Navigation
Les derniers articles
Suivez en direct

Drift Protocol : un groupe nord-coréen dérobe 285 millions

Illustration montrant le drapeau de la Corée du Nord superposé à un tas de pièces de cryptomonnaies (Bitcoin, Ethereum, XRP, Litecoin), symbolisant le vol de 285 millions de dollars au protocole Drift par un groupe nord-coréen.
Un groupe de hackers lié à la Corée du Nord a mené une opération de renseignement de six mois contre Drift Protocol pour dérober 285 millions de dollars.

TL;DR : L’essentiel

  • Des agents se faisant passer pour une société de trading ont infiltré l’écosystème durant six mois, investissant un million de dollars pour gagner la confiance des contributeurs.
  • L’attaque a exploité une faille dans l’éditeur Visual Studio Code et une application TestFlight malveillante pour compromettre les clés multisig nécessaires à la validation des transactions.
  • En moins d’une minute, les attaquants ont désactivé les systèmes de sécurité internes et vidé les coffres-forts numériques avant de disperser les fonds vers plus de 57 000 adresses.

Le 1er avril 2026, la plateforme de finance décentralisée Drift Protocol a été victime d’un vol de 285 millions de dollars. Selon une analyse publiée par The Hacker News, cet incident n’est pas une simple faille technique mais l’aboutissement d’une opération d’ingénierie sociale sophistiquée menée par le groupe nord-coréen UNC4736, également connu sous les noms de AppleJeus ou Citrine Sleet.

Une infiltration humaine et technique de longue durée dans Drift Protocol

L’opération a débuté à l’automne 2025 lors d’une conférence majeure sur les cryptomonnaies. Des individus prétendant représenter une firme de trading quantitatif ont noué des liens étroits avec les contributeurs du projet. Comme le rapporte CoinDesk, les attaquants de Drift Protocol ont déposé plus d’un million de dollars de leur propre capital pour asseoir leur légitimité au sein de l’écosystème. Cette présence prolongée a permis de déployer des logiciels malveillants via une application TestFlight et d’exploiter une vulnérabilité critique dans les éditeurs de code VS Code et Cursor pour compromettre les accès administratifs.

Neutralisation des sécurités et exécution de l’exploit

Grâce au détournement des accès de validation partagés — un système de sécurité appelé « multisig » — les pirates ont pris le contrôle d’une clé d’administration. D’après SecurityWeek, ils ont alors créé un marché fictif pour un jeton sans valeur nommé CVT et désactivé les « circuit breakers », ces mécanismes censés bloquer les retraits massifs. En moins de dix secondes, six types de jetons ont été drainés des coffres du protocole. Le blanchiment des fonds a suivi immédiatement, impliquant environ 860 000 transactions automatisées réparties sur plus de 57 000 adresses pour brouiller les pistes.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Cette attaque démontre que même les modèles de gouvernance par multisig ne peuvent protéger un protocole si l’intégrité physique et numérique des signataires est compromise par une infiltration de long terme, une menace que les experts considèrent comme un pivot majeur de l’espionnage financier étatique.

Foire aux questions (FAQ) : l’attaque de Drift Protocol par l’UNC4736

Que s’est-il passé exactement lors de l’attaque ?

Il s’agit d’une opération de renseignement structurée plutôt que d’un piratage informatique classique. Pendant six mois, des agents infiltrés ont bâti une relation de confiance avec l’équipe de Drift Protocol, allant jusqu’à les rencontrer physiquement lors de conférences internationales. Cette couverture a servi de vecteur pour introduire des logiciels espions sur les ordinateurs des administrateurs, permettant aux attaquants de signer des transactions frauduleuses à l’avance et de les déclencher simultanément le 1er avril.

Quelles sont les conséquences de cette intrusion ?

Le bilan financier s’élève à 285 millions de dollars dérobés. Sur le plan technique, les attaquants ont réussi à paralyser les systèmes de sécurité automatiques de la plateforme en environ 25 secondes. Les fonds ont été quasi instantanément convertis en Ethereum et dispersés via des bots automatisés effectuant près de 600 transactions par minute, rendant la récupération des actifs extrêmement complexe pour les autorités et les sociétés de cybersécurité.

Qui est derrière cette attaque selon les suppositions actuelles ?

Le groupe UNC4736, une unité cybernétique affiliée à la Corée du Nord, est le principal suspect. Ce groupe a pour habitude de financer le régime de Pyongyang par le vol d’actifs numériques. A noter que les individus rencontrés physiquement par les équipes de Drift n’étaient pas des ressortissants nord-coréens, mais des intermédiaires recrutés par le groupe pour leur profil professionnel crédible.

Quelles failles techniques ont permis l’infection initiale ?

L’intrusion s’est appuyée sur deux vecteurs précis. D’une part, une vulnérabilité dans les éditeurs de code Visual Studio Code et Cursor, permettant l’exécution de code malveillant à l’ouverture d’un simple dossier. D’autre part, les attaquants ont incité les membres de l’équipe à télécharger une application via TestFlight, la plateforme d’Apple pour les versions bêta, contournant ainsi les contrôles de sécurité habituels de l’App Store sous prétexte de tester un nouvel outil de trading.

Comment les plateformes peuvent-elles se protéger contre ce type de menace ?

Suite à cet exploit, Drift recommande aux protocoles d’auditer rigoureusement leurs contrôles d’accès et de considérer chaque appareil ayant accès à une clé de validation (multisig) comme une cible potentielle.
L’utilisation de portefeuilles matériels (hardware wallets) isolés et l’instauration de délais de sécurité (timelocks) sur les modifications administratives sont essentielles pour empêcher une prise de contrôle aussi rapide que celle observée lors de cette attaque.

S’agit-il d’une nouvelle stratégie pour les cyberattaquants nord-coréens ?

L’opération marque une évolution vers un écosystème de logiciels malveillants délibérément fragmenté et compartimenté. Au lieu de simples attaques techniques, le groupe UNC4736 privilégie désormais des campagnes de longue durée avec des identités numériques et professionnelles complètes, incluant réseaux sociaux et historiques d’emploi. Cette approche rend l’attribution plus difficile et permet de générer des revenus réguliers pour le régime de Pyongyang tout en contournant les sanctions internationales.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon

Le pirate informatique et l'État : cyberattaques et nouvelle normalité géopolitique (édition anglaise)

Riche en informations exclusives issues d'entretiens avec des acteurs clés de la défense et de la cybersécurité, de documents déclassifiés et d'analyses approfondies de rapports d'entreprises, « The Hacker and the State » explore la véritable compétition géopolitique de l'ère numérique et révèle des détails méconnus sur la manière dont la Chine, la Russie, la Corée du Nord, le Royaume-Uni et les États-Unis se piratent mutuellement dans une lutte acharnée pour la domination.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.