Le plus grand exploit DeFi de l’année a commencé lors d’un événement de réseautage avec boissons offertes — Drift Protocol a révélé le 5 avril que son Apr. 1 hack était le résultat d’une opération de renseignement de six mois, désormais reliée avec un niveau de confiance moyen à élevé à des acteurs affiliés à l’État nord-coréen.
Détails de l’attaque contre Drift Protocol
L’infiltration began à l’automne 2025, lorsqu’un groupe se faisant passer pour une société de trading quantitatif a approché des contributeurs de Drift lors d’une grande conférence crypto. Au cours des mois suivants, ils ont rencontré des membres de l’équipe en face à face lors de plusieurs événements de l’industrie à travers plusieurs pays.
Ils ont déposé plus de 1 M$ de leurs propres fonds dans un « Ecosystem Vault ».
Ils ont posé des questions détaillées sur le produit au fil de plusieurs sessions de travail, construisant ce qui semblait être une opération de trading légitime à l’intérieur de l’infrastructure de Drift.
Entre décembre 2025 et mars 2026, le groupe a approfondi ses liens via des intégrations de vault et des rencontres en personne continues lors de conférences. Les contributeurs n’avaient aucune raison de se méfier — au moment de l’exploit, la relation durait depuis près d’un semestre et incluait des antécédents professionnels vérifiés, des conversations techniques substantielles et une présence on-chain opérationnelle.
Lorsque l’attaque a eu lieu le 1er avril, les conversations Telegram du groupe et les logiciels malveillants ont été effacés. Les analyses forensiques ont identifié deux vecteurs d’intrusion probables : un dépôt de code malveillant partagé sous le prétexte de déployer un frontend de vault, et une application TestFlight présentée comme le portefeuille du groupe.
Une vulnérabilité connue dans les éditeurs VSCode et Cursor, signalée de manière active par la communauté sécurité entre décembre 2025 et février 2026, a pu permettre une exécution silencieuse de code simplement en ouvrant un fichier.
Toutes les fonctions restantes du protocole ont été gelées et les portefeuilles compromis retirés du multisig. Mandiant a été mandaté pour l’enquête, et les portefeuilles des attaquants ont été signalés auprès des plateformes d’échange et des opérateurs de ponts.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Acteurs menaçants nord-coréens suspectés
Les enquêtes menées par l’équipe SEALS 911 ont conclu, avec un niveau de confiance moyen à élevé, que l’opération a été menée par les mêmes acteurs menaçants que ceux derrière le hack de Radiant Capital en octobre 2024.
Mandiant avait précédemment attribué cette attaque à UNC4736, un groupe affilié à l’État nord-coréen également suivi sous les noms AppleJeus ou Citrine Sleet.
Ce lien repose à la fois sur des preuves on-chain et sur des schémas opérationnels.
Les flux de fonds utilisés pour préparer et tester l’opération contre Drift remontent aux attaquants de Radiant, et les personas déployées tout au long de la campagne se recoupent avec des activités connues liées à la RPDC. Fait notable, les individus qui se sont présentés en personne n’étaient pas des ressortissants nord-coréens — les acteurs menaçants de ce niveau en RPDC sont connus pour utiliser des intermédiaires tiers pour les interactions en face à face.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline