autoriser des transactions malveillantes.

Malgré une amélioration dans certains domaines de la sécurité cryptographique, le montant élevé des vols indique que les attaquants continuent de réussir par divers moyens.

Les trois principales attaques de hackers représentent 69 % des pertes totales, avec un extrême atteignant 1000 fois la médiane

Les vols de fonds sont généralement dus à des événements extrêmes. La majorité des attaques sont de petite à moyenne envergure, mais quelques-unes sont massives. La situation de 2025 s’est aggravée : la plus grande attaque de hackers a dépassé pour la première fois le seuil de 1000 fois la médiane des autres incidents. Aujourd’hui, la somme volée lors de la plus grosse attaque est 1000 fois supérieure à celle des incidents moyens, dépassant même le pic du marché haussier de 2021. Ces calculs sont basés sur la valeur en dollars au moment du vol.

Cet écart croissant concentre fortement les pertes. En 2025, les trois plus grosses attaques représentent 69 % de toutes les pertes, chaque incident ayant un impact exceptionnel sur le total annuel. Bien que la fréquence des attaques fluctue et que la valeur moyenne des pertes augmente avec la hausse des prix, les pertes potentielles dues à des vulnérabilités majeures continuent de croître à un rythme accéléré.

Malgré une baisse confirmée des incidents, la Corée du Nord reste la menace principale

Bien que la fréquence des attaques ait fortement diminué, la Corée du Nord demeure la source la plus grave pour la sécurité cryptographique. En 2025, ses vols de cryptomonnaies ont atteint un nouveau record, au moins 20,2 milliards de dollars (soit 6,81 milliards de dollars de plus qu’en 2024), en hausse de 51 %. En termes de montants volés, c’est la pire année enregistrée pour la cryptocriminalité nord-coréenne, avec 76 % des intrusions attribuées à la Corée du Nord, un record historique. Au total, la somme cumulée volée par la Corée du Nord atteint au moins 6,75 milliards de dollars.

Les hackers nord-coréens infiltrent de plus en plus souvent les services cryptographiques en y insérant du personnel IT (l’une de leurs principales méthodes d’attaque) pour obtenir des accès privilégiés et lancer des attaques majeures. Ces attaques record cette année reflètent en partie une dépendance accrue à l’infiltration de personnel IT dans les exchanges, les custodians et les entreprises Web3, ce qui accélère l’accès initial et la mobilité latérale, facilitant ainsi de grands vols.

Cependant, récemment, des groupes de hackers liés à la Corée du Nord ont complètement bouleversé ce modèle basé sur le personnel IT. Ils ne se contentent plus de postuler à des postes pour s’infiltrer en tant qu’employés, mais se font de plus en plus passer pour des recruteurs de sociétés Web3 ou IA renommées, orchestrant des processus de recrutement fictifs. Sous prétexte de “sélection technique”, ils obtiennent les identifiants de connexion, le code source et l’accès VPN ou SSO de leurs victimes. Au niveau des cadres, des techniques d’ingénierie sociale similaires prennent la forme de contacts avec de faux investisseurs stratégiques ou acquéreurs, utilisant des réunions de présentation et de fausses due diligences pour sonder des systèmes sensibles et des infrastructures à haute valeur. Cette évolution s’appuie directement sur la fraude par des IT de la Corée du Nord, en ciblant des entreprises stratégiques en IA et blockchain.

Comme observé ces dernières années, les cyberattaques de la Corée du Nord ont une valeur bien supérieure à celles des autres hackers. Comme le montre le graphique, de 2022 à 2025, les attaques nord-coréennes occupent la tranche de valeur la plus élevée, tandis que celles d’autres hackers sont réparties de façon plus normale. Ce mode indique que, lorsqu’ils lancent une attaque, ils ciblent principalement de grands services pour maximiser leur impact.

Les pertes record de cette année résultent d’une forte réduction des incidents connus. Ce changement (moins d’événements mais des pertes beaucoup plus importantes) reflète l’impact de l’attaque massive contre Bybit en février 2025.

Mode de blanchiment de la cryptocriminalité nord-coréenne

Au début de 2025, l’afflux massif de fonds volés a révélé comment les hackers nord-coréens nettoyaient à grande échelle leurs cryptomonnaies. Leur mode opératoire diffère radicalement de celui d’autres cybercriminels et a évolué au fil du temps.

