Un État-nation a capturé à lui seul les deux tiers de chaque dollar volé dans l’écosystème crypto mondial au premier semestre 2026.
Ce n’est pas une erreur d’arrondi. Ce n’est pas l’effet d’un casse spectaculaire isolé.
C’est le produit d’une opération de piratage industrialisée et soutenue — menée depuis près d’une décennie, perfectionnant ses méthodes et dépassant désormais, à elle seule, tous les autres acteurs malveillants réunis dans ce secteur.
L’ampleur est stupéfiante, même selon les standards du crime crypto, qui n’ont jamais manqué de chiffres spectaculaires.
Des groupes liés à la Corée du Nord représentent 66,2 % des pertes mondiales liées au piratage d’actifs numériques au 1er semestre 2026, selon des chiffres relayés cette semaine par des chercheurs en sécurité blockchain.
Cette concentration des pertes au sein d’un seul cluster de menace marque un changement qualitatif dans le profil de risque de l’ensemble de l’industrie. Et elle intervient au moment où les capitaux institutionnels affluent dans la crypto à leur rythme le plus rapide depuis 2021.
En bref (TL;DR)
- Des pirates liés à la Corée du Nord ont capturé 66,2 % de toutes les pertes de piratage crypto au premier semestre 2026, atteignant un nouveau sommet dans la concentration du vol crypto parrainé par un État.
- Le Lazarus Group et les unités nord-coréennes affiliées sont passés de piratages opportunistes de plateformes d’échange à des opérations hautement structurées visant les protocoles DeFi, les ponts cross‑chain et l’ingénierie sociale de développeurs.
- Ces fonds financent directement les programmes d’armement de la Corée du Nord, faisant de la sécurité crypto une question géopolitique que les régulateurs à Washington, Bruxelles et Séoul traitent désormais avec urgence.
Le chiffre de 66 % et ce qu’il mesure réellement
Avant d’analyser le tableau stratégique, la méthodologie derrière ce chiffre mérite d’être examinée de près.
Le chiffre de 66,2 % fait référence à la part du total des pertes de piratage crypto vérifiées attribuables à des portefeuilles liés à la RPDC au 1er semestre 2026 — sur la base de l’analyse on‑chain retraçant les flux de fonds depuis le vol initial, en passant par l’usage de mixeurs, jusqu’à la phase finale de sortie.
Chainalysis, qui publie les données longitudinales les plus complètes sur la criminalité crypto, a indiqué dans son Crime Report 2024 que des groupes liés à la Corée du Nord ont volé environ 1,34 milliard de dollars au cours de 47 incidents en 2023 — soit 61 % de la valeur totale dérobée cette année‑là.
Le chiffre du 1er semestre 2026 représente une concentration supplémentaire. Il suggère que l’écart entre les capacités de la RPDC et celles de tous les autres acteurs malveillants s’élargit plutôt qu’il ne se réduit.
Cette part de 66,2 % constitue la plus forte concentration de vol d’actifs numériques parrainé par un État jamais enregistrée sur une période de six mois.
Il est important de comprendre ce que le chiffre de 66 % ne prend pas en compte.
Il exclut les exit scams, rug pulls et autres fraudes — que Chainalysis classe généralement séparément des piratages. Le dénominateur ne comprend que les pertes de piratage vérifiées.
Inclure toutes les catégories de criminalité crypto réduirait la part relative de la RPDC. Mais cela ne diminuerait pas le montant absolu volé en dollars.
À lire aussi : La demande au comptant pour le XRP grimpe tandis que les perps Binance émettent un avertissement à 783 M$
Comment le Lazarus Group est devenu une superpuissance de la crypto
Le Lazarus Group — la désignation générique utilisée par les agences de renseignement américaines et les chercheurs privés pour les unités cyber les plus capables de la RPDC — n’a pas commencé comme une opération centrée sur la crypto.
Son profil initial impliquait des attaques destructrices, des braquages de banques via l’exploitation du réseau SWIFT et des ransomwares.
Le pivot vers la crypto a été progressif. Il a véritablement pris forme vers 2017, lorsque le groupe a visé des plateformes d’échange sud‑coréennes — avant de s’intensifier fortement après la brèche du réseau Ronin en 2022.
