Une opération de renseignement de six mois a précédé l’exploitation de 270 millions de dollars par Drift Protocol, menée par un groupe lié à l’État nord-coréen, selon une mise à jour détaillée publiée par l’équipe ce dimanche.
Les assaillants ont effectué leur premier contact à l’automne 2025 lors d’une conférence majeure sur la cryptomonnaie, se présentant comme une société de trading quantitatif cherchant à s’intégrer à Drift.
Ils se montraient techniquement compétents, avec des parcours professionnels vérifiables, et comprenaient le fonctionnement du protocole, a indiqué Drift. Un groupe Telegram a été créé et ce qui a suivi a été plusieurs mois de discussions substantielles sur des stratégies de trading et des intégrations de coffre-fort, des interactions typiques lors de l’intégration des sociétés de trading avec les protocoles DeFi.
Entre décembre 2025 et janvier 2026, ce groupe a intégré un Ecosystem Vault sur Drift, tenu de multiples sessions de travail avec des contributeurs, déposé plus d’un million de dollars de capital propre, et établi une présence opérationnelle dans l’écosystème.
Les contributeurs de Drift ont rencontré des membres du groupe en personne lors de conférences majeures dans plusieurs pays à partir de février jusqu’en mars. Lorsque l’attaque a eu lieu le 1er avril, la relation avait presque six mois.
[not-theb]
Le compromis semble s’être produit par deux vecteurs.
Le second a téléchargé une application TestFlight, la plateforme d’Apple pour distribuer des applications préliminaires, que le groupe a présentée comme son produit de portefeuille.
Pour le vecteur de dépôt, Drift a signalé une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus utilisés dans le développement logiciel, que la communauté de la sécurité a signalée depuis fin 2025, où simplement ouvrir un fichier ou un dossier dans l’éditeur suffisait à exécuter silencieusement du code arbitraire sans avertissement.
Une fois les appareils compromis, les assaillants ont obtenu ce dont ils avaient besoin pour obtenir les deux approbations multisig qui ont permis l’attaque de nonce durable que CoinDesk a détaillée plus tôt cette semaine. Ces transactions pré-signées sont restées inactives pendant plus d’une semaine avant d’être exécutées le 1er avril, drainant 270 millions de dollars des coffres du protocole en moins d’une minute.
L’attribution pointe vers UNC4736, un groupe lié à l’État nord-coréen également connu sous le nom d’AppleJeus ou Citrine Sleet, basé à la fois sur les flux de fonds on-chain traçant les attaquants de Radiant Capital et sur le chevauchement opérationnel avec des personnalités connues liées à la RPDC.
Cependant, les individus qui se sont présentés en personne lors des conférences n’étaient pas des ressortissants nord-coréens. Les acteurs menaçants de la RPDC à ce niveau sont connus pour déployer des intermédiaires tiers ayant des identités, des parcours professionnels et des réseaux construits pour supporter une due diligence.
Drift a exhorté d’autres protocoles à auditer les contrôles d’accès et à considérer chaque appareil touchant un multisig comme une cible potentielle. L’implication plus large de cette situation est préoccupante pour une industrie qui repose sur la gouvernance multisig comme son principal modèle de sécurité.
Cependant, si les attaquants sont prêts à dépenser six mois et un million de dollars pour établir une présence légitime dans un écosystème, rencontrer des équipes en personne, contribuer un capital réel, et patienter, la question se pose : quel modèle de sécurité est conçu pour attraper cela ?
Points à retenir
- La manipulation des protocoles DeFi peut dépasser des mois d’actions discrètes.
- Les vulnérabilités techniques peuvent être exploitées sans éveiller les soupçons.
- Les relations personnelles peuvent faciliter des attaques majeures.
- Les acteurs malveillants utilisent souvent des intermédiaires pour masquer leur identité.
- La nécessité d’audits de sécurité est primordiale pour les protocoles de cryptomonnaie.
Cette affaire soulève des questions cruciales sur la sécurité dans l’espace des cryptomonnaies. Si une telle infiltration a réussi, cela indique une vulnérabilité structurelle au sein des protocoles DeFi. La nécessité d’un renforcement des mesures de sécurité n’a jamais été aussi pressante, et il sera essentiel d’engager une réflexion collective sur les meilleures pratiques pour prévenir de futures intrusions. L’industrie peut-elle vraiment évoluer face à ces défis? Une adaptation rapide et proactive semble inévitable pour faire face à l’évolution constante des menaces.
[not-theb]
Pas des conseils en investissement
Les informations fournies sur ce site web ne doivent pas être considérées comme des conseils en investissement, des conseils financiers, des conseils en trading ou toute autre sorte de conseil et aucun contenu du site web ne doit être considéré de la sorte. LesNews ne vous recommande pas d'acheter, vendre ou détenir des cryptomonnaies. Faites preuve de vigilance et consultez votre conseiller financier avant de prendre toute décision en matière d'investissement
Avis de non-responsabilité
[/not-theb]Avis de non-responsabilité. LesNews ne cautionne aucun contenu ou produit figurant sur cette page. Bien que nous nous efforcions de vous fournir toutes les informations importantes que nous avons pu obtenir, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action liée à l'entreprise et assumer l'entière responsabilité de leurs décisions, et cet article ne peut être considéré comme un conseil d'investissement..