DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • DCOD Signalement des failles dIA
    Signalement des failles d’IA : FLARE-AI propose sa solution
  • Illustration pour la veille cybercriminalité et crypto : une paire de menottes en métal repose sur un clavier d'ordinateur au premier plan. En arrière-plan sombre, une silhouette de hacker encapuchonné fait face à un réseau lumineux d'icônes de cryptomonnaies interconnectées, incluant les symboles du Bitcoin et de l'Ethereum, dans des teintes bleues et rouges.
    Cybercriminalité : les 11 opérations et arrestations du 10 juillet 2026
  • Une photographie de studio nette montrant deux mains portant des gants de boxe s'affrontant sur un fond gris neutre. La main gauche porte un gant de boxe blanc avec trois bandes fuchsia fuchsia, associée au logo étoile orange et au texte 'Claude' superposé. La main droite porte un gant de boxe noir uni, associée au logo vagues stylisées et au texte 'Alibaba' superposé. Les deux paires se font face dans un geste d'affrontement ou de combat symbolique. Le filigrane 'dcod.ch' est en bas à droite. Les logos et textes sont clairs.
    Alibaba bannit Claude Code après la découverte d’un mouchard
  • Illustration pour la veille sur les fuites de données : une silhouette de hacker encapuchonné dans l'ombre, sur fond de code informatique bleu, est traversée par des faisceaux lumineux diagonaux orange intenses évoquant une alerte de sécurité ou une brèche active.
    Fuites de données : les 12 incidents majeurs au 9 juillet 2026
  • Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
    Le spyware Pegasus pirate le téléphone d’un enquêteur européen
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cyber-attaques / fraudes

Drift Protocol : un groupe nord-coréen dérobe 285 millions

  • Marc Barbezat
  • 10 avril 2026
  • 2 minutes de lecture
Illustration montrant le drapeau de la Corée du Nord superposé à un tas de pièces de cryptomonnaies (Bitcoin, Ethereum, XRP, Litecoin), symbolisant le vol de 285 millions de dollars au protocole Drift par un groupe nord-coréen.
Un groupe de hackers lié à la Corée du Nord a mené une opération de renseignement de six mois contre Drift Protocol pour dérober 285 millions de dollars.

TL;DR : L’essentiel

  • Des agents se faisant passer pour une société de trading ont infiltré l’écosystème durant six mois, investissant un million de dollars pour gagner la confiance des contributeurs.
  • L’attaque a exploité une faille dans l’éditeur Visual Studio Code et une application TestFlight malveillante pour compromettre les clés multisig nécessaires à la validation des transactions.
  • En moins d’une minute, les attaquants ont désactivé les systèmes de sécurité internes et vidé les coffres-forts numériques avant de disperser les fonds vers plus de 57 000 adresses.
▾ Sommaire
TL;DR : L’essentielUne infiltration humaine et technique de longue durée dans Drift ProtocolNeutralisation des sécurités et exécution de l’exploitFoire aux questions (FAQ) : l’attaque de Drift Protocol par l’UNC4736Que s’est-il passé exactement lors de l’attaque ?Quelles sont les conséquences de cette intrusion ?Qui est derrière cette attaque selon les suppositions actuelles ?Quelles failles techniques ont permis l’infection initiale ?Comment les plateformes peuvent-elles se protéger contre ce type de menace ?S’agit-il d’une nouvelle stratégie pour les cyberattaquants nord-coréens ?

Le 1er avril 2026, la plateforme de finance décentralisée Drift Protocol a été victime d’un vol de 285 millions de dollars. Selon une analyse publiée par The Hacker News, cet incident n’est pas une simple faille technique mais l’aboutissement d’une opération d’ingénierie sociale sophistiquée menée par le groupe nord-coréen UNC4736, également connu sous les noms de AppleJeus ou Citrine Sleet.

Une infiltration humaine et technique de longue durée dans Drift Protocol

L’opération a débuté à l’automne 2025 lors d’une conférence majeure sur les cryptomonnaies. Des individus prétendant représenter une firme de trading quantitatif ont noué des liens étroits avec les contributeurs du projet. Comme le rapporte CoinDesk, les attaquants de Drift Protocol ont déposé plus d’un million de dollars de leur propre capital pour asseoir leur légitimité au sein de l’écosystème. Cette présence prolongée a permis de déployer des logiciels malveillants via une application TestFlight et d’exploiter une vulnérabilité critique dans les éditeurs de code VS Code et Cursor pour compromettre les accès administratifs.

