Coinbase, la plus importante plateforme d’échange de crypto-monnaies aux États-Unis, a réussi à éviter une attaque au niveau de sa chaîne d’approvisionnement qui aurait pu compromettre son infrastructure open-source.
Le contexte :
Un exchange crypto est une plateforme qui permet d’acheter et vendre des crypto-monnaies. Ces plateformes sont parfois la cible d’attaques de pirates informatiques, qui cherchent à exploiter d’eventuelles failles de sécurité afin de dérobers les fonds des utilisateurs.
Ce dimanche 23 mars, Yu Jian, fondateur de la société de sécurité blockchain SlowMist, a signalé l’incident dans un post sur X, en se référant à un rapport de Unit 42, la division de renseignement sur les menaces de Palo Alto Networks.
Comment Coinbase est parvenue à stopper une cyberattaque majeure
Selon Unit 42, l’attaquant a ciblé “agentkit”, un kit d’outils open-source géré par Coinbase qui soutient les agents IA basés sur la blockchain.
Le hacker a réalisé un fork sur les dépôts agentkit et onchainkit sur GitHub, insérant du code malveillant destiné à exploiter le pipeline d’intégration continue. L’activité suspecte a été détectée pour la première fois le 14 mars 2025.
« Le payload était axé sur l’exploitation du flux CI/CD public de l’un de leurs projets open-source – agentkit, probablement dans le but de l’utiliser pour d’autres compromissions, » a rapporté Unit 42.
L’attaquant a exploité les permissions “write-all” de GitHub, ce qui a permis d’injecter un code nuisible dans le flux de travail automatisé du projet. Cette méthode aurait pu permettre l’accès à des données sensibles et créer un chemin pour de plus graves brèches du hacker.
Cependant, Unit 42 a rapporté que le payload a collecté des informations sensibles et ne contenait pas d’outils malveillants avancés comme l’exécution de code à distance ou des exploits de shell inversé.
En parallèle, Coinbase a su réagir rapidement en collaborant avec des experts en sécurité pour isoler la menace et appliquer les mesures d’atténuation nécessaires. Ces mesures rapides ont permis à l’entreprise d’éviter une infiltration plus profonde, empêchant des dommages potentiels au sein de son infrastructure.
Les risques étaient en effet particulièrement élevés compte tenu de la position de Coinbase en tant que plus importante plateforme d’échange de crypto aux États-Unis et de son rôle de gardien clé pour les ETF Bitcoin au comptant.
En effet, un piratage de cette nature aurait pu causer une perturbation majeure dans l’industrie crypto, surtout après le récent hack de Bybit, qui a coûté à la plateform 1,4 milliard de dollars.
À la lumière de cet incident, le fondateur de SlowMist a conseillé aux développeurs qui utilisent GitHub Actions, notamment ceux travaillant avec tj-actions ou reviewdog, d’auditer leurs systèmes et de confirmer qu’aucune information secrère n’a été exposé.
« Si votre entreprise utilise reviewdog ou tj-actions, faites un auto-examen approfondi, » a récommandé Yu Jian sur X.
Cet incident souligne par ailleurs l’importance croissante de sécuriser les outils open-source à mesure que l’écosystème crypto s’étend. Les données de DeFillama montrent en effet que l’industrie crypto a enregistré des exploitations malveillantes de plus de 1,5 milliard de dollars cette année.
Morale de l’histoire : Un hack crypto esquivé, deux d’inévités.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
