← Retour 🔴 hack

Drift Protocol hacké à 270M$ : 6 mois de manipulation en face-à-face

Des hackers nord-coréens ont infiltré Drift Protocol pendant 6 mois via de faux contacts physiques dans des conférences crypto. Résultat : 270 millions de dollars partis en fumée, le plus gros hack de l'écosystème Solana.
📅 dimanche 5 avril 2026 ⏱ 2 min de lecture
Drift Protocol hacké à 270M$ : 6 mois de manipulation en face-à-face

270 millions de dollars. C'est ce que des hackers nord-coréens ont réussi à soutirer à Drift Protocol dans ce qui constitue le plus grand hack de l'histoire de l'écosystème Solana. Anatoly Yakovenko, co-fondateur de Solana, a qualifié l'attaque de "terrifiante". Il a rarement tort sur ce genre de jugement.

L'affaire n'est pas un banal exploit de smart contract. C'est une opération d'infiltration digne d'un film d'espionnage, menée sur 6 mois avec des ressources et une patience hors norme.

Tout commence fin 2025. Des intermédiaires tiers, qui ne sont pas eux-mêmes nord-coréens, approchent physiquement des contributeurs de Drift lors de grandes conférences crypto. Ces émissaires ont des profils professionnels vérifiables, une maîtrise technique crédible. Ils se font passer pour une société de trading quantitatif cherchant à s'intégrer au protocole.

Pour asseoir leur crédibilité, ces faux partenaires ouvrent un Ecosystem Vault sur Drift entre décembre 2025 et janvier 2026 et y déposent plus d'un million de dollars de leur propre argent. Un investissement calculé pour gagner la confiance de l'équipe.

De février à mars 2026, ils multiplient les sessions de travail avec les contributeurs de Drift, les retrouvent en face-à-face dans des conférences internationales. La relation commerciale devient solide. La méfiance s'effrite.

En avril, le piège se referme. Les attaquants partagent des liens vers des projets qu'ils prétendent développer. Un contributeur clone un dépôt de code fourni par les hackers, qui contenait vraisemblablement une vulnérabilité connue ciblant les éditeurs VSCode et Cursor. Un second contributeur est convaincu de télécharger une fausse application via TestFlight. Les machines sont compromises. Les clés aussi.

Drift est forcé de suspendre tous les dépôts et retraits d'urgence. Le protocole prend soin de préciser que ce n'est pas un poisson d'avril. L'ironie de la date n'a échappé à personne.

Une fois l'exploit réussi, les hackers ont effacé l'intégralité de leurs conversations Telegram et supprimé tous les logiciels malveillants. Aucune trace, aucune piste directe. Le groupe derrière l'attaque est fortement suspecté d'être affilié à l'État nord-coréen, dans la lignée des opérations attribuées au Lazarus Group et à ses ramifications.

Ce mode opératoire marque une évolution inquiétante. Oublier les simples phishing par email ou les faux liens Discord. La menace nord-coréenne se déplace désormais dans le monde réel, dans les couloirs des mêmes conférences où se retrouve toute l'industrie.

Ce que ça change : Aucun protocole DeFi ne peut plus se permettre de faire confiance à un partenaire simplement parce qu'il s'est montré en chair et en os à ETHDenver. La due diligence doit devenir paranoïaque, les pratiques de sécurité opérationnelle doivent s'étendre bien au-delà des écrans. Si des États financent des équipes capables d'investir 1 million de dollars et 6 mois de leur temps pour en voler 270, le secteur crypto n'a pas encore pris la mesure de l'adversaire auquel il fait face.

A lire aussi
hack
5,7 milliards volés en crypto : la « solution DeFi » ne règle presque rien
 XRP explose à 8,1M d'adresses pendant que des hackers nord-coréens infiltraient SHIB
hack
XRP explose à 8,1M d'adresses pendant que des hackers nord-coréens infiltraient SHIB
 Drift Protocol : 285M$ volés après 6 mois d'infiltration nord-coréenne
hack
Drift Protocol : 285M$ volés après 6 mois d'infiltration nord-coréenne