Le piratage de Ronin, lors duquel le Lazarus Group a dérobé environ 625 millions de dollars sur la sidechain Axie Infinity, a constitué un point d’inflexion stratégique.
Il a montré que l’infrastructure DeFi — avec sa complexité de smart contracts, ses dépendances aux ponts cross‑chain et ses vulnérabilités d’ingénierie sociale ciblant les développeurs — offrait une surface d’attaque bien plus lucrative que les plateformes centralisées, qui avaient durci leurs défenses après une décennie de brèches.
Ce vol de 625 millions de dollars en mars 2022 reste le plus grand piratage DeFi jamais enregistré. Il a servi de modèle opérationnel pour les campagnes crypto ultérieures de la RPDC.
Depuis 2022, le groupe a systématiquement perfectionné trois vecteurs d’attaque.
Le premier est la compromission des identifiants de développeurs — généralement via de fausses offres d’emploi sur LinkedIn qui installent un malware lorsqu’une cible ouvre un document ou exécute un dépôt.
Le deuxième est l’exploitation des ponts cross‑chain, en ciblant la logique de smart contract qui valide les transferts d’actifs entre réseaux.
Le troisième est l’attaque de la chaîne d’approvisionnement logicielle via des dépendances utilisées par les protocoles crypto — une technique d’abord popularisée dans la cybersécurité traditionnelle, désormais adaptée aux cibles blockchain.
À lire aussi : Eng vs Ind n’est plus seulement du cricket pour les traders de marchés de prédiction
Le profil de cible est passé des plateformes d’échange à la DeFi
L’histoire des grands piratages crypto a commencé avec des brèches sur des plateformes centralisées. Mt. Gox en 2014, Bitfinex en 2016, Coincheck en 2018. Ces attaques reposaient sur la compromission d’infrastructures de hot wallets, l’exploitation de vulnérabilités d’API ou la corruption d’initiés. Les auteurs étaient souvent des groupes criminels opportunistes plutôt que des acteurs étatiques dotés de moyens institutionnels.
Le mode opératoire actuel de la RPDC est fondamentalement différent. TRM Labs, dans son rapport 2024 Crypto Threat Intelligence, a constaté que la part des vols crypto de la RPDC attribuable à des exploits de protocoles DeFi, plutôt qu’à des piratages de plateformes centralisées, est passée d’environ 30 % en 2021 à plus de 70 % en 2024. Cette évolution suit la croissance de la liquidité on‑chain elle‑même.
La valeur totale verrouillée dans les protocoles DeFi au niveau mondial a culminé à plus de 180 milliards de dollars fin 2021, a fortement chuté durant le bear market de 2022, puis est remontée à des niveaux qui représentent à nouveau une cible attrayante. Les données de DefiLlama (https://defillama.com/) à la mi‑2026 montrent une TVL DeFi totale supérieure à 110 milliards de dollars sur l’ensemble des chaînes, les ponts cross‑chain contrôlant une part disproportionnée de cette valeur sous forme de pools.
Les contrats de pont DeFi sont structurellement des cibles attrayantes pour des attaquants sophistiqués car ils agrègent de grands pools de liquidité dans des smart contracts uniques tout en nécessitant une validation complexe de messages cross‑chain difficile à auditer de manière exhaustive.
Les ponts cross‑chain sont devenus une obsession spécifique des unités nord‑coréennes en raison de leur topologie de risque particulière. Un contrat de pont doit faire confiance à des assertions provenant d’une chaîne distante qu’il ne peut pas vérifier nativement. La logique de validation est complexe, s’appuyant souvent sur un comité multi‑signature ou sur une preuve de light client. Chacune de ces approches crée des hypothèses exploitables. Le pont Ronin utilisait un multisig neuf‑sur‑neuf qui a été, dans les faits, ramené à un seuil de cinq‑sur‑neuf via l’ingénierie sociale. Ce seuil de cinq signatures a ensuite été atteint par les attaquants, autorisant des retraits qui ont vidé le pont.
À lire aussi : Fable 5 vaut‑il vraiment le double du prix alors qu’Opus 4.8 reste performant ?
