Une opération d’intelligence d’une durée de six mois a précédé l’exploitation de $270 millions du protocole Drift Protocol et a été menée par un groupe affilié à l’État nord-coréen, selon une mise à jour détaillée de l’incident publiée par l’équipe plus tôt dimanche.
Les attaquants ont d’abord pris contact vers l’automne 2025 lors d’une grande conférence crypto, en se présentant comme une société de trading quantitative cherchant à s’intégrer à Drift.
Ils étaient techniquement à l’aise, disposaient de parcours professionnels vérifiables et comprenaient le fonctionnement du protocole, a déclaré Drift. Un groupe Telegram a été créé et, ensuite, il y a eu pendant des mois des conversations approfondies autour des stratégies de trading et des intégrations de vaults, des interactions qui sont standard pour l’onboarding des sociétés de trading avec des protocoles DeFi.
Entre décembre 2025 et janvier 2026, le groupe a onboardé un Ecosystem Vault sur Drift, a tenu plusieurs sessions de travail avec des contributeurs, a déposé plus de $1 million de son propre capital, et a mis en place une présence opérationnelle fonctionnelle au sein de l’écosystème.
Des contributeurs de Drift ont rencontré en face à face des membres du groupe lors de plusieurs grandes conférences de l’industrie dans plusieurs pays jusqu’en février et mars. Au moment où l’attaque a été lancée le 1er avril, la relation avait presque atteint un demi-an.
La compromission semble provenir de deux vecteurs.
Une seconde a téléchargé une application TestFlight, la plateforme d’Apple pour distribuer des applications préalablement publiées qui contourne la revue de sécurité de l’App Store, que le groupe a présentée comme son produit wallet.
Pour le vecteur lié au dépôt (repository), Drift a pointé une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus largement utilisés dans le développement logiciel, que la communauté de la sécurité signalait depuis la fin de 2025 : il suffisait simplement d’ouvrir un fichier ou un dossier dans l’éditeur pour exécuter silencieusement du code arbitraire sans invite ni avertissement de quelque nature que ce soit.
Une fois les appareils compromis, les attaquants disposaient de tout ce dont ils avaient besoin pour obtenir les deux approbations multisig qui ont permis l’attaque par nonce durable que CoinDesk a détaillée plus tôt cette semaine. Ces transactions présignées sont restées en sommeil pendant plus d’une semaine avant d’être exécutées le 1er avril, vidant $270 millions des vaults de protocole en moins d’une minute.
L’attribution pointe vers UNC4736, un groupe affilié à l’État nord-coréen également suivi sous les noms AppleJeus ou Citrine Sleet, sur la base à la fois de flux de fonds on-chain traçant jusqu’aux attaquants de Radiant Capital et d’un chevauchement opérationnel avec des personas connues liées à la DPRK.
Les individus qui se sont présentés en personne lors de conférences n’étaient toutefois pas des ressortissants nord-coréens. Les acteurs de menace de la DPRK à ce niveau sont connus pour déployer des intermédiaires tiers dotés d’identités entièrement construites, de parcours professionnels détaillés et de réseaux professionnels conçus pour résister à la due diligence.
Drift a exhorté d’autres protocoles à auditer leurs contrôles d’accès et à considérer chaque appareil touchant un multisig comme une cible potentielle. L’implication plus large est inconfortable pour une industrie qui s’appuie sur la gouvernance multisig comme modèle de sécurité principal.
Mais si des attaquants sont prêts à consacrer six mois et un million de dollars pour construire une présence légitime au sein d’un écosystème, rencontrer des équipes en personne, contribuer de vrais capitaux et attendre, la question est alors : quel modèle de sécurité est conçu pour détecter cela.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Des familles recherchent de l’ETH d’Arbitrum congelé pour les victimes de la Corée du Nord
Des familles détenant des jugements vieux de plusieurs décennies contre la Corée du Nord tentent de saisir 30 765 ETH gelés sur Arbitrum à la suite de l’exploit rsETH du mois dernier. Les familles ont invoqué une injonction de non-aliénation de New York dans le but d’empêcher Arbitrum de libérer les fonds, citant des liens allégués entre l’att
CryptoFrontierIl y a 1h
La Corée du Nord nie le vol de cryptomonnaies alors que $577M aurait été dérobé en 2026
La République populaire démocratique de Corée a nié des allégations de vols de cryptomonnaies commandités par l’État, alors même que la société d’intelligence blockchain TRM Labs a indiqué que des acteurs liés à la RPDC avaient volé environ 577 millions de dollars au cours des quatre premiers mois de 2026. Un porte-parole du ministère des Affaires étrangères du régime
CryptoFrontierIl y a 8h
Bitcoin s’inverse depuis le sommet de 80 594 $ jusqu’à 79 000 $ après un rapport sur une frappe de missiles en Iran ; le pétrole bondit de 5 %
Selon l’agence de presse iranienne Fars, deux missiles ont touché aujourd’hui un navire de guerre américain, déclenchant un brusque retournement du Bitcoin, passé de son plus haut à 80 594 dollars à environ 79 000. Les prix du pétrole ont bondi de 5% sur la base de la nouvelle avant que les États-Unis ne démentent la revendication. Ethereum, Solana et Dogecoin ont également chuté fortement, avec le marché plus large
GateNewsIl y a 9h
Le secrétaire américain au Trésor Bessent : l’offre mondiale de pétrole sera « très bien approvisionnée » malgré un déficit quotidien de 8 à 10 millions de barils
D’après le secrétaire au Trésor américain Bessent, le 4 mai, les États-Unis contrôlent le détroit d’Ormuz, et l’approvisionnement mondial en pétrole sera « très bien fourni » malgré les conflits actuels. Bessent a déclaré que le déficit mondial en pétrole causé par le conflit en cours est d’environ 8 millions à 10 millions de barils par
GateNewsIl y a 12h
Entre les négociations géopolitiques et les attentes de données à tendance « faucons » : observations structurelles du marché crypto cette semaine
Les pourparlers entre l’Iran et les États-Unis envoient des signaux positifs, mais la préparation à la guerre progresse en parallèle ; le contrôle du détroit d’Hormuz pourrait connaître un tournant. Des données sur l’emploi aux États-Unis pourraient renforcer les anticipations favorables à une posture plus accommodante, et le BTC repasse au-dessus de 80 000 dollars après trois mois.
GateInstantTrendsIl y a 15h
Les fondateurs de Nobitex liés à la famille politique d’élite de l’Iran, rattachée aux dirigeants suprêmes, révèlent les investigations de Reuters
Selon une enquête de Reuters publiée vendredi, Nobitex, le principal exchange crypto de l'Iran comptant environ 11 millions d’utilisateurs et gérant quelque 70% de l’activité crypto du pays, a été fondé par les frères Ali et Mohammad Kharrazi, dont la famille est liée par alliance à tous les trois des plus hauts responsables
GateNewsIl y a 15h
