TL;DR : L’essentiel
- Des agents se faisant passer pour une société de trading ont infiltré l’écosystème durant six mois, investissant un million de dollars pour gagner la confiance des contributeurs.
- L’attaque a exploité une faille dans l’éditeur Visual Studio Code et une application TestFlight malveillante pour compromettre les clés multisig nécessaires à la validation des transactions.
- En moins d’une minute, les attaquants ont désactivé les systèmes de sécurité internes et vidé les coffres-forts numériques avant de disperser les fonds vers plus de 57 000 adresses.
Le 1er avril 2026, la plateforme de finance décentralisée Drift Protocol a été victime d’un vol de 285 millions de dollars. Selon une analyse publiée par The Hacker News, cet incident n’est pas une simple faille technique mais l’aboutissement d’une opération d’ingénierie sociale sophistiquée menée par le groupe nord-coréen UNC4736, également connu sous les noms de AppleJeus ou Citrine Sleet.
Une infiltration humaine et technique de longue durée dans Drift Protocol
L’opération a débuté à l’automne 2025 lors d’une conférence majeure sur les cryptomonnaies. Des individus prétendant représenter une firme de trading quantitatif ont noué des liens étroits avec les contributeurs du projet. Comme le rapporte CoinDesk, les attaquants de Drift Protocol ont déposé plus d’un million de dollars de leur propre capital pour asseoir leur légitimité au sein de l’écosystème. Cette présence prolongée a permis de déployer des logiciels malveillants via une application TestFlight et d’exploiter une vulnérabilité critique dans les éditeurs de code VS Code et Cursor pour compromettre les accès administratifs.
Neutralisation des sécurités et exécution de l’exploit
Grâce au détournement des accès de validation partagés — un système de sécurité appelé « multisig » — les pirates ont pris le contrôle d’une clé d’administration. D’après SecurityWeek, ils ont alors créé un marché fictif pour un jeton sans valeur nommé CVT et désactivé les « circuit breakers », ces mécanismes censés bloquer les retraits massifs. En moins de dix secondes, six types de jetons ont été drainés des coffres du protocole. Le blanchiment des fonds a suivi immédiatement, impliquant environ 860 000 transactions automatisées réparties sur plus de 57 000 adresses pour brouiller les pistes.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Cette attaque démontre que même les modèles de gouvernance par multisig ne peuvent protéger un protocole si l’intégrité physique et numérique des signataires est compromise par une infiltration de long terme, une menace que les experts considèrent comme un pivot majeur de l’espionnage financier étatique.
Foire aux questions (FAQ) : l’attaque de Drift Protocol par l’UNC4736
Que s’est-il passé exactement lors de l’attaque ?
Il s’agit d’une opération de renseignement structurée plutôt que d’un piratage informatique classique. Pendant six mois, des agents infiltrés ont bâti une relation de confiance avec l’équipe de Drift Protocol, allant jusqu’à les rencontrer physiquement lors de conférences internationales. Cette couverture a servi de vecteur pour introduire des logiciels espions sur les ordinateurs des administrateurs, permettant aux attaquants de signer des transactions frauduleuses à l’avance et de les déclencher simultanément le 1er avril.
Quelles sont les conséquences de cette intrusion ?
Le bilan financier s’élève à 285 millions de dollars dérobés. Sur le plan technique, les attaquants ont réussi à paralyser les systèmes de sécurité automatiques de la plateforme en environ 25 secondes. Les fonds ont été quasi instantanément convertis en Ethereum et dispersés via des bots automatisés effectuant près de 600 transactions par minute, rendant la récupération des actifs extrêmement complexe pour les autorités et les sociétés de cybersécurité.
Qui est derrière cette attaque selon les suppositions actuelles ?
Le groupe UNC4736, une unité cybernétique affiliée à la Corée du Nord, est le principal suspect. Ce groupe a pour habitude de financer le régime de Pyongyang par le vol d’actifs numériques. A noter que les individus rencontrés physiquement par les équipes de Drift n’étaient pas des ressortissants nord-coréens, mais des intermédiaires recrutés par le groupe pour leur profil professionnel crédible.
Quelles failles techniques ont permis l’infection initiale ?
L’intrusion s’est appuyée sur deux vecteurs précis. D’une part, une vulnérabilité dans les éditeurs de code Visual Studio Code et Cursor, permettant l’exécution de code malveillant à l’ouverture d’un simple dossier. D’autre part, les attaquants ont incité les membres de l’équipe à télécharger une application via TestFlight, la plateforme d’Apple pour les versions bêta, contournant ainsi les contrôles de sécurité habituels de l’App Store sous prétexte de tester un nouvel outil de trading.
Comment les plateformes peuvent-elles se protéger contre ce type de menace ?
Suite à cet exploit, Drift recommande aux protocoles d’auditer rigoureusement leurs contrôles d’accès et de considérer chaque appareil ayant accès à une clé de validation (multisig) comme une cible potentielle.
L’utilisation de portefeuilles matériels (hardware wallets) isolés et l’instauration de délais de sécurité (timelocks) sur les modifications administratives sont essentielles pour empêcher une prise de contrôle aussi rapide que celle observée lors de cette attaque.
S’agit-il d’une nouvelle stratégie pour les cyberattaquants nord-coréens ?
L’opération marque une évolution vers un écosystème de logiciels malveillants délibérément fragmenté et compartimenté. Au lieu de simples attaques techniques, le groupe UNC4736 privilégie désormais des campagnes de longue durée avec des identités numériques et professionnelles complètes, incluant réseaux sociaux et historiques d’emploi. Cette approche rend l’attribution plus difficile et permet de générer des revenus réguliers pour le régime de Pyongyang tout en contournant les sanctions internationales.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
