Samedi 18 avril, un pont cross‑chain opéré par Kelp DAO quietly bled 116,500 rsETH. Lundi, LayerZero had a name for the attackers. Pas un nouveau.
Le groupe Lazarus nord‑coréen n’est plus seulement une étiquette de hackers dans la crypto. C’est la preuve la plus nette que des opérations cyber étatiques ont transformé les actifs numériques en canal de financement stratégique, où les plus grandes brèches du secteur ressemblent moins à des bugs isolés qu’à des défaites opérationnelles de long terme.
- LayerZero attribue l’exploit Kelp DAO du 18 avril 2026, d’environ 292 millions de dollars en dérivés d’Ether (eth), au groupe Lazarus nord‑coréen et à sa sous‑unité TraderTraitor.
- Chainalysis indique que des acteurs liés à la RPDC ont volé 2,02 milliards de dollars en crypto en 2025, portant leur butin cumulé à 6,75 milliards.
- Le schéma pointe vers une guerre opérationnelle étatique plutôt que vers des bugs isolés de smart contracts comme principale menace de sécurité pour le secteur.
Le coup porté à Kelp, et pourquoi l’attribution compte
LayerZero pinned le siphonnage de Kelp DAO sur un acteur étatique dans son post‑mortem du 20 avril. Le communiqué l’a qualifié de plus grand exploit DeFi de 2026 et a mis en avant « un acteur étatique hautement sophistiqué, probablement le groupe Lazarus de la RPDC, plus précisément TraderTraitor ».
Le mécanisme n’était pas un bug de smart contract. Les attaquants ont compromis deux nœuds de Remote Procedure Call utilisés par le Decentralized Verifier Network de LayerZero, puis ont lancé une attaque de déni de service contre les nœuds sains afin de forcer un basculement vers les nœuds empoisonnés.
Cela a laissé la configuration dite de vérificateur 1‑sur‑1 de Kelp tamponner un message cross‑chain frauduleux, et le pont a libéré 116 500 rsETH à l’attaquant.
Kelp a paused ses contrats principaux via son multisig d’urgence environ 46 minutes plus tard, bloquant deux tentatives de siphonnage supplémentaires d’environ 100 millions de dollars.
Kelp a publiquement contesté la présentation de LayerZero, expliquant que la configuration à vérificateur unique reflétait le paramètre par défaut documenté de LayerZero, et non la défiance vis‑à‑vis de recommandations explicites.
L’attribution est ce qui transforme cet épisode d’un simple incident à corriger en tout autre chose. Un bug appelle un correctif. Un acteur étatique installe un adversaire permanent.
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Qui est réellement Lazarus
Le FBI a placed le cluster TraderTraitor au sein de l’appareil cyber étatique nord‑coréen dans son avis du 26 février 2025 sur le vol de Bybit, le désignant comme l’opérateur direct d’un braquage de 1,5 milliard de dollars en actifs virtuels.
Des enquêtes de Reuters en 2022 et des sanctions répétées du Trésor américain ont auparavant tied Lazarus, Bluenoroff et Andariel au Reconnaissance General Bureau, principale agence de renseignement militaire de Pyongyang.
À l’intérieur de cette structure, les analystes suivent un ensemble tournant d’alias — APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor — qui partagent souvent personnels et infrastructures.
La conséquence pour la crypto est brutale.
Quand une brèche est attribuée à « Lazarus », il ne s’agit pas d’un adolescent dans un sous‑sol, et rarement d’un contractant isolé. C’est une unité étatique avec un budget, un mandat et un horizon de patience qui se mesure en années, pas en semaines.
Cela change ce qui compte comme défense crédible. Cela change aussi qui, au bout de la chaîne de blanchiment, en bénéficie réellement.
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
De Sony aux smart contracts
Lazarus n’a pas commencé dans la crypto. Il s’est annoncé avec l’attaque wiper contre Sony Pictures en 2014, puis le braquage SWIFT de la Bangladesh Bank en 2016, puis WannaCry en 2017.
La crypto est venue ensuite, et très vite.
Le National Intelligence Service sud‑coréen a told à l’Associated Press en décembre 2022 que les hackers nord‑coréens avaient volé environ 1,2 milliard de dollars en actifs virtuels sur cinq ans.
