← Retour 🔴 hack

La Corée du Nord a infiltré la DeFi pendant des années sous vos yeux

Des développeurs nord-coréens ont travaillé sur SushiSwap, THORChain ou encore Shiba Inu durant le DeFi Summer 2020. La chercheuse Taylor Monahan révèle une infiltration massive et durable de l'écosystème crypto.
📅 mardi 7 avril 2026 ⏱ 2 min de lecture

Des développeurs liés à la Corée du Nord ont contribué à certains des protocoles DeFi les plus connus de l'histoire crypto. Ce n'est pas une rumeur, c'est ce qu'affirme Taylor Monahan, chercheuse en cybersécurité réputée dans l'écosystème Web3.

Selon elle, ces agents nord-coréens étaient actifs dès le DeFi Summer de 2020. Leurs CVs affichaient de vraies années d'expérience en développement blockchain — parce que c'était réel. Ils codaient, ils committaient, ils construisaient. Parmi les projets concernés : SushiSwap, THORChain, Yearn Finance, Harmony, Ankr et Shiba Inu.

Certains protocoles s'en sont mieux sortis que d'autres. Yearn Finance est cité comme un exemple de rigueur, avec un processus de peer review strict et une culture de méfiance vis-à-vis des contributeurs externes. Ça n'a pas rendu le projet imperméable, mais ça a réduit l'exposition.

La méthode a évolué. Ces groupes utilisent désormais des intermédiaires non-nord-coréens pour les interactions en personne, ce qui rend la détection encore plus complexe. Le montant total extrait de l'écosystème crypto via ces opérations est estimé à au moins 6,7 milliards de dollars.

Et ce n'est que le début du bilan. D'après Chainalysis, les hackers nord-coréens ont volé 2,02 milliards de dollars en actifs numériques sur les seuls premiers mois de 2025. C'est une hausse de 51% par rapport à 2024, et ça représente 76% de l'ensemble des failles liées aux services crypto sur la période. Moins d'attaques, mais beaucoup plus massives.

Leur mode opératoire est rodé. Des travailleurs IT infiltrés dans des exchanges et des custodians servent de chevaux de Troie avant les grandes opérations. Une fois les fonds volés, ils les déplacent en petites transactions — plus de 60% des transferts restent sous 500 000 dollars — en s'appuyant sur des outils cross-chain, des mixers et des réseaux financiers en langue chinoise.

L'alliance SEAL a également documenté des attaques via de faux appels Zoom ou Microsoft Teams. Le schéma est toujours le même : un compte Telegram compromis, une invitation à rejoindre une visio, une vidéo pré-enregistrée pour paraître légitime, puis une fausse mise à jour logicielle qui installe un malware. Les données volées servent ensuite à propager l'attaque.

Dernier exemple en date : la compromission de Bitrefill le 1er mars. Un appareil employé infecté, des credentials volés, un accès aux bases de données internes, des hot wallets vidés et des flux de cartes cadeaux exploités. Les patterns malware et le comportement on-chain pointent directement vers les groupes Lazarus et Bluenoroff.

Ce que ça change : La DeFi n'a pas été construite uniquement par des idéalistes crypto — une partie de son infrastructure a été façonnée par des agents d'un État autoritaire qui l'utilisaient comme terrain de chasse. Les équipes qui ont survécu sans dégâts majeurs sont celles qui traitaient chaque contributeur anonyme comme une menace potentielle. C'est désormais le standard minimum, pas une option.

A lire aussi
hack
Crypto : les hackers pillent l'opérationnel pendant que la menace quantique approche
hack
Bitmine avale 4% de l'ETH mondial pendant que des hackers nord-coréens pillent 270M$
hack
Un kit IA contourne le KYC des banques et plateformes crypto