Le vecteur des fausses offres d’emploi et le ciblage des développeurs
L’élément le plus constant et sous‑estimé de la campagne de la RPDC au 1er semestre 2026 est l’infrastructure d’ingénierie sociale ciblant les développeurs individuels et les employés de protocoles. Il ne s’agit pas d’un piratage technique au sens traditionnel. C’est une opération de renseignement patiente, fondée sur la relation, qui aboutit à l’exécution de code.
Le scénario type, documenté en détail par Mandiant dans son analyse de la menace financière APT38 et par l’Agence américaine pour la cybersécurité et la sécurité des infrastructures dans l’alerte CISA AA22-108A, implique des opérateurs nord‑coréens créant des profils professionnels convaincants sur LinkedIn, souvent avec des photos générées par IA. Ils approchent des développeurs travaillant sur des protocoles crypto, en proposant des missions de freelance, des entretiens d’embauche ou des opportunités de relecture de code.
Dans des cas documentés, des opérateurs nord‑coréens ont entretenu des relations LinkedIn avec des développeurs cibles de la crypto pendant des semaines ou des mois avant de livrer une charge malveillante, en construisant la confiance à travers des échanges techniquement crédibles sur la base de code spécifique de la cible.
Lorsqu’une cible s’engage, l’attaquant envoie finalement un fichier qui nécessite une exécution. Il peut s’agir d’un PDF avec une charge intégrée, d’un dépôt GitHub contenant une dépendance malveillante ou d’un faux test technique qui installe une porte dérobée. Une fois qu’il a un point d’appui sur la machine du développeur, l’attaquant peut collecter des clés privées, des jetons de session pour les systèmes internes et des identifiants pour l’infrastructure cloud utilisée pour gérer les déploiements de protocoles.
Le niveau de sophistication de ce savoir‑faire reflète un investissement institutionnel dans le développement de capacités qu’aucun groupe criminel privé ne peut reproduire. Les unités cyber de la RPDC sont des employés de l’État qui s’entraînent à temps plein, opèrent avec une discipline d’OPSEC et disposent de longues années de connaissance institutionnelle accumulée sur les protocoles les plus vulnérables et les développeurs les plus abordables.
À lire aussi : L’action TeraWulf bondit alors que l’accord avec Anthropic reprofile le mineur de Bitcoin dans un pivot IA à 19 Mds$
L’infrastructure de blanchiment derrière les chiffres de vol
Voler des cryptomonnaies n’est que la première étape. Les convertir en revenus utilisables pour le régime nécessite une chaîne de blanchiment élaborée qui est elle‑même devenue un sujet de recherche on‑chain intensive. Le mouvement des fonds après le vol est l’endroit où les enquêteurs attribuent le plus sûrement les attaques à la RPDC, car le groupe a des comportements identifiables schémas dans la façon dont il déplace et dissimule les fonds.
Chainalysis a documenté le schéma standard de blanchiment de la RPDC comme un processus en plusieurs étapes. Les actifs volés sont d’abord échangés contre de l’Ethereum (ETH) ou du Bitcoin (BTC) à l’aide de plateformes d’échange décentralisées on-chain, ce qui permet de convertir des tokens spécifiques à un protocole, peu liquides, en actifs plus liquides. Ces actifs transitent ensuite par des services de mixing, le groupe ayant historiquement utilisé Tornado Cash avant que sa sanction par l’OFAC en août 2022 ne l’oblige à s’adapter à d’autres outils d’obfuscation comme Sinbad et Yomix, qui ont eux aussi depuis fait l’objet de sanctions américaines.
L’OFAC a désigné le mixeur Sinbad en novembre 2023 et le mixeur Yomix en avril 2025, illustrant une dynamique du chat et de la souris dans laquelle chaque outil de blanchiment de la RPDC finit par être sanctionné, ce qui pousse le groupe vers une nouvelle infrastructure.