Un rapport du Panel d’experts de l’ONU a revealed 58 cyberattaques présumées de la RPDC entre 2017 et 2023, d’environ 3 milliards de dollars, alimentant les programmes d’armes de destruction massive de Pyongyang.
Les derniers chiffres de Chainalysis poussent encore plus haut cette courbe cumulative : 6,75 milliards de dollars de vols crypto liés à la RPDC identifiés à ce jour, dont 2,02 milliards pour la seule année 2025.
La trajectoire raconte l’histoire. Chaque année compte moins d’incidents mais plus gros. Le secteur s’est enrichi, les cibles ont grossi, et Lazarus a pris de l’ampleur en parallèle.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Les plus gros braquages liés à Lazarus
Le Trésor a updated ses sanctions visant Lazarus avec des adresses de portefeuille liées au siphonnage du pont Ronin en mars 2022, attribuant environ 625 millions de dollars de pertes à des acteurs de la RPDC.
Une courte liste suffit à saisir l’ampleur :
- Ronin Network, mars 2022 : environ 625 millions de dollars siphonnés depuis le pont sidechain d’Axie Infinity, attribués à Lazarus par l’OFAC du Trésor américain quelques semaines plus tard.
- Harmony Horizon, juin 2022 : environ 100 millions de dollars volés, officiellement imputés à Lazarus et APT38 par le FBI en janvier 2023.
- WazirX, juillet 2024 : environ 235 millions de dollars dérobés à l’exchange indien via un compromis de multisig, largement attribué à des acteurs liés à la RPDC.
Puis est arrivée l’année de rupture.
DMM Bitcoin a perdu 4 502,9 Bitcoin (btc), d’une valeur d’environ 308 millions de dollars à l’époque, en mai 2024. Le FBI, le Département de la Défense et l’Agence nationale de police japonaise ont confirmed le lien avec TraderTraitor en décembre, décrivant un leurre de faux recruteur qui a compromis un fournisseur de logiciel de portefeuille et abouti à un retrait manipulé.
Bybit, en février 2025, a été le sommet.
Un attaquant a masqué l’interface de signature lors d’un transfert de cold wallet de routine et a redirigé environ 400 000 Ether, soit environ 1,5 milliard de dollars, vers une adresse inconnue.
Chainalysis place désormais ce seul incident à 1,5 milliard de dollars sur les 3,4 milliards dérobés à l’échelle du secteur en 2025. Kelp, avec 292 millions, est le dernier chapitre, pas le plus bruyant. C’est ainsi qu’opère une structure arrivée à maturité, qui n’a plus besoin de spectacle.
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
Le playbook de Lazarus a changé
Le FBI et le Japon ont detailed le nouveau modèle Lazarus dans leur avis conjoint sur DMM Bitcoin. L’ancienne image de Lazarus comme simple boutique de phishing est obsolète.
Un hacker s’est fait passer pour un recruteur LinkedIn. Un faux test pré‑embauche a implanté un script Python malveillant sur le GitHub personnel d’un ingénieur de Ginco, un fournisseur de logiciel de portefeuille. Des cookies de session volés ont ouvert l’accès au chat interne de Ginco, et quelques semaines plus tard une demande de transaction légitime de DMM a été silencieusement réécrite en vol.
Chez Bybit, Safe{Wallet} a confirmed que des applications de signature modifiées par malware affichaient la bonne destination tout en modifiant la logique de smart contract sous‑jacente. Chez Kelp, LayerZero affirme que les attaquants ont remplacé les binaires sur les mêmes nœuds RPC auxquels un vérificateur faisait confiance, conçus pour s’autodétruire et effacer les journaux locaux après usage.
Le fil conducteur est que le code est rarement la vulnérabilité. Les personnes, les fournisseurs, les chaînes de compilation et les hébergeurs d’infrastructure le sont.
Chainalysis a également signalé un canal parallèle : des opérateurs de la RPDC s’infiltrant dans des sociétés crypto comme informaticiens à distance sous de fausses identités, en utilisant parfois des collaborateurs trouvés via Upwork et Freelancer pour passer à l’échelle.
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Pourquoi Lazarus revient sans cesse à la crypto
La motivation de la Corée du Nord est la survie économique, pas l’idéologie.
