Des pirates nord-coréens volent $6B depuis 2017, 76 % des pertes de 2026

Des hackers nord-coréens ont volé près des trois quarts de toute la cryptomonnaie dérobée jusqu’ici en 2026 par des cybercriminels, via deux attaques précisément exécutées contre des plateformes de finance décentralisée en avril, d’après la société d’intelligence blockchain TRM Labs. Les deux incidents — une brèche de 285 millions de dollars sur Drift Protocol le 1er avril et un piratage de 292 millions de dollars sur Kelp DAO le 18 avril — représentent ensemble 76% de toutes les pertes liées aux piratages crypto suivies à partir d’avril. Au total, TRM Labs estime que des hackers liés à la Corée du Nord ont volé plus de 6 milliards de dollars aux protocoles et projets crypto depuis 2017.

Méthodologie et précision de l’attaque

L’attaque contre Drift Protocol se distinguait par sa campagne d’ingénierie sociale prolongée. La préparation on-chain a commencé le 11 mars, et la campagne a impliqué des rencontres en personne entre des intermédiaires nord-coréens et des employés de Drift sur une période de plusieurs mois. Les attaquants ont exploité une fonctionnalité de Solana appelée durable nonce, qui permet de conserver des transactions pré-signées puis de les déployer ultérieurement. Le 1er avril, 31 retraits exécutés en environ 12 minutes ont vidé des actifs réels, dont USDC et JLP. Les fonds dérobés ont été transférés rapidement vers Ethereum et y sont restés inactifs depuis.

L’attaque contre Kelp DAO a emprunté une voie technique différente. Les attaquants ont compromis deux nœuds RPC internes, puis ont lancé une attaque par déni de service contre des nœuds externes, forçant le vérificateur unique du pont à s’appuyer sur des sources de données empoisonnées. Ces nœuds ont faussement rapporté que l’actif sous-jacent avait été brûlé sur la chaîne source alors qu’aucune action de ce type n’avait eu lieu, et environ 116 500 rsETH — d’une valeur d’environ 292 millions de dollars — ont été drainés du contrat du pont Ethereum.

Escalade historique du vol crypto nord-coréen

Ces chiffres reflètent une concentration accélérée des vols de cryptomonnaie par des acteurs nord-coréens liés à l’État. La part de Pyongyang dans l’ensemble des pertes dues aux piratages crypto est passée de moins de 10% en 2020 et 2021 à 22% en 2022, 37% en 2023, 39% en 2024 et 64% en 2025. Le chiffre 2026 de 76% sur la période jusqu’en avril est la part la plus élevée maintenue sur le long terme enregistrée, malgré le fait que les deux incidents ne représentent que 3% du nombre total d’incidents recensés.

Mouvement des fonds et blanchiment

Après le vol de Kelp DAO, le Arbitrum Security Council a exercé des pouvoirs d’urgence pour geler environ 75 millions de dollars des fonds dérobés laissés sur le réseau — une intervention rare qui a déclenché une réponse de blanchiment rapide. Environ 175 millions de dollars en ETH ont ensuite été échangés contre du Bitcoin, principalement via THORChain, un protocole de liquidité inter-chaînes ne nécessitant aucune exigence know-your-customer.

THORChain a traité la grande majorité des produits issus à la fois de la brèche Bybit en 2025 — le plus gros vol de l’industrie, avec plus de 1,4 milliard de dollars de cryptomonnaie dérobée — et du piratage de Kelp DAO en 2026, convertissant des centaines de millions d’ETH volés en Bitcoin sans qu’aucun opérateur ne soit disposé à geler ou refuser les transferts.

Sophistication croissante des attaques

Les analystes de TRM ont noté que le groupe semble affûter ses outils. Les analystes ont commencé à spéculer que des opérateurs nord-coréens incorporent des outils d’IA dans leurs flux de reconnaissance et d’ingénierie sociale, un développement cohérent avec l’augmentation de la précision d’attaques comme Drift, qui ont nécessité des semaines de manipulation ciblée de mécanismes blockchain complexes.