Une opération d’intelligence de six mois a précédé l’exploitation de 270 millions de dollars du protocole Drift et a été menée par un groupe affilié à l’État nord-coréen, selon une mise à jour détaillée de l’incident publiée par l’équipe plus tôt dimanche.
Les attaquants ont d’abord pris contact vers l’automne 2025 lors d’une grande conférence crypto, en se présentant comme une société de trading quantitatif cherchant à s’intégrer à Drift.
Ils étaient techniquement compétents, avaient des antécédents professionnels vérifiables et comprenaient comment le protocole fonctionnait, a déclaré Drift. Un groupe Telegram a été créé, et la suite a consisté en des mois de conversations approfondies autour des stratégies de trading et des intégrations de vault, des échanges qui sont classiques pour l’onboarding de sociétés de trading avec des protocoles DeFi.
Entre décembre 2025 et janvier 2026, le groupe a intégré un Ecosystem Vault sur Drift, a tenu plusieurs sessions de travail avec des contributeurs, a déposé plus d’un million de dollars de capital propre, et a construit une présence opérationnelle fonctionnelle au sein de l’écosystème.
Les contributeurs de Drift ont rencontré en personne des individus du groupe lors de plusieurs grandes conférences de l’industrie dans plusieurs pays, jusqu’en février et mars. Au moment où l’attaque a été lancée le 1er avril, la relation avait presque six mois.
La compromission semble être passée par deux vecteurs.
Un deuxième a téléchargé une application TestFlight, la plateforme d’Apple pour distribuer des applications en version précommerciale qui contourne l’examen de sécurité de l’App Store, que le groupe a présentée comme leur produit portefeuille.
Pour le vecteur lié au dépôt (repository), Drift a pointé une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus largement utilisés dans le développement logiciel, que la communauté de la sécurité signalait depuis la fin 2025 : le simple fait d’ouvrir un fichier ou un dossier dans l’éditeur suffisait à exécuter silencieusement un code arbitraire, sans invite ni avertissement d’aucune sorte.
Une fois les appareils compromis, les attaquants avaient tout ce dont ils avaient besoin pour obtenir les deux approbations multisig qui ont permis l’attaque par nonce durable détaillée plus tôt cette semaine par CoinDesk. Ces transactions pré-signées sont restées en sommeil pendant plus d’une semaine avant d’être exécutées le 1er avril, siphonnant 270 millions de dollars des vaults du protocole en moins d’une minute.
L’attribution pointe vers UNC4736, un groupe affilié à l’État nord-coréen également suivi sous les noms AppleJeus ou Citrine Sleet, d’après à la fois des flux de fonds on-chain traçant jusqu’aux attaquants de Radiant Capital et un recouvrement opérationnel avec des profils liés au DPRK.
Les individus qui se sont présentés en personne lors des conférences n’étaient toutefois pas des ressortissants nord-coréens. À ce niveau, les acteurs de menace du DPRK sont connus pour déployer des intermédiaires tiers dotés d’identités entièrement construites, de parcours d’emploi, et de réseaux professionnels conçus pour résister à la diligence raisonnable.
Drift a exhorté les autres protocoles à auditer les contrôles d’accès et à considérer chaque appareil touchant un multisig comme une cible potentielle. L’implication plus large est inconfortable pour une industrie qui s’appuie sur la gouvernance multisig comme modèle de sécurité principal.
Mais si les attaquants sont prêts à passer six mois et à dépenser un million de dollars pour construire une présence légitime au sein d’un écosystème, rencontrer les équipes en personne, contribuer du capital réel, et attendre, la question est alors de savoir quel modèle de sécurité est conçu pour détecter cela.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Reuters : la délégation américaine et iranienne tiendra des négociations plus tard cette semaine au Pakistan
Nouvelles de la porte, message, le 14 avril, Reuters, citant des responsables, indique que les délégations des États-Unis et de l’Iran tiendront des pourparlers plus tard dans la semaine dans la capitale pakistanaise, Islamabad.
