Le hack de $285M de Drift lié au groupe nord-coréen
Last Updated on 5 avril 2026 by CryptoTips.eu
Le piratage de Drift Protocol s’avère ne pas être une attaque opportuniste, mais une opération soigneusement orchestrée sur six mois. Le 1er avril 2026, $285 millions disparaissent des vaults du protocole basé sur Solana. Drift partage maintenant les premières conclusions forensiques, et elles sont profondément alarmantes.
Six mois undercover en tant que partenaire commercial
Tout commence à l’automne 2025, lorsqu’un groupe d’individus se présente lors d’une grande conférence crypto comme des employés d’une société de trading quantitatif. Ils approchent des contributeurs de Drift de manière ciblée et personnelle, prenant contact lors de plusieurs conférences internationales et construisant une relation commerciale crédible sur plusieurs mois. Via Telegram, ils mènent des conversations approfondies sur les stratégies de trading et les intégrations de vaults. Entre décembre 2025 et janvier 2026, ils ouvrent même un Ecosystem Vault sur la plateforme et déposent plus d’$1 million de leur propre capital, uniquement pour instaurer la confiance.
Ce qui rend l’attaque particulièrement dangereuse, c’est l’utilisation d’outils de travail quotidiens comme vecteur d’attaque. Les attaquants partagent des liens vers de prétendus dépôts de projets et des applications. Un contributeur est compromis après avoir cloné un dépôt partagé par le groupe pour un déploiement frontend. Une vulnérabilité connue dans VSCode et Cursor permet d’exécuter du code arbitraire simplement en ouvrant un fichier, sans avertissement ni invite de confirmation. Un second contributeur télécharge une application TestFlight malveillante que le groupe présente comme son propre produit de wallet. Au moment de l’exploit, tous les chats Telegram et les logiciels malveillants sont complètement effacés.
La piste nord-coréenne pointe vers un groupe de menace connu
Avec une « confiance moyenne à élevée », Drift relie l’attaque à UNC4736, un groupe de hackers affilié à l’État nord-coréen, également connu sous les noms d’AppleJeus ou Citrine Sleet. Ce même groupe est responsable du piratage de Radiant Capital en octobre 2024. Le lien est traçable à la fois onchain via les flux de fonds et opérationnellement via des profils d’acteurs qui se chevauchent. Il est notable que les individus présents en personne lors des conférences n’étaient pas des ressortissants nord-coréens. Les groupes DPRK opérant à ce niveau sont connus pour utiliser des intermédiaires tiers pour les contacts en face à face.
Drift demande à toutes les équipes de l’écosystème DeFi d’auditer les droits d’accès et de traiter chaque appareil touchant un multisig comme une cible potentielle. Toutes les fonctions du protocole sont gelées et les wallets compromis sont retirés du multisig. Pour les équipes qui pensent être ciblées, Drift conseille de contacter SEAL 911 immédiatement. Les cold wallets de tous les signataires multisig sont restés sécurisés tout au long de l’attaque.