Des articles de l’AP et de l’ONU describe régulièrement le vol de crypto comme une source de revenus de remplacement pour une économie sous sanctions, et comme un financement direct des programmes de missiles balistiques et nucléaires.
Des responsables américains cités par l’AP sont allés plus loin, estimant que la cybercriminalité représente désormais près de la moitié des revenus en devises étrangères de la Corée du Nord.
La crypto s’avère une cible presque parfaite pour cette mission. Les transactions se règlent de manière définitive en quelques minutes, pas en jours, il n’y a donc pas de banque correspondante pour les annuler. La liquidité est profonde, le pseudonymat peu coûteux, et les rails cross‑chain déplacent la valeur plus vite que n’importe quelle autorité ne peut la geler.
Yahoo Finance a noted, en citant la chronologie de LayerZero sur Kelp, que l’attaquant avait consolidé environ 74 000 Ether après le siphonnage et préfinancé des portefeuilles via Tornado Cash environ dix heures avant de frapper.
Pour un État qui pèse un braquage de banque contre un braquage de pont, le pont l’emporte. every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
Ce que les enquêteurs onchain ont réellement apporté
Arkham a crédité le détective pseudonyme ZachXBT de la « preuve définitive » reliant l’exploit de Bybit à Lazarus via des transactions de test, des portefeuilles connectés et des analyses de chronologie, dans sa publication de prime du 21 février 2025.
Cinq jours plus tard, l’avis de service public du FBI a officiellement nommé la Corée du Nord, en utilisant l’étiquette TraderTraitor et en publiant des listes noires de portefeuilles.
L’ordre compte. Les enquêteurs onchain comme ZachXBT ont souvent été parmi les premiers à relier publiquement de grandes brèches à des portefeuilles et des schémas de blanchiment liés à Lazarus, parfois avant la confirmation officielle.
Ils ne sont pas la source centrale de vérité. Ils constituent une couche d’attribution publique précoce qui accélère la réponse au niveau des exchanges, tandis que les agences fédérales mènent des processus plus lents, à valeur probante.
Cette division du travail est nouvelle. Elle est aussi porteuse de charge, car une fois que les fonds volés commencent à rebondir entre les chaînes, la seule question est la rapidité avec laquelle les adresses sont signalées.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Pourquoi le secteur perd encore ces combats
La plupart des débats sur la sécurité crypto se concentrent encore sur les audits de code. Lazarus ne se soucie pas des audits.
La surface d’attaque qui compte réellement est opérationnelle. Elle inclut les outils de signature tiers, les fournisseurs de portefeuilles, l’infrastructure de nœuds, les canaux de recrutement, les systèmes de build et une poignée d’humains disposant d’un accès privilégié. Chacun de ces éléments était en jeu dans au moins une brèche liée à Lazarus au cours des deux dernières années.
Chainalysis rapporte un deuxième problème structurel : le cycle de blanchiment a été affiné en un schéma d’environ 45 jours et trois vagues, qui pousse les fonds volés à travers des mixers, des ponts cross-chain et des réseaux OTC sinophones, en déplaçant des tranches souvent inférieures à 500 000 $ pour éviter de déclencher la surveillance.
La réponse du secteur reste fragmentée. Les exchanges mettent sur liste noire à des vitesses différentes. Certains protocoles DeFi se mettent en pause, d’autres non.
Une analyse Dune après l’incident a montré que 47 % des OApps LayerZero actives utilisaient encore des configurations DVN 1-sur-1.
Le défenseur doit gagner chaque semaine. Lazarus n’a besoin de gagner qu’une fois par trimestre.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
Ce que Kelp annonce pour la prochaine phase
La conclusion inconfortable de Kelp est que, même après Bybit, l’écart entre sécurité du code et sécurité opérationnelle reste important.
Bybit était un compromis au niveau de l’interface de signature, avec un bilan de 20 milliards de dollars derrière. Kelp était un compromis au niveau de l’infrastructure visant un protocole de liquid restaking de taille moyenne.
Même cluster d’acteurs, vecteur d’attaque différent, dix-huit jours après le drain de Drift Protocol d’environ 285 millions de dollars également relié à des opérateurs de la RPDC.