Neutralisation des sécurités et exécution de l’exploit

Grâce au détournement des accès de validation partagés — un système de sécurité appelé « multisig » — les pirates ont pris le contrôle d’une clé d’administration. D’après SecurityWeek, ils ont alors créé un marché fictif pour un jeton sans valeur nommé CVT et désactivé les « circuit breakers », ces mécanismes censés bloquer les retraits massifs. En moins de dix secondes, six types de jetons ont été drainés des coffres du protocole. Le blanchiment des fonds a suivi immédiatement, impliquant environ 860 000 transactions automatisées réparties sur plus de 57 000 adresses pour brouiller les pistes.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Cette attaque démontre que même les modèles de gouvernance par multisig ne peuvent protéger un protocole si l’intégrité physique et numérique des signataires est compromise par une infiltration de long terme, une menace que les experts considèrent comme un pivot majeur de l’espionnage financier étatique.

Foire aux questions (FAQ) : l’attaque de Drift Protocol par l’UNC4736

Que s’est-il passé exactement lors de l’attaque ?

Il s’agit d’une opération de renseignement structurée plutôt que d’un piratage informatique classique. Pendant six mois, des agents infiltrés ont bâti une relation de confiance avec l’équipe de Drift Protocol, allant jusqu’à les rencontrer physiquement lors de conférences internationales. Cette couverture a servi de vecteur pour introduire des logiciels espions sur les ordinateurs des administrateurs, permettant aux attaquants de signer des transactions frauduleuses à l’avance et de les déclencher simultanément le 1er avril.

Quelles sont les conséquences de cette intrusion ?

Le bilan financier s’élève à 285 millions de dollars dérobés. Sur le plan technique, les attaquants ont réussi à paralyser les systèmes de sécurité automatiques de la plateforme en environ 25 secondes. Les fonds ont été quasi instantanément convertis en Ethereum et dispersés via des bots automatisés effectuant près de 600 transactions par minute, rendant la récupération des actifs extrêmement complexe pour les autorités et les sociétés de cybersécurité.

Qui est derrière cette attaque selon les suppositions actuelles ?

Le groupe UNC4736, une unité cybernétique affiliée à la Corée du Nord, est le principal suspect. Ce groupe a pour habitude de financer le régime de Pyongyang par le vol d’actifs numériques. A noter que les individus rencontrés physiquement par les équipes de Drift n’étaient pas des ressortissants nord-coréens, mais des intermédiaires recrutés par le groupe pour leur profil professionnel crédible.

Quelles failles techniques ont permis l’infection initiale ?

L’intrusion s’est appuyée sur deux vecteurs précis. D’une part, une vulnérabilité dans les éditeurs de code Visual Studio Code et Cursor, permettant l’exécution de code malveillant à l’ouverture d’un simple dossier. D’autre part, les attaquants ont incité les membres de l’équipe à télécharger une application via TestFlight, la plateforme d’Apple pour les versions bêta, contournant ainsi les contrôles de sécurité habituels de l’App Store sous prétexte de tester un nouvel outil de trading.

Comment les plateformes peuvent-elles se protéger contre ce type de menace ?

Suite à cet exploit, Drift recommande aux protocoles d’auditer rigoureusement leurs contrôles d’accès et de considérer chaque appareil ayant accès à une clé de validation (multisig) comme une cible potentielle.
L’utilisation de portefeuilles matériels (hardware wallets) isolés et l’instauration de délais de sécurité (timelocks) sur les modifications administratives sont essentielles pour empêcher une prise de contrôle aussi rapide que celle observée lors de cette attaque.

S’agit-il d’une nouvelle stratégie pour les cyberattaquants nord-coréens ?

L’opération marque une évolution vers un écosystème de logiciels malveillants délibérément fragmenté et compartimenté. Au lieu de simples attaques techniques, le groupe UNC4736 privilégie désormais des campagnes de longue durée avec des identités numériques et professionnelles complètes, incluant réseaux sociaux et historiques d’emploi. Cette approche rend l’attribution plus difficile et permet de générer des revenus réguliers pour le régime de Pyongyang tout en contournant les sanctions internationales.

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • AppleJeus
  • Corée du Nord
  • Drift Protocol
  • finance décentralisée
  • Solana
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
Lire l'article

Le spyware Pegasus pirate le téléphone d’un enquêteur européen

Une main tenant un smartphone affichant une application de paris en ligne devant un match de football, illustrant comment l'illusion de fausses vidéos sur Polymarket dupe les internautes.
Lire l'article

Fausses vidéos sur Polymarket : l’illusion dupe les internautes

Silhouette anonyme en sweat à capuche noir devant les drapeaux de l'UE et de l'Ukraine, illustrant l'intégration de Kiev au bouclier d'urgence et à la réserve cyber européenne.
Lire l'article

Réserve cyber de l’UE : l’Ukraine intègre le bouclier d’urgence

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois