🔴 hack

Drift Protocol : 285M$ volés en 12 min par la Corée du Nord

285 millions de dollars dérobés en 12 minutes sur Drift Protocol : comment Lazarus a infiltré la DeFi Solana pendant 6 mois avant de frapper.
📅 mercredi 8 avril 2026 ⏱ 2 min de lecture · 60 vues

Le 1er avril 2026, à 14h02, les alertes de PeckShield s'emballent. Les coffres de Drift Protocol, l'un des protocoles DeFi les plus solides de Solana, se vident en direct. Pas un bug. Pas une blague de poisson d'avril. 285 millions de dollars partis en 12 minutes. Derrière l'opération : Lazarus, l'unité de cyberguerre nord-coréenne.

Techniquement, personne n'a cassé le code. C'est bien plus élégant et bien plus inquiétant que ça. Les attaquants ont déployé un jeton fantôme baptisé CarbonVote (CVT), manipulé les oracles de prix internes pour lui donner une valeur artificielle, puis utilisé ce collatéral gonflé à l'hélium pour emprunter des actifs réels : USDC, SOL, tout ce qui se revend vite. Le protocole a fonctionné exactement comme prévu. Avec de fausses données.

Pour l'exécution, Lazarus a exploité les Durable Nonces de Solana. Des centaines de transactions de sortie pré-signées, préparées des jours à l'avance, prêtes à feu. Quand ils ont appuyé sur Play, les systèmes automatisés de sécurité ont été littéralement noyés sous le volume. 12 minutes. C'est le temps qu'il a fallu pour liquider l'un des protocoles les mieux audités de l'écosystème.

Mais le vrai travail avait commencé six mois plus tôt. Des agents nord-coréens se sont infiltrés dans la communauté Drift en se faisant passer pour des développeurs Web3 légitimes. Ils ont bossé, contribué, gagné la confiance des équipes. Puis ils ont proposé aux ingénieurs de tester une extension pour VS Code et Cursor. L'outil était malveillant. Les clés privées du Security Council ont été exfiltrées sans que personne ne s'en rende compte. La suite, vous la connaissez.

Lazarus n'est pas un groupe de hackers motivés par l'adrénaline. C'est une machine de guerre financière active depuis 2009, avec plus de 7 milliards de dollars volés au compteur. Ronin Bridge : 625M$ en 2022. Bybit : 1,5 milliard de dollars en 2025. Drift : 285M$ en 2026. La progression est linéaire, les cibles de plus en plus grosses, les méthodes de plus en plus sophistiquées.

Ce que cette attaque révèle est simple et brutal : l'audit du code ne sert à rien si un humain avec les bonnes clés se fait piéger. La DeFi a passé des années à construire des forteresses mathématiques. Lazarus a juste recruté quelqu'un pour ouvrir la porte de service.

Ce que ça change : La sécurité DeFi ne peut plus être uniquement une question de smart contracts. Tant que les équipes ne traiteront pas l'ingénierie sociale comme une menace de premier rang — avec des protocoles stricts sur les outils tiers, les accès multisig et la vérification des identités — les États comme la Corée du Nord continueront de piller l'écosystème avec une efficacité industrielle. Le code est blindé. L'humain, non.

A lire aussi
hack
Mythos : l'IA d'Anthropic qui génère des failles zero-day à 72%
hack
Stabble vide ses LP : l'ex-CTO était un hacker nord-coréen
hack
Solana lance STRIDE après le hack à 285M$ : trop peu, trop tard ?