Bitcoin Depot révèle une faille de sécurité majeure, des pirates dérobent 3,6 millions de dollars en BTC

Le 9 avril, l’exploitant de distributeurs automatiques de Bitcoin Bitcoin Depot a déposé auprès de la Securities and Exchange Commission des États-Unis (SEC) un dossier révélant que la société a subi une faille de sécurité majeure le 23 mars. Les pirates, en compromettant le système informatique de l’entreprise, ont dérobé les identifiants de connexion du compte de règlement d’actifs numériques, permettant de transférer environ 50,9 bitcoins sans autorisation. Selon la valeur au moment du vol, la perte s’élève à environ 3.67M de dollars.

Analyse des vecteurs d’attaque : comment le vol des identifiants IT a conduit à la fuite de BTC

(Source : SEC)

D’après le dossier de divulgation de la SEC de Bitcoin Depot, l’attaque implique une chaîne complète de compromission et de transfert :

Résumé du parcours d’attaque et des pertes

Intrusion dans le système informatique : les attaquants ont réussi à s’infiltrer dans le système informatique interne de l’entreprise et à obtenir les identifiants de connexion du compte de règlement d’actifs numériques

Transfert de fonds non autorisé : en utilisant les identifiants dérobés, réalisation d’un transfert illégal d’actifs cryptographiques sans que personne n’en ait connaissance

Importance des pertes : 50,9 bitcoins, la perte estimée sur la base de la valeur au moment du vol s’élève à 3.67M de dollars

Impact côté client : la plateforme de DAB destinée aux clients et les données personnelles des utilisateurs n’ont pas été touchées

Moment de l’incident : la faille a eu lieu le 23 mars 2026

Au moment de la publication du rapport, Bitcoin Depot n’avait, en plus du dossier auprès de la SEC, publié aucune déclaration publique à ce sujet, et n’avait pas non plus répondu aux demandes de commentaires des médias.

Mesures de réponse de l’entreprise et coûts potentiels ultérieurs

Après avoir découvert l’intrusion, Bitcoin Depot a activé un mécanisme de gestion de l’incident, engagé des experts externes en cybersécurité pour enquêter sur le parcours d’attaque et immobiliser les actifs restants, et a également déposé une plainte auprès des autorités chargées de l’application de la loi, sans toutefois divulguer précisément quelles organisations ont participé à l’enquête.

L’entreprise estime initialement la perte à 3.67M de dollars, mais le dossier de la SEC ne révèle pas si la société détient une assurance contre le vol d’actifs numériques, ni n’explique l’impact potentiel de cette perte sur l’exploitation de la liquidité en bitcoins dans l’ensemble du réseau de DAB. Bitcoin Depot indique clairement que les risques associés à cet événement incluent un préjudice à la réputation, des frais juridiques, une intervention du régulateur et des coûts de réponse d’urgence, susceptibles de constituer une charge financière à long terme pour l’activité de la société.

En ce qui concerne la réaction du marché, l’action BTM a bondi d’environ 15 % au cours des échanges de la journée, et a clôturé à 2,74 dollars, mais on a observé un recul après la publication du dossier de la SEC. À noter que l’action avait déjà cumulé une baisse de 44 % au cours des 30 jours précédents.

Deuxième incident de sécurité : défis systémiques de sécurité auxquels font face les opérateurs de DAB

Il s’agit du moins du deuxième grave incident de sécurité connu pour Bitcoin Depot : en 2023, la société a déjà subi une autre attaque de pirates, entraînant une fuite des données personnelles d’environ 58k utilisateurs. La survenue consécutive de ces deux incidents met en évidence la pression systémique à laquelle sont confrontés les opérateurs de distributeurs de Bitcoin en matière de protection de la sécurité.

Étant donné que les opérateurs de DAB doivent maintenir d’importantes réserves de cryptomonnaies pour permettre les transactions clients, ils sont devenus une cible d’attaque très élevée pour les criminels informatiques. Ces entreprises, tout en reliant de l’argent liquide physique et des infrastructures de cryptomonnaies, doivent également gérer des systèmes de garde numérique complexes, créant une surface d’attaque croisée unique entre sécurité physique et sécurité réseau.

Cet incident survient alors que Bitcoin Depot fait l’objet d’un contrôle réglementaire de plus en plus strict : en février de cette année, sous la pression des autorités de régulation, l’entreprise a renforcé les exigences d’authentification des identités pour toutes les transactions effectuées via les DAB afin de renforcer ses capacités de lutte contre la fraude et la conformité AML (lutte contre le blanchiment d’argent).

FAQ

À combien s’élève la perte liée au piratage de Bitcoin Depot ?

D’après les documents déposés par Bitcoin Depot auprès de la SEC, les pirates ont dérobé environ 50,9 bitcoins, et la perte estimée sur la base de la valeur au moment du vol s’élève à environ 58k de dollars. La société n’a pas encore divulgué si elle détenait une assurance contre le vol d’actifs numériques, ni précisé l’impact potentiel de la perte sur les opérations de liquidité des DAB.

Les données personnelles des clients ont-elles été affectées par cette attaque de pirates ?

Bitcoin Depot indique clairement dans le dossier de la SEC que la plateforme de DAB destinée aux clients et les données personnelles des utilisateurs n’ont pas été affectées par cette intrusion. L’incident a principalement touché le compte de règlement d’actifs numériques interne à l’entreprise, isolé des systèmes côté client.

S’agit-il du combienième incident de sécurité de Bitcoin Depot ?

Il s’agit du moins du deuxième grave incident de sécurité connu pour Bitcoin Depot. En 2023, la société avait déjà subi une autre attaque de pirates, entraînant la fuite des données personnelles d’environ 58k utilisateurs, formant un schéma préoccupant de répétition d’incidents de sécurité.