Après le mixing, les fonds transitent par un réseau de comptes imbriqués sur des plateformes d’échange, de courtiers OTC opérant dans des juridictions sans application efficace des règles LBC, et de plateformes peer‑to‑peer. La rampe de sortie finale la plus couramment utilisée a historiquement été des plateformes d’échange opérant en Asie de l’Est et du Sud‑Est avec une application limitée des exigences de KYC. Un rapport de 2024 du Groupe d’experts des Nations Unies sur la Corée du Nord a identifié spécifiquement les produits des vols de crypto comme principale source de financement du programme de missiles balistiques de la RPDC, estimant que les revenus en crypto finançaient environ 40 % des besoins en devises étrangères pour le développement d’armes de destruction massive.
À lire aussi : L’Ethereum pourrait passer à un état quasi‑zéro dans le plan de chaîne allégée le plus radical de Buterin
La réponse réglementaire et ses limites
Le gouvernement américain a déployé une panoplie d’outils conséquente contre les opérations crypto de la RPDC, incluant les désignations OFAC de portefeuilles et de services de mixing, des avis d’attribution du FBI pour des piratages spécifiques, et des alertes conjointes avec des agences de renseignement alliées. Le Department of Justice a incriminé plusieurs opérateurs nommément identifiés de la RPDC, même si les poursuites sont pratiquement impossibles en l’absence de voies d’extradition.
La limite de la réponse américaine est structurelle. Les sanctions sur des adresses de portefeuilles ne sont efficaces que contre des acteurs qui utilisent une infrastructure financière régulée comme rampe de sortie. Elles ont un effet minimal sur des acteurs sophistiqués qui transitent par des juridictions hors de portée des règles LBC américaines. L’action de l’OFAC contre Tornado Cash a été importante et contestée, mais la RPDC s’est adaptée en quelques mois en migrant vers une infrastructure alternative.
Le Department of Justice a inculpé sept pirates militaires nord‑coréens nommément identifiés en lien avec des opérations de vol de crypto, mais aucun n’a été jugé. Les inculpations fonctionnent principalement comme outils d’attribution et comme moyens de dissuasion pour les services tiers qui pourraient autrement faciliter la circulation des fonds.
Le Groupe d’action financière, l’organisme intergouvernemental fixant les normes LBC, a élevé la Corée du Nord dans sa catégorie de risque la plus élevée et maintient un appel permanent auprès de ses juridictions membres à appliquer une vigilance renforcée à toute transaction présentant un lien avec la RPDC. Mais les recommandations du GAFI ne sont pas contraignantes, et les juridictions les plus utiles à la RPDC pour la sortie de fonds ne sont généralement pas membres du GAFI, ou sont des membres dont l’application est faible.
Le règlement européen sur les marchés de crypto‑actifs (MiCA), entré pleinement en vigueur fin 2024, inclut des exigences de « travel rule » qui imposent l’identification des contreparties pour les transferts de crypto au‑delà de certains seuils. Les partisans estiment que cela ferme certaines voies de sortie OTC. Les critiques relèvent que les opérations de la RPDC sont suffisamment sophistiquées pour contourner les exigences de KYC en utilisant des portefeuilles non hébergés et des juridictions en dehors de la portée de l’UE.
À lire aussi : L’outil Muse Image de Meta fait d’Instagram la matière première de l’art généré par IA
Ce que montrent réellement les analyses on‑chain
L’attribution des vols de crypto à la Corée du Nord n’est pas une affirmation politique. Elle repose sur des données on‑chain vérifiables qui peuvent être reproduites de manière indépendante par tout chercheur disposant d’un accès aux données publiques des blockchains et à des outils de regroupement de portefeuilles. Comprendre le fonctionnement de cette attribution est essentiel pour évaluer sa crédibilité.
Lorsque la RPDC vole un protocole, la transaction initiale est immédiatement visible on‑chain. Les fonds volés sont transférés vers des portefeuilles contrôlés par l’attaquant, qui exécutent ensuite une séquence de swaps, de transactions de bridge et d’opérations de mixing. Elliptic, une autre société d’analyse de blockchain, a publié une méthodologie détaillée montrant que les portefeuilles de la RPDC se regroupent autour de signatures comportementales, incluant des schémas temporels spécifiques, des routes de swap privilégiées, des montants résiduels caractéristiques (« dust ») laissés dans des portefeuilles intermédiaires, et une tendance à conserver les fonds volés dans des grappes de portefeuilles pendant de longues périodes avant de les déplacer.
