← Retour 🔴 hack

Drift Protocol : 270M$ volés après 6 mois d'infiltration nord-coréenne

Le groupe nord-coréen UNC4736 a passé 6 mois à infiltrer Drift Protocol en se faisant passer pour une firme de trading légitime, avant de vider 270 millions de dollars en moins d'une minute le 1er avril.
📅 lundi 6 avril 2026 ⏱ 2 min de lecture

Le braquage de Drift Protocol ne s'est pas joué en quelques heures. Il s'est construit sur 6 mois de manipulation méticuleuse. Résultat : 270 millions de dollars partis en fumée le 1er avril, en moins d'une minute.

Derrière l'attaque, le groupe nord-coréen UNC4736, aussi connu sous les noms AppleJeus ou Citrine Sleet. Ces hackers d'État ne sont pas des amateurs. Ils ont une méthode, de la patience, et des ressources quasi illimitées.

Tout commence à l'automne 2025, lors d'une grande conférence crypto. Les attaquants se présentent comme une firme de trading quantitatif sérieuse, cherchant à s'intégrer à l'écosystème Drift. Ils sont crédibles. Trop crédibles.

Entre décembre 2025 et janvier 2026, ils jouent le jeu parfaitement : création d'un Ecosystem Vault sur Drift, sessions de travail avec les équipes, dépôt de plus d'1 million de dollars de leur propre capital. Des rencontres physiques ont même eu lieu lors de plusieurs conférences internationales jusqu'en mars 2026. Les contributeurs de Drift les ont regardés dans les yeux. Personne n'a rien vu venir.

L'attaque technique repose sur deux vecteurs. Le premier exploite une faille dans VSCode et Cursor, signalée par la communauté sécurité dès fin 2025 : l'ouverture d'un simple fichier suffit à exécuter du code malveillant en silence sur la machine d'un développeur. Le second passe par une fausse application distribuée via TestFlight, la plateforme d'Apple pour les apps en version bêta, qui contourne intégralement la revue de sécurité de l'App Store. Le groupe la présentait comme leur propre wallet.

Une fois les appareils compromis, les hackers ont récupéré les 2 approbations multisig nécessaires pour déclencher une attaque par nonce durable. Les transactions pré-signées ont ensuite attendu, dormantes, pendant plus d'une semaine. Le 1er avril, elles se sont exécutées. Les coffres-forts du protocole ont été vidés en quelques secondes.

L'attribution à UNC4736 est solide : les flux on-chain remontent directement aux mêmes opérateurs impliqués dans le hack de Radiant Capital. Les recoupements avec des identités liées à la Corée du Nord confirment la piste. Ce groupe s'est déjà attaqué à des infrastructures d'échange et de paiement crypto à travers le monde, toujours avec la même approche : ingénierie sociale de longue haleine, exploitation de failles techniques connues mais non patchées, et patience absolue.

Ce que ça change : La DeFi a un problème humain, pas seulement technique. Aucun audit de smart contract n'aurait arrêté ça. Des États souverains investissent des mois pour infiltrer vos équipes, vos outils de dev et vos appareils personnels. Tant que les protocoles ne traiteront pas leurs contributeurs comme des cibles potentielles d'espionnage d'État — avec des politiques de sécurité opérationnelle drastiques — les 270M$ de Drift ne seront qu'un épisode parmi d'autres.

A lire aussi
hack
Un kit IA contourne le KYC des banques et plateformes crypto
hack
Hack à 285M$, Schwab lâche le BTC : la crypto change de dimension
hack
Hacks crypto : la baisse est trompeuse, le danger reste entier