Le blanchiment nord-coréen présente un mode de “découpage” évident : plus de 60 % des transactions se concentrent sur des montants inférieurs à 50 000 dollars. En revanche, plus de 60 % des fonds transférés sur la chaîne par d’autres hackers sont effectués en plusieurs lots dans la fourchette de 1 à 10 millions de dollars. Bien que chaque opération de blanchiment nord-coréenne soit plus importante que celles des autres, ils fractionnent leurs transferts pour compliquer la traçabilité.

Par rapport à d’autres hackers, la Corée du Nord privilégie certains modes de blanchiment :

  • Transferts en chinois et services de garantie (+355 % à plus de 1000 %) : caractéristique la plus marquante, fortement dépendante des services de garantie en chinois et d’un réseau de blanchiment composé de nombreux opérateurs à la conformité faible.
  • Ponts inter-chaînes (+97 %) : utilisation intensive de ponts pour transférer des actifs entre différentes blockchains, tentant d’augmenter la difficulté de traçage.
  • Services de mixage (+100 %) : recours accru aux services de mixage pour dissimuler les flux financiers.
  • Services spécialisés comme Huione (+356 %) : utilisation stratégique de services spécifiques pour faciliter le blanchiment.

D’autres hackers impliqués dans le blanchiment privilégient :

  • Protocoles de prêt (-80 %) : évitent d’utiliser ces services DeFi, indiquant une intégration limitée dans l’écosystème DeFi plus large.
  • Exchanges sans KYC (-75 %) : étonnamment, d’autres hackers utilisent davantage les exchanges sans KYC que la Corée du Nord.
  • Plateformes P2P (-64 %) : intérêt limité pour les plateformes P2P.
  • CEX (-25 %) : interactions plus fréquentes avec les exchanges centralisés traditionnels.
  • DEX (-42 %) : préférence pour les DEX, en raison de leur forte liquidité et de leur anonymat.

Ces modes opératoires montrent que l’activité de la Corée du Nord est influencée par des contraintes et des objectifs différents de ceux des cybercriminels non étatiques. Ils utilisent massivement des services de blanchiment en chinois et des traders OTC, ce qui indique une forte connexion avec des acteurs illicites en Asie-Pacifique.

Chronologie du blanchiment des fonds volés après les attaques nord-coréennes

L’analyse des activités on-chain postérieures à des incidents attribués à la Corée du Nord entre 2022 et 2025 montre une cohérence dans la circulation des fonds volés dans l’écosystème cryptographique. Après un vol majeur, les fonds suivent un parcours structuré en plusieurs étapes, durant environ 45 jours :

Première étape : stratification immédiate (0-5 jours)

Dans les premiers jours suivant l’attaque, une activité intense est observée, visant à transférer rapidement les fonds depuis la source du vol :

  • La circulation des fonds volés dans les protocoles DeFi augmente de +370 %, devenant le point d’entrée principal.
  • Le volume des transactions de services de mixage augmente aussi fortement (+135-150 %), constituant la première couche de dissimulation.
  • Cette étape représente une action d’urgence, visant à faire la distinction avec l’acte de vol initial.

Deuxième étape : intégration préliminaire (6-10 jours)

Après la première semaine, la stratégie de blanchiment se tourne vers des services facilitant l’intégration des fonds dans l’écosystème plus large :

  • Les échanges avec moins de restrictions KYC (+37 %) et les CEX (+32 %) commencent à recevoir des fonds.
  • La deuxième couche de services de mixage (+76 %) poursuit le blanchiment à un rythme plus modéré.
  • Le pontage inter-chaînes (ex. XMRt, +141 %) aide à disperser et dissimuler les flux entre blockchains.
  • Cette étape constitue une période de transition clé, où les fonds commencent à se diriger vers des canaux de sortie potentiels.

Troisième étape : intégration à long terme (20-45 jours)

La dernière phase privilégie les services permettant de convertir finalement en fiat ou autres actifs :

  • Les exchanges sans KYC (+82 %) et les services de garantie (ex. Potatoblock, +87 %) voient leur volume augmenter significativement.
  • Les exchanges instantanés (+61 %) et les plateformes en chinois (+45 %, ex. HuiWang) deviennent les points de conversion finaux.
  • Les CEX (+50 %) reçoivent aussi des fonds, indiquant des tentatives de mêler fonds illicites et légitimes.
  • Les plateformes dans des juridictions peu réglementées, comme les réseaux de blanchiment chinois (+33 %) et Grinex (+39 %), complètent ce mode opératoire.