L’analyse de regroupement de portefeuilles d’Elliptic a identifié plus de 15 000 adresses associées aux opérations de vol de la RPDC, créant un graphe de portefeuilles interconnectés que les analystes forensiques utilisent pour tracer les flux de fonds même après mixing.
Les avis d’attribution du FBI pour certains piratages, notamment la violation d’Alphapo et l’exploitation d’Atomic Wallet en 2023, s’appuient sur cette méthodologie forensique combinée à du renseignement d’origine électromagnétique classifié.
La combinaison de données publiques on‑chain et de renseignements gouvernementaux a produit des niveaux de confiance dans l’attribution supérieurs à ceux qui sont typiques dans les enquêtes de cybercriminalité traditionnelles, où de telles preuves on‑chain n’existent pas.
À lire aussi : Selon Saylor, une croissance de 3,3 % de Bitcoin peut maintenir les dividendes de la stratégie
Le programme de travailleurs IT comme canal de revenus parallèle
Indépendamment des opérations de piratage, la RPDC exploite un programme parallèle de génération de revenus en crypto qui a attiré une attention significative des forces de l’ordre en 2024 et 2025. Des milliers de ressortissants nord‑coréens, opérant sous de fausses identités à l’aide de documents générés par IA et de technologies de deepfake vidéo, ont obtenu des emplois à distance dans des entreprises crypto et des startups Web3 à travers l’Amérique du Nord et l’Europe.
Le Department of Justice a inculpé quatorze individus en mai 2024 pour avoir exploité un stratagème plaçant des travailleurs IT nord‑coréens dans plus de 300 entreprises américaines, les revenus étant reversés à la RPDC.
L’acte d’accusation alléguait que des travailleurs individuels gagnaient entre 250 000 et 300 000 dollars par an, le stratagème générant au total des dizaines de millions de dollars sur plusieurs années.
L’acte d’accusation de mai 2024 du DOJ documentait des travailleurs IT nord‑coréens gagnant jusqu’à 300 000 dollars par an chacun dans des entreprises crypto et technologiques américaines, les fonds étant transférés à la RPDC via un réseau d’intermédiaires aux États‑Unis, au Royaume‑Uni et en Chine.
Le programme de travailleurs IT est particulièrement insidieux pour l’industrie crypto parce qu’il implante un accès interne au sein des équipes de développement. Un travailleur IT disposant de véritables identifiants et d’un accès aux dépôts de code est plus dangereux qu’un attaquant externe essayant de franchir les défenses périmétriques.
Plusieurs chercheurs en sécurité ont relevé que des schémas suspects dans les commits de code, des accès inexpliqués aux dépôts et des horaires de travail inhabituels sont désormais considérés comme des indicateurs potentiels de travailleurs IT nord‑coréens par les entreprises crypto soucieuses de sécurité.
L’intersection entre le programme de travailleurs IT et la campagne d’ingénierie sociale ciblant les développeurs signifie que la surface d’attaque de la RPDC contre l’industrie crypto est multidimensionnelle. Des pirates externes, des développeurs compromis via de fausses offres d’emploi et des infiltrés placés à l’intérieur représentent tous des vecteurs de menace actifs opérant simultanément.
À lire aussi : OpenAI obtient l’approbation de GPT‑5.6 tandis que Trump autorise un déploiement plus large de l’IA
La réponse plus large de l’industrie en matière de sécurité
La réponse de l’industrie à la menace de la RPDC a été substantielle mais inégale.
Les protocoles les mieux dotés en ressources effectuent désormais des audits de sécurité approfondis avant déploiement, organisent des programmes de bug bounty avec des récompenses à six chiffres et maintiennent des équipes de sécurité internes issues de la recherche offensive.
Cette concentration des investissements en sécurité au sommet de la hiérarchie des protocoles reflète la même loi de puissance qui régit la crypto en général.
Immunefi, la principale plateforme de bug bounty Web3, a rapporté des paiements de primes totalisant plus de 100 millions de dollars à la mi‑2025 — après avoir facilité l’identification de vulnérabilités qui auraient pu permettre des pertes potentielles se chiffrant en milliards.
La plus grosse prime unique de son histoire a été une récompense de 10 millions de dollars versée à un chercheur white‑hat qui a identifié une faille critique dans un important protocole DeFi avant qu’elle ne puisse être exploitée.
