← Retour 🔴 hack

Bitmine avale 4% de l'ETH mondial pendant que des hackers nord-coréens pillent 270M$

Bitmine contrôle désormais presque 4% de tout l'Ethereum en circulation. Pendant ce temps, des agents nord-coréens ont volé 270 millions de dollars à Drift Protocol après 6 mois d'infiltration.
📅 lundi 6 avril 2026 ⏱ 2 min de lecture

Bitmine est en train de racheter Ethereum à une vitesse qui devrait inquiéter tout le monde. La société dirigée par Tom Lee a englouti 71 252 ETH en une seule semaine, son plus gros achat hebdomadaire depuis décembre 2025. Résultat : 4,8 millions d'ETH en portefeuille, soit 3,98% de toute l'offre circulante. La valorisation totale des avoirs de Bitmine dépasse désormais les 11,4 milliards de dollars.

La cible déclarée reste les 5% de l'offre. Pour y arriver, Bitmine doit encore acheter environ 1,2 million d'ETH supplémentaires. Ce n'est pas une stratégie timide.

En parallèle, 3,3 millions d'ETH sont déjà stakés via MAVAN, leur plateforme de validation maison. Bitmine est aujourd'hui le plus gros validateur individuel du réseau Ethereum avec 7,1 milliards de dollars en staking et 196 millions de dollars de revenus annualisés rien que sur cette activité. Une machine à cash silencieuse.

Pendant que Bitmine accumule, des hackers nord-coréens, eux, volaient. Le 1er avril, Drift Protocol a perdu 270 millions de dollars en moins d'une minute. C'est l'une des attaques les plus sophistiquées jamais documentées dans la DeFi, et elle n'a exploité aucun bug de code.

Derière l'opération : le groupe UNC4736, aussi connu sous les noms AppleJeus ou Citrine Sleet, lié directement à Pyongyang. Ces gens ne débarquent pas en cassant des portes. Ils ont passé 6 mois à construire leur crédibilité : participation à des conférences internationales, rencontres physiques avec des contributeurs de Drift, création d'un Ecosystem Vault dans le protocole, et dépôt de plus d'un million de dollars de capital réel pour ressembler à de vrais partenaires.

L'arme technique utilisée est redoutable. Ils ont exploité les nonces durables de Solana, une fonctionnalité légitime qui permet de créer des transactions valables indéfiniment, sans expiration. Ils ont obtenu les deux signatures multisig nécessaires en faisant valider des transactions présentées comme anodines. Puis ils ont attendu.

Le vecteur d'infection est double. Premier canal : une vulnérabilité dans VSCode et Cursor, les éditeurs de code les plus utilisés par les développeurs, permettant l'exécution silencieuse de code arbitraire via un simple fichier piégé. Deuxième canal : une fausse application de portefeuille distribuée via TestFlight, la plateforme de tests d'Apple. TestFlight ne fait pas de revue de sécurité sérieuse. C'est un angle mort béant, et ils l'ont utilisé sans complexe.

Une fois les machines des développeurs compromises, les transactions malveillantes ont dormi plus d'une semaine, invisibles et indétectables. Le 1er avril, tout s'est déclenché simultanément. Les coffres ont été vidés en moins de 60 secondes.

Ce que ça change : Drift prouve que la DeFi peut être attaquée non pas par le code, mais par les humains qui le font tourner. Tant que les multisig restent manipulables via de l'ingénierie sociale et des outils de dev compromis, aucun protocole n'est vraiment sûr. Et pendant ce temps, Bitmine rachète silencieusement Ethereum pendant que tout le monde regarde ailleurs.

A lire aussi
hack
Un kit IA contourne le KYC des banques et plateformes crypto
hack
Hack à 285M$, Schwab lâche le BTC : la crypto change de dimension
hack
Hacks crypto : la baisse est trompeuse, le danger reste entier