Cette cadence est le point central. Lazarus itère son playbook plus vite que les équipes DeFi ne renforcent leurs dépendances, et chaque coup réussi finance le prochain cycle de recrutement, d’outillage et de patience.
The Hacker News a rapporté que les acteurs liés à la RPDC représentaient 59 % de toutes les crypto-monnaies volées dans le monde en 2025, ce qui souligne à quel point cet adversaire est devenu central dans les pertes du secteur.
Des choix de configuration comme les setups à vérificateur unique, les opérateurs de nœud non audités et les logiciels de portefeuille partagés ne sont plus des éléments de risque mineurs. Dans un monde où l’adversaire est un État, ce sont eux le sujet principal.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Conclusion
Lazarus démontre que les plus grands échecs de sécurité de la crypto sont désormais géopolitiques, financiers et infrastructurels en même temps.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit et maintenant Kelp ne forment pas une liste d’accidents sans lien. Ils forment une campagne, menée par un gouvernement sanctionné contre une industrie qui sous-estime encore ce à quoi ressemble un adversaire étatique persistant.
Le prochain Kelp est déjà en cours de planification. La question est de savoir si le secteur le traitera comme un simple bug report ou comme une ligne de front.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
Que s’est-il passé lors du hack de Kelp DAO ?
Le 18 avril 2026, des attaquants ont drainé 116 500 rsETH, d’une valeur d’environ 292 millions de dollars, à partir d’un pont cross-chain opéré par Kelp DAO. L’exploit ne ciblait pas un bug de smart contract. Les attaquants ont plutôt compromis deux nœuds de remote procedure call utilisés par le Decentralized Verifier Network de LayerZero, puis forcé un basculement afin qu’un nœud empoisonné valide une fausse transaction cross-chain. Le multisig d’urgence de Kelp a mis en pause les contrats centraux 46 minutes plus tard, bloquant deux tentatives de drain supplémentaires pour une valeur combinée d’environ 100 millions de dollars.
Qui est le groupe Lazarus ?
Lazarus est le label générique pour les acteurs cyber liés à l’État nord-coréen, rattachés par le Trésor américain et le FBI au Reconnaissance General Bureau, la principale agence de renseignement militaire de Pyongyang. Les analystes suivent plusieurs sous-clusters et alias sous ce même parapluie, dont TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet et Slow Pisces. Ces clusters partagent souvent infrastructure et personnel.
Pourquoi LayerZero a-t-il attribué l’exploit de Kelp à Lazarus ?
Le post-mortem de LayerZero a mis en avant la signature opérationnelle de l’attaque et le comportement des portefeuilles comme des marqueurs d’un acteur étatique, spécifiquement l’unité TraderTraitor de Lazarus. Le préfinancement via Tornape Cash environ dix heures avant l’attaque, l’usage de binaires auto-destructeurs sur l’infrastructure compromise et la consolidation post-drain d’environ 74 000 Ether correspondent tous à des schémas déjà documentés dans des exploits liés à la RPDC.
Combien de crypto la Corée du Nord a-t-elle volé au total ?
Chainalysis identifie 6,75 milliards de dollars de vols crypto liés à la RPDC à ce jour. Sur ce total, 2,02 milliards de dollars ont été volés pour la seule année 2025, soit environ 59 % de toute la crypto volée dans le monde cette année-là. Des rapports antérieurs du National Intelligence Service sud-coréen estimaient le total sur cinq ans jusqu’en 2022 à environ 1,2 milliard de dollars, tandis qu’un Panel d’experts de l’ONU a enquêté sur 58 cyberattaques présumées de la RPDC entre 2017 et 2023 pour une valeur d’environ 3 milliards de dollars.
Qu’est-ce que TraderTraitor ?
TraderTraitor est un sous-cluster de Lazarus spécialisé dans les cibles de l’industrie crypto. Sa marque de fabrique est l’ingénierie sociale contre le personnel technique, souvent via de fausses approches de recruteurs sur LinkedIn, des tests pré-emploi infectés par des malwares et la compromission de fournisseurs de logiciels de portefeuilles ou d’infrastructures de signature. Le FBI, le Département de la Défense et l’Agence nationale de police du Japon ont officiellement nommé TraderTraitor dans le vol de 308 millions de dollars de DMM Bitcoin, et le FBI l’a ensuite de nouveau désigné comme opérateur du braquage de 1,5 milliard de dollars contre Bybit.