Mais cette concentration des dépenses de sécurité sur les protocoles de premier plan laisse les plus petits projets DeFi — qui contrôlent collectivement encore des milliards en TVL — significativement sous‑protégés.
Le problème des bridges cross‑chain, au cœur de tant de piratages majeurs, a donné lieu à ses propres réponses architecturales.
La principale d’entre elles est le passage à des bridges plus « trust‑minimized », utilisant des preuves à connaissance nulle pour vérifier l’état de la chaîne source sans dépendre de comités de validateurs.
Des projets comme Succinct Labs et Polyhedra Network ont construit une infrastructure de light clients ZK conçue spécifiquement pour éliminer l’hypothèse du comité de confiance qui avait rendu des bridges comme Ronin vulnérables.il est réellement incertain que l’infrastructure de sécurité progresse suffisamment vite pour dépasser le développement des capacités de la RPDC.
La part de 66 % au premier semestre 2026 suggère que, même avec des investissements importants de l’industrie, l’attaquant suit le rythme.
À lire aussi : SpaceXAI veut un « tueur de Claude » piloté par curseur avant même la clôture de l’accord à 60 milliards de dollars
Enjeux géopolitiques et perspectives
Le vol de crypto-actifs est la source de devises la plus importante de la Corée du Nord.
Ce n’est pas une figure de style. Cela reflète une réalité opérationnelle documentée — reconnue par le Trésor américain, les Nations Unies et les services de renseignement alliés.
Le Groupe d’experts de l’ONU a estimé que les produits des vols de crypto-actifs par la RPDC s’élevaient à environ 3 milliards de dollars entre 2017 et 2023, le rythme s’étant accéléré au cours des années suivantes.
Les fonds ne disparaissent pas dans un trésor du régime au sens classique.
Ils alimentent directement les programmes d’armement — en particulier les efforts de miniaturisation des ogives nucléaires et des missiles balistiques qui représentent la priorité stratégique principale de Pyongyang.
Chaque dollar volé à un protocole DeFi se traduit potentiellement par des capacités matérielles et techniques supplémentaires pour des systèmes d’armes que les planificateurs de défense américains, sud-coréens et japonais intègrent activement dans leurs évaluations de menace.
Le Groupe d’experts de l’ONU a relié ces 3 milliards de dollars de vols entre 2017 et 2023 directement au financement des programmes d’armement — faisant de la sécurité blockchain un élément concret des calculs de sécurité régionale en Asie du Nord-Est.
À lire ensuite : 5 concurrents moins chers que Fable 5 : ne payez pas trop cher pour votre travail d’IA quotidien
Réflexions finales
Le chiffre de 66,2 % au premier semestre 2026 n’est pas une curiosité statistique.
C’est un signal sur l’état actuel du rapport de forces entre l’un des programmes cyber étatiques les plus capables au monde et une industrie qui a historiquement privilégié la rapidité de mise sur le marché plutôt que la sécurité opérationnelle.
La trajectoire de ce rapport de forces — passant des piratages opportunistes de plateformes d’échange en 2017 à la faille du pont Ronin en 2022, jusqu’à la campagne multivectorielle actuelle qui cible simultanément développeurs, ponts et acteurs internes — montre un acteur menaçant qui apprend, s’adapte et se développe plus vite que ce que les investissements défensifs de l’industrie ont réussi à contenir.
Les facteurs structurels qui favorisent la RPDC ne vont pas disparaître à court terme.
La Corée du Nord dispose d’une main-d’œuvre cyber institutionnelle sans tentations du secteur privé, sans responsabilité publique, et avec un mandat étatique de générer des revenus par tous les moyens disponibles.
L’industrie crypto, en revanche, présente un paysage de sécurité diffus. Les protocoles les plus précieux sont de mieux en mieux défendus — mais la longue traîne des petits projets DeFi reste systématiquement sous-dotée en ressources.
Et les ponts inter-chaînes, l’infrastructure qui relie les îlots de liquidité de l’écosystème, demeurent architecturalement complexes d’une manière qui crée des hypothèses exploitables de façon persistante.





