← Retour 🔴 hack

Drift Protocol : 285M$ volés par la Corée du Nord en 6 mois d'infiltration

Le DEX Solana Drift Protocol a perdu 285 millions de dollars dans une opération d'espionnage de six mois orchestrée par un groupe de hackers nord-coréens. Fausses identités, conférences crypto, dépôt d'un million de dollars de leur propre argent : l'attaque était chirurgicale.
📅 lundi 6 avril 2026 ⏱ 2 min de lecture

Drift Protocol vient de confirmer ce que beaucoup redoutaient : le hack qui a vidé 285 millions de dollars de la plateforme n'était pas le coup d'un opportuniste. C'était une opération d'intelligence structurée sur six mois, attribuée avec une "confiance moyenne à élevée" au groupe UNC4736, alias AppleJeus ou Citrine Sleet, directement affilié à l'État nord-coréen.

Le mode opératoire est glaçant. Les attaquants se sont d'abord présentés comme une firme de trading quantitatif lors d'une grande conférence crypto à l'automne dernier. En personne. Avec des visages, des poignées de mains, des discussions techniques crédibles. Ils ont ensuite entretenu la relation via Telegram pendant des mois, gagné la confiance des contributeurs, intégré un vault dans l'écosystème Drift et déposé plus d'un million de dollars de leur propre capital pour paraître légitimes.

Quand l'exploit a frappé, tout a disparu. Chats Telegram effacés, malwares supprimés, traces volatilisées. Résultat net : 285 millions de dollars partis, et des équipes de sécurité qui recomposent le puzzle après coup.

L'intrusion aurait impliqué un dépôt de code malveillant, une fausse application TestFlight et une vulnérabilité dans les éditeurs VSCode et Cursor permettant une exécution silencieuse de code, sans aucune interaction de l'utilisateur. Les personnes rencontrées physiquement en conférence n'étaient pas des ressortissants nord-coréens : Pyongyang utilise des intermédiaires tiers pour les contacts en face-à-face.

Ce groupe, UNC4736, n'est pas inconnu. Mandiant l'avait déjà lié au hack de Radiant Capital en 2024. La chercheuse en sécurité @tayvano_, citée par Drift pour son aide dans l'identification des attaquants, est allée encore plus loin dans ses déclarations : selon elle, des développeurs liés à la DPRK auraient participé à la construction de protocoles DeFi connus, remontant jusqu'au DeFi Summer. Une bombe à retardement dans les fondations mêmes de l'écosystème.

Michael Pearl, VP Strategy chez Cyvers, résume la situation sans détour : "Les équipes crypto font désormais face à des adversaires qui fonctionnent davantage comme des unités de renseignement que comme des hackers. La plupart des organisations ne sont structurellement pas préparées à ce niveau de menace."

Le parallèle avec Bybit est direct. Dans les deux cas, les signataires n'ont pas été compromis au niveau protocolaire. Ils ont été manipulés pour approuver des transactions malveillantes. Les portefeuilles multisignatures, censés être la solution, créent en réalité un faux sentiment de sécurité : la responsabilité partagée réduit la vigilance individuelle de chaque signataire.

La conclusion des experts est unanime : il faut valider les transactions avant exécution, au niveau blockchain, indépendamment de ce que montre l'interface. Et considérer l'environnement de développement comme compromis par défaut. IDEs, dépôts de code, apps mobiles, tout est un vecteur d'attaque potentiel.

Ce que ça change : La Corée du Nord ne hack plus des exchanges, elle infiltre les équipes qui les construisent. Le vrai risque n'est plus dans le code, il est dans la personne en face de vous à la prochaine conférence crypto.

A lire aussi
hack
Un kit IA contourne le KYC des banques et plateformes crypto
hack
Hack à 285M$, Schwab lâche le BTC : la crypto change de dimension
hack
Hacks crypto : la baisse est trompeuse, le danger reste entier