Ce cycle de blanchiment, généralement d’environ 45 jours, fournit des informations cruciales aux forces de l’ordre et aux équipes de conformité. Ce modèle, en place depuis plusieurs années, montre que les hackers nord-coréens font face à des contraintes opérationnelles, liées à leur accès limité aux infrastructures financières et à la nécessité de coordonner avec certains intermédiaires.

Bien que ces hackers ne suivent pas toujours cette chronologie exacte — certains fonds volés peuvent rester en sommeil pendant des mois ou des années — ce modèle représente leur comportement typique lors de blanchiment actif. Il faut aussi noter que cette analyse comporte des limites, car certaines activités (transfert de clés privées ou échanges OTC en cryptomonnaies contre fiat) ne sont pas visibles sur la chaîne sans renseignements corroborants.

Vol de portefeuilles personnels : menace croissante pour les utilisateurs individuels

L’analyse des schémas on-chain, combinée aux rapports de victimes et partenaires du secteur, permet d’évaluer la gravité des vols de portefeuilles personnels, même si le nombre réel de vols est probablement supérieur. La valeur volée par ces incidents en 2025 représente au moins 20 % du total, en baisse par rapport à 44 % en 2024, indiquant une évolution en termes de volume et de mode. Le nombre total d’incidents a explosé à 158 000, presque le triple des 54 000 de 2022. Le nombre de victimes est passé de 40 000 en 2022 à au moins 80 000 en 2025. Cette croissance significative est probablement liée à une adoption plus large des cryptomonnaies. Par exemple, la blockchain avec le plus grand nombre de portefeuilles actifs est Solana, avec environ 26 500 victimes.

Cependant, malgré l’augmentation du nombre d’incidents et de victimes, le montant en dollars volé par victime a diminué, passant d’un pic de 1,5 milliard en 2024 à 713 millions en 2025. Cela montre que si le nombre de cibles a augmenté, le montant moyen par victime a diminué.

Les données par réseau offrent un aperçu des secteurs les plus dangereux pour les utilisateurs cryptographiques. La figure ci-dessous montre le taux de criminalité ajusté par 10 000 portefeuilles actifs en 2025. Ethereum et TRON ont les taux de vol les plus élevés. La taille massive de la base d’utilisateurs d’Ethereum explique ses taux élevés, tandis que TRON, avec moins de portefeuilles actifs, affiche également un taux élevé. En revanche, malgré leur grande base d’utilisateurs, Base et Solana ont des taux de victimisation plus faibles.

Cela indique que le risque pour les portefeuilles personnels dans l’écosystème cryptographique n’est pas uniforme. Même avec des architectures techniques similaires, les taux de victimisation varient selon les blockchains, ce qui suggère que des facteurs comme la démographie des utilisateurs, les applications populaires et l’infrastructure criminelle jouent un rôle important dans la vulnérabilité.

Attaques en DeFi : divergence de tendance annonciatrice d’un changement de marché

Les données criminelles de 2025 dans le secteur DeFi révèlent un mode distinct, en rupture avec la tendance historique.

Trois phases clairement différenciées sont observables :

  • Phase 1 (2020-2021) : TVL en DeFi et pertes dues aux hackers croissent simultanément
  • Phase 2 (2022-2023) : ces deux indicateurs diminuent en parallèle
  • Phase 3 (2024-2025) : le TVL remonte, mais les pertes restent stables

Les deux premières phases suivent un modèle évident : plus la valeur en jeu est grande, plus les attaques ciblent des protocoles à forte valeur, pour maximiser leur impact. Comme le disait le braqueur de banque Willie Sutton : « Parce qu’il y a de l’argent là-bas. »

Ce qui rend la troisième phase encore plus remarquable. Le TVL en DeFi a fortement rebondi depuis le creux de 2023, mais les pertes dues aux attaques n’ont pas suivi cette hausse. Bien que des dizaines de milliards de dollars soient revenus dans ces protocoles, le nombre d’incidents de hacking en DeFi reste faible, marquant un changement significatif.

