Un vol de 3,5 milliards de dollars en bitcoin vient d’être découvert… quatre ans après

C’est un braquage monumental qui était passé sous les radars. Selon une enquête publiée par Arkham Intelligence le 3 août, le pool de minage chinois LuBian a été piraté en décembre 2020 pour un montant de 127 426 BTC. À l’époque, la valeur du butin était estimée à 3,5 milliards de dollars. Il s’agit, selon Arkham, du plus important piratage jamais survenu dans l’écosystème crypto.

Le plus gros vol de crypto enfin révélé

D’après les données on-chain analysées par Arkham, le piratage a eu lieu le 28 décembre 2020 . Ce jour-là, LuBian Mining Pool, alors classé sixième plus grand producteur de blocs Bitcoin, a vu 90 % de ses fonds disparaître.

« Ni LuBian ni l’attaquant n’ont jamais révélé ce vol », souligne Arkham dans son rapport. Le silence entourant cette affaire a permis au pirate de transférer les fonds sans attirer l’attention. Seuls 11 886 BTC ont pu être sauvés par les opérateurs du pool, transférés en urgence vers des portefeuilles de récupération.

Le reste — soit plus de 115 000 BTC — a été subtilisé en plusieurs transactions, laissant peu de traces à l’époque. Le fait que cette affaire ne soit découverte que quatre ans plus tard soulève des questions sur la capacité de l’écosystème à détecter les grands flux illicites, même sur une blockchain aussi transparente que celle de Bitcoin.

Une faille algorithmique au cœur de l’attaque

Selon Arkham, la vulnérabilité exploitée par les pirates viendrait d’une faiblesse dans le générateur de clés privées utilisé par LuBian. « Il semble que LuBian utilisait un algorithme de génération de clés privées sensible aux attaques par force brute », avance la plateforme d’analyse.

Autre indice troublant : après le piratage, les responsables de LuBian ont inscrit 1 516 messages OP_RETURN sur les adresses contrôlées par le hacker. Un geste rare et coûteux (1,4 BTC de frais), destiné, selon toute vraisemblance, à signaler leur détresse ou à marquer leur territoire sur les adresses dérobées.

Au cours actuel, les BTC volés valent près de 14,5 milliards de dollars. À titre de comparaison, l’attaque contre Bybit en février dernier, jusque-là considérée comme la plus importante, portait sur un montant de 1,5 milliard de dollars.

Une affaire qui rebat les cartes des plus gros hacks crypto

Ce nouveau développement modifie le classement historique des hacks dans l’industrie crypto. Le précédent record, attribué à l’incident Bybit/SafeWallet, est désormais dépassé de très loin. En avril, un autre cas notable avait vu une personne âgée perdre 330 millions de dollars en BTC via une arnaque d’ingénierie sociale — un montant déjà considéré comme massif à l’époque.

Cette affaire relance le débat sur la sécurité des infrastructures crypto, notamment les pools de minage souvent moins audités que les exchanges. Elle illustre aussi la nécessité pour les opérateurs de sécuriser leurs générateurs de clés et d’adopter des mesures proactives.

Pour Arkham, cette enquête rétroactive prouve qu’aucun vol sur blockchain ne reste impuni éternellement. Mais elle met surtout en lumière les lacunes de surveillance de l’écosystème : un vol de plusieurs milliards de dollars a pu rester dans l’ombre durant près de quatre ans.