De DeFi à Defcon : TRM avertit d'une offensive cybernétique des États-nations

Groupes nord-coréens responsables de 70 % des pertes

Au premier semestre 2025, plus de 2,1 milliards de dollars en crypto-monnaies ont été volés lors d’au moins 75 piratages et exploits distincts, presque équivalant au montant total volé en 2024. Selon le dernier rapport de TRM Crypto Crime, les pertes au premier semestre 2025 dépassent le record établi au premier semestre 2022 d’environ 10 %. Le rapport montre cependant que le piratage de 1,5 milliard de dollars de Bybit en février représente presque 70 % des pertes totales.

Outre les pertes colossales de février, les données de TRM montrent que janvier, avril, mai et juin sont les seuls autres mois avec des pertes dépassant 100 millions de dollars. Seul mars a eu des pertes inférieures à 100 millions de dollars.

Selon plusieurs médias, des pirates affiliés à la Corée du Nord sont soupçonnés d’être à l’origine de la violation de Bybit. Bien que la réponse de la communauté à l’attaque sophistiquée ait rendu la vie difficile aux cybercriminels, les médias suggèrent qu’une partie importante des fonds est perdue à jamais. Pendant ce temps, le rapport note le rôle persistant et alarmant des attaques cryptographiques soutenues par des États et désigne Pyongyang comme le principal coupable.

“Nous estimons que les groupes liés à la Corée du Nord sont responsables de 1,6 milliard de dollars du montant total volé au premier semestre 2025, représentant environ 70 % de tous les fonds volés et consolidant leur position en tant qu’acteur de menace étatique le plus prolifique dans l’espace crypto”, conclut le rapport.

Alors que la Corée du Nord est soupçonnée d’utiliser les fonds volés sur les plateformes d’échange d’actifs numériques pour financer son programme d’armement, le rapport reconnaît que d’autres acteurs étatiques tirent parti des piratages de crypto-monnaies à des fins géopolitiques. Il cite le piratage de la plus grande plateforme d’échange crypto d’Iran, Nobitex, le 18 juin 2025, pour plus de 90 millions de dollars par le groupe israélien Gonjeshke Darande.

Contrairement à d’autres groupes qui dépensent les fonds volés, Gonjeshke Darande a transféré les fonds vers des adresses vanité non dépensables. Cet acte, selon le rapport, “souligne comment le vol d’actifs numériques devient un instrument clandestin dans les conflits géopolitiques et la politique nationale.”

Pendant ce temps, l’équipe TRM a découvert que les attaques d’infrastructure telles que le vol de clés privées et de phrases de récupération ou les compromissions de front-end représentaient plus de 80 % des fonds volés au premier semestre 2025. Les exploits de protocole, quant à eux, représentaient 12 % supplémentaires, soulignant des vulnérabilités persistantes dans les contrats intelligents de la finance décentralisée (DeFi).

Pour contrer la menace croissante posée par les attaquants soutenus par l’État, le rapport TRM exhorte l’industrie crypto à renforcer la sécurité fondamentale — authentification à plusieurs facteurs (MFA), stockage à froid et audits fréquents. Il doit prioriser l’amélioration de la détection des menaces internes et le renforcement des défenses contre les tactiques sophistiquées d’ingénierie sociale.