Le plus gros exploit DeFi de l’année a commencé lors d’un événement de réseautage avec boissons offertes — Drift Protocol a révélé le 5 avr. que son Apr. 1 hack était le résultat d’une opération de renseignement de six mois désormais liée, avec un niveau de confiance moyen-élevé, à des acteurs affiliés à l’État nord-coréen.
Détails de l’attaque contre Drift Protocol
L’infiltration began à l’automne 2025, lorsqu’un groupe se faisant passer pour une société de trading quantitatif a approché des contributeurs de Drift lors d’une grande conférence crypto. Au cours des mois suivants, ils ont rencontré des membres de l’équipe en face à face lors de plusieurs événements de l’industrie dans différents pays.
Ils ont déposé plus de 1 M$ de leurs propres fonds dans un Ecosystem Vault.
Ils ont posé des questions détaillées sur le produit au fil de plusieurs sessions de travail, construisant ce qui semblait être une activité de trading légitime au sein de l’infrastructure de Drift.
Entre décembre 2025 et mars 2026, le groupe a approfondi ses liens à travers des intégrations de coffres (vaults) et a poursuivi les rencontres en personne lors de conférences. Les contributeurs n’avaient aucune raison de se méfier — au moment de l’exploit, la relation durait depuis près de six mois et incluait des parcours professionnels vérifiés, des discussions techniques substantielles et une présence on-chain fonctionnelle.
Lorsque l’attaque a frappé le 1er avr., les discussions Telegram du groupe et les logiciels malveillants avaient été entièrement effacés. L’analyse médico-légale a identifié deux vecteurs d’intrusion probables : un dépôt de code malveillant partagé sous prétexte de déployer un frontend de vault, et une application TestFlight présentée comme le portefeuille du groupe.
Une vulnérabilité connue dans les éditeurs VSCode et Cursor, signalée activement par la communauté de la sécurité de décembre 2025 à février 2026, pourrait avoir permis une exécution silencieuse de code simplement en ouvrant un fichier.
Toutes les fonctions restantes du protocole ont été gelées et les portefeuilles compromis retirés du multisig. Mandiant a été mandaté pour l’enquête, et les portefeuilles des attaquants ont été signalés auprès des plateformes d’échange et des opérateurs de ponts.
À lire aussi : Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Acteurs malveillants nord-coréens suspectés
Les enquêtes menées par l’équipe SEALS 911 ont conclu, avec un niveau de confiance moyen-élevé, que l’opération avait été menée par les mêmes acteurs que ceux derrière le hack de Radiant Capital en octobre 2024.
Mandiant avait auparavant attribué cette attaque à UNC4736, un groupe affilié à l’État nord-coréen, également suivi sous les noms AppleJeus ou Citrine Sleet.
Le lien repose à la fois sur des éléments on-chain et sur des schémas opérationnels.
Les flux de fonds utilisés pour préparer et tester l’opération contre Drift remontent aux attaquants de Radiant, et les personas déployés tout au long de la campagne se recoupent avec des activités déjà connues comme liées à la RPDC. Il est à noter que les individus qui se sont présentés en personne n’étaient pas des ressortissants nord-coréens — les acteurs de la RPDC de ce niveau sont connus pour utiliser des intermédiaires tiers pour les interactions en face à face.
À lire ensuite : XRP Ledger Hits Record 4.49M Transactions Amid Price Decline