GateNewsIl y a 1h
Nigel Farage investit 2 millions de livres sterling dans le Bitcoin, devenant le premier député au Royaume-Uni à afficher publiquement qu’il détient des crypto-monnaies
Le dirigeant du Reform Party britannique, Nigel Farage, a acheté pour environ 2 millions de livres sterling en Bitcoin, devenant ainsi le premier député en exercice à divulguer publiquement un investissement de cette ampleur. Cette action met en évidence le soutien de son parti aux cryptomonnaies et pourrait susciter des débats sur l’impact et les conflits d’intérêts liés à la politique crypto au Royaume-Uni. Farage a réalisé cet investissement via Stack BTC, renforçant ainsi sa double caution politique et financière.
MarketWhisperIl y a 2h
Les banques américaines remettent en question le rapport de la Maison-Blanche sur les rendements des stablecoins, s’inquiétant du risque de sorties de dépôts
Les banques américaines remettent en question le rapport du gouvernement sur les rendements des stablecoins, et estiment que le rapport ignore l’impact des stablecoins sur les sorties de dépôts, ce qui pourrait entraîner une hausse des coûts de financement et une réduction des prêts aux collectivités. À l’heure actuelle, les deux parties négocient un projet de loi au Sénat, et l’interdiction du paiement des intérêts sur les stablecoins constitue le point de friction majeur.
GateNewsIl y a 2h
Les banques mettent en doute le rapport de la Maison-Blanche sur les stablecoins, tandis que la crise de sorties de dépôts des banques communautaires est intentionnellement éludée
L’Association des banquiers américains critique le cadre de recherche du rapport de la Maison-Blanche sur les stablecoins, affirmant qu’il ne tient pas compte des risques de sorties de dépôts que pourrait entraîner l’interdiction des revenus provenant des stablecoins. Le rapport de la Maison-Blanche indique que l’interdiction a un impact minime sur les prêts bancaires, n’ajoutant que 2,1 milliards de dollars, mais l’ABA estime que ce cadre ne reflète pas les risques réels pour les banques communautaires et pour le soutien de l’économie locale. Cette controverse est également liée à la législation actuelle de régulation des cryptomonnaies, et influencera l’évolution future des stablecoins ainsi que l’environnement concurrentiel bancaire.
MarketWhisperIl y a 3h
Les actifs nets de Trump bondissent de 60 % pour atteindre 6,3 milliards de dollars, une expansion des affaires déclenchant des controverses liées à des conflits d’intérêts
L’estimation de la fortune nette de Donald Trump s’élève à 6,3 milliards de dollars, en hausse d’environ 60 % avant son retour à la Maison-Blanche. Cette progression serait principalement due à l’expansion de sa famille dans les transactions immobilières à l’étranger et dans le domaine des cryptomonnaies. Des experts en éthique gouvernementale expriment leurs inquiétudes, estimant qu’il pourrait y avoir des conflits d’intérêts. La Maison-Blanche et le groupe Trump démentent ces allégations.
GateNewsIl y a 4h
Citigroup relève sa recommandation sur le marché boursier américain à « acheter (surpondérer) », avec une préférence pour les actions défensives
Nouvelles de Gate, message, le 14 avril : les stratèges de Citigroup ont relevé la recommandation des actions américaines de « neutre » à « surpondérer », la faisant converger avec l’opinion d’autres analystes de Wall Street. Citigroup indique que l’incertitude liée à la situation de guerre s’est intensifiée, ce qui rend les investisseurs plus enclins à privilégier des sociétés offrant une meilleure qualité et une plus forte capacité de défense. Sur la base du principe de « surpondération de la qualité/défensive », Citigroup a ajusté l’allocation d’actifs à l’échelle mondiale. Par ailleurs, Citigroup a abaissé la recommandation des actions des marchés émergents de « surpondérer » à « neutre », en raison du fait que ces marchés sont facilement impactés par des chocs énergétiques, et que la vigueur du dollar leur exerce une pression.
GateNewsIl y a 4h
