← Retour 🔴 hack

Corée du Nord : des hackers infiltrent les boîtes crypto de l'intérieur

Des agents nord-coréens se font embaucher dans des protocoles DeFi pour vider les coffres. Le hack de Drift à 270 millions de dollars en est l'exemple le plus brutal.
📅 lundi 6 avril 2026 ⏱ 2 min de lecture

Passer l'entretien. Décrocher le poste. Vider les coffres. Ce n'est plus un scénario de film, c'est la réalité de l'industrie crypto en 2025-2026.

Le 1er avril 2026, le protocole de trading décentralisé Drift perd 270 millions de dollars en quelques minutes. Mais l'attaque avait commencé six mois plus tôt. À l'automne 2025, un groupe se présentant comme une société de trading quantitatif prend contact avec des contributeurs du protocole lors d'une grande conférence crypto. CV impeccable, maîtrise technique réelle, parcours vérifiable. Rien ne cloche.

S'ensuivent des mois de discussions sur Telegram, des stratégies de trading partagées, des intégrations de vaults discutées sérieusement. Entre décembre 2025 et janvier 2026, le groupe dépose plus d'un million de dollars dans l'écosystème Drift et rencontre physiquement des membres de l'équipe lors de plusieurs conférences internationales. Puis l'attaque est déclenchée.

L'attribution pointe vers UNC4736, aussi connu sous les noms AppleJeus ou Citrine Sleet, un groupe directement affilié à l'État nord-coréen. Les individus présents en personne aux conférences n'étaient pas nord-coréens. Ce sont des intermédiaires dotés d'identités entièrement fabriquées, avec historiques d'emploi et réseaux professionnels conçus pour résister à toute vérification sérieuse.

Drift n'est pas un cas isolé. C'est une stratégie industrielle.

En décembre 2024, Paul Frambot, cofondateur de Morpho, alertait déjà sur X : 6 des 30 candidats interviewés en une semaine par son équipe étaient vraisemblablement des hackers nord-coréens utilisant des deepfakes pour masquer accent et expressions faciales. Du côté de Dfns, une infrastructure de sécurité crypto, la cofondatrice Clarisse Hagège révélait dans un podcast que 3 candidats avaient été identifiés comme liés aux réseaux nord-coréens. Sa conclusion est sans détour : la façon la plus directe d'attaquer une infrastructure pour accéder à des fonds, c'est d'entrer dans l'entreprise.

Mike Silagadze, fondateur d'ether.fi, protocole gérant plus de 5 milliards de dollars de valeur totale verrouillée, a lui aussi frôlé la catastrophe. Un candidat avait passé tous les tests techniques et comportementaux, obtenu des références élogieuses. Mike était prêt à signer. C'est une vérification auprès de Google et Figma, prétendus anciens employeurs, qui a tout bloqué : aucun résultat. Zéro trace.

Pourquoi la DeFi est une cible aussi évidente ? Parce que ces protocoles manipulent des milliards, tournent avec des équipes réduites, et s'appuient sur des multisig, ces systèmes de validation à plusieurs signatures censés sécuriser les transactions. En théorie c'est robuste. En pratique, si plusieurs signataires ont des appareils compromis en même temps, le verrou saute d'un coup. C'est exactement ce type de scénario que ces infiltrations cherchent à construire, patiemment, sur des mois.

Ce que ça change : Le recrutement est devenu un vecteur d'attaque critique. Vérifier un CV ne suffit plus. Un candidat brillant qui passe tous vos tests peut être un agent d'État. Les protocoles DeFi qui ne traitent pas leur pipeline de recrutement comme une surface d'attaque à part entière jouent avec le feu, et c'est l'argent de leurs utilisateurs qui brûle.

A lire aussi
hack
Stabble vide ses LP : l'ex-CTO était un hacker nord-coréen
hack
Solana lance STRIDE après le hack à 285M$ : trop peu, trop tard ?
hack
Attaques à la clé : +75% de braquages crypto aux USA en 2025