Quelles sont les plus grosses attaques crypto liées à Lazarus ?
Les plus gros incidents attribués publiquement incluent Ronin Network en mars 2022 pour environ 625 millions de dollars, Harmony Horizon en juin 2022 pour environ 100 millions de dollars, WazirX en juillet 2024 pour environ 235 millions de dollars, DMM Bitcoin en mai 2024 pour environ 308 millions de dollars, Bybit en février 2025 pour environ 1,5 milliard de dollars et Kelp DAO en avril 2026 pour environ 292 millions de dollars.
Comment Lazarus blanchit-il les crypto volées ?
Chainalysis décrit un cycle de blanchiment affiné d’environ 45 jours et trois vagues. Les fonds volés passent par des mixers, des ponts cross-chain et des réseaux OTC sinophones, souvent scindés en tranches inférieures à 500 000 $ pour éviter de franchir les seuils de surveillance. L’objectif est de devancer les listes noires des exchanges et les outils d’analyse onchain avant que les fonds n’atteignent les points de cash-out.
Pourquoi la Corée du Nord cible-t-elle la crypto ?
Le vol de crypto fonctionne comme une source de revenus de contournement des sanctions pour l’économie isolée de Pyongyang, et comme financement direct pour ses programmes de missiles balistiques et nucléaires, selon les rapports du Panel d’experts de l’ONU et des responsables américains cités par l’AP. Les estimations américaines suggèrent que la cybercriminalité représente désormais près de la moitié des revenus en devises de la Corée du Nord. Les rails crypto conviennent à cette mission car les transactions se règlent avec finalité en quelques minutes et ne peuvent pas être annulées par une banque correspondante.
Qui est ZachXBT et quel rôle a-t-il joué ?
ZachXBT est un enquêteur onchain pseudonyme dont le travail d’attribution public a à plusieurs reprises précédé la confirmation formelle des gouvernements. Dans le cas de Bybit, la publication de prime d’Arkham du 21 février 2025 lui a attribué l’analyse de liaison des transactions qui a relié l’exploit à Lazarus, cinq jours avant que le FBI ne nomme officiellement la Corée du Nord. Les enquêteurs onchain comme ZachXBT forment une couche d’attribution publique précoce, non pas un substitut aux enquêteurs fédéraux, mais un outil plus rapide pour la réponse au niveau des exchanges.
Le secteur crypto peut-il stopper Lazarus ?
Pas avec de simples audits de code. La surface d’attaque qui compte est opérationnelle, incluant les outils de signature tiers, les fournisseurs de portefeuilles, l’infrastructure de nœuds, les canaux de recrutement et les systèmes de build. Une analyse Dune après l’incident Kelp a montré que 47 % des OApps LayerZero actives utilisaient encore des configurations à vérificateur unique, exactement le setup qui a rendu possible l’exploit de Kelp. Le renforcement de cette couche — chez les fournisseurs, les hébergeurs d’infrastructure et au niveau des accès humains — est désormais le principal levier défensif.
Kelp DAO est-il sûr à utiliser maintenant ?
Kelp a mis en pause les contrats centraux via son multisig d’urgencemultisig dans les 46 minutes suivant la détection, ce qui a bloqué deux tentatives de vidage supplémentaires. Les utilisateurs doivent consulter les canaux d’incident officiels de Kelp et de LayerZero pour connaître l’état actuel du contrat, tout programme de récupération ou de remboursement et les configurations mises à jour des validateurs avant de reprendre leurs activités.
Quelle est la différence entre Lazarus et TraderTraitor ?
Lazarus est l’ombrelle. TraderTraitor est un sous-cluster spécialisé à l’intérieur de cette ombrelle, ciblant spécifiquement l’industrie crypto et connu pour ses actions d’ingénierie sociale contre les ingénieurs et les fournisseurs de logiciels de portefeuille. Lorsque le FBI attribue une attaque spécifiquement à TraderTraitor, il désigne l’unité opérationnelle, et pas seulement l’écosystème plus large lié à l’État.