Deux facteurs peuvent expliquer cette divergence :

  • Amélioration de la sécurité : malgré la croissance du TVL, le taux d’attaques diminue, suggérant que les protocoles DeFi ont mis en place des mesures de sécurité plus efficaces qu’en 2020-2021.
  • Changement de cible : la hausse simultanée des vols de portefeuilles personnels et des attaques sur les services centralisés indique que les attaquants pourraient se détourner d’un secteur pour en privilégier un autre.

Étude de cas : la réponse sécuritaire de Venus Protocol

L’incident de septembre 2025 sur Venus montre que les mesures de sécurité renforcées portent leurs fruits. Lors de cette attaque, les hackers ont exploité une faille dans un client Zoom compromis pour obtenir un accès au système, puis ont incité un utilisateur à leur accorder une autorisation de délégation sur un compte valant 13 millions de dollars, ce qui aurait pu être catastrophique. Heureusement, Venus avait déjà activé un système de surveillance de sécurité Hexagate un mois auparavant.

Ce système a détecté une activité suspecte 18 heures avant l’attaque, et a déclenché une alerte dès la transaction malveillante. En 20 minutes, Venus a suspendu son protocole, empêchant toute sortie de fonds. Cette réaction coordonnée illustre l’évolution de la sécurité en DeFi :

  • En 5 heures : vérification de sécurité terminée, certaines fonctionnalités rétablies
  • En 7 heures : liquidation forcée du portefeuille de l’attaquant
  • En 12 heures : récupération de l’intégralité des fonds volés et restauration du service

Fait remarquable, Venus a adopté une proposition de gouvernance pour geler 3 millions de dollars d’actifs contrôlés par l’attaquant ; celui-ci n’a pas pu en tirer profit, et a même perdu des fonds.

Cet incident montre que l’infrastructure de sécurité en DeFi s’est réellement améliorée. La surveillance proactive, la capacité de réaction rapide et la gouvernance capable de prendre des décisions fermes rendent l’écosystème plus agile et résilient. Bien que les attaques subsistent, la capacité à détecter, répondre et inverser les attaques marque une rupture fondamentale avec l’époque où une attaque réussie signifiait une perte définitive.

Impacts pour 2026 et au-delà

Les données de 2025 illustrent une évolution complexe de la menace nord-coréenne dans l’industrie cryptographique. Le nombre d’attaques a diminué, mais leur impact destructeur a fortement augmenté, témoignant d’une sophistication et d’une patience accrues. L’impact de l’incident de Bybit sur leur mode d’activité annuel montre qu’en cas de vol majeur, ils ralentissent leurs opérations pour se concentrer sur le blanchiment.

Pour l’industrie cryptographique, cette évolution impose de renforcer la vigilance sur les cibles à haute valeur, et d’améliorer la détection des modes de blanchiment spécifiques à la Corée du Nord. Leur préférence persistante pour certains types de services et montants de transfert offre des pistes pour la détection, différenciant ces acteurs des autres criminels et aidant les enquêteurs à repérer leurs comportements on-chain.

Alors que la Corée du Nord continue de financer ses priorités nationales via le vol de cryptomonnaies et d’échapper aux sanctions internationales, l’industrie doit comprendre que ses modes opératoires diffèrent radicalement de ceux des cybercriminels classiques. La performance record de 2025 (avec une baisse de 74 % des attaques connues) indique que l’on ne voit peut-être que la partie émergée de l’iceberg. Le défi pour 2026 sera de détecter et d’empêcher ces opérations avant qu’elles ne se reproduisent à l’échelle de Bybit.

Voir l'original
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.
Commentaire
0/400
Aucun commentaire
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresSalle de presseSponsor de Oracle Red Bull Racing Partenaire officiel sur la manche du maillot de l’Inter de MilanConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réservesLicenceSécuritéGateToken (GT)GUSDGate ChainÉvènements de GateApplication de la loiSommetsGate Ventures
    P2PConversion & Trading en blocs Trading spotMargeCentre EarnETFFuturesTradFiActionsAlphaNFTGate PayGate LifeCarte cadeauGate OTCGate CharityBoutique GateWeb3Gate Perp DEXGate Vault
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursAI Services EcosystemRecherche de vérificationApplication pour les marchands P2PProgramme d'affiliationTradingViewCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinMise à niveau d’Ethereum (ETH)Wiki cryptoCalculateur crypto