Une opération d’intelligence d’une durée de six mois a précédé l’exploitation de $270 millions du protocole Drift Protocol et a été menée par un groupe affilié à l’État nord-coréen, selon une mise à jour détaillée de l’incident publiée par l’équipe plus tôt dimanche.
Les attaquants ont d’abord pris contact vers l’automne 2025 lors d’une grande conférence crypto, en se présentant comme une société de trading quantitative cherchant à s’intégrer à Drift.
Ils étaient techniquement à l’aise, disposaient de parcours professionnels vérifiables et comprenaient le fonctionnement du protocole, a déclaré Drift. Un groupe Telegram a été créé et, ensuite, il y a eu pendant des mois des conversations approfondies autour des stratégies de trading et des intégrations de vaults, des interactions qui sont standard pour l’onboarding des sociétés de trading avec des protocoles DeFi.
Entre décembre 2025 et janvier 2026, le groupe a onboardé un Ecosystem Vault sur Drift, a tenu plusieurs sessions de travail avec des contributeurs, a déposé plus de $1 million de son propre capital, et a mis en place une présence opérationnelle fonctionnelle au sein de l’écosystème.
Des contributeurs de Drift ont rencontré en face à face des membres du groupe lors de plusieurs grandes conférences de l’industrie dans plusieurs pays jusqu’en février et mars. Au moment où l’attaque a été lancée le 1er avril, la relation avait presque atteint un demi-an.
La compromission semble provenir de deux vecteurs.
Une seconde a téléchargé une application TestFlight, la plateforme d’Apple pour distribuer des applications préalablement publiées qui contourne la revue de sécurité de l’App Store, que le groupe a présentée comme son produit wallet.
Pour le vecteur lié au dépôt (repository), Drift a pointé une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus largement utilisés dans le développement logiciel, que la communauté de la sécurité signalait depuis la fin de 2025 : il suffisait simplement d’ouvrir un fichier ou un dossier dans l’éditeur pour exécuter silencieusement du code arbitraire sans invite ni avertissement de quelque nature que ce soit.
Une fois les appareils compromis, les attaquants disposaient de tout ce dont ils avaient besoin pour obtenir les deux approbations multisig qui ont permis l’attaque par nonce durable que CoinDesk a détaillée plus tôt cette semaine. Ces transactions présignées sont restées en sommeil pendant plus d’une semaine avant d’être exécutées le 1er avril, vidant $270 millions des vaults de protocole en moins d’une minute.
L’attribution pointe vers UNC4736, un groupe affilié à l’État nord-coréen également suivi sous les noms AppleJeus ou Citrine Sleet, sur la base à la fois de flux de fonds on-chain traçant jusqu’aux attaquants de Radiant Capital et d’un chevauchement opérationnel avec des personas connues liées à la DPRK.
Les individus qui se sont présentés en personne lors de conférences n’étaient toutefois pas des ressortissants nord-coréens. Les acteurs de menace de la DPRK à ce niveau sont connus pour déployer des intermédiaires tiers dotés d’identités entièrement construites, de parcours professionnels détaillés et de réseaux professionnels conçus pour résister à la due diligence.
Drift a exhorté d’autres protocoles à auditer leurs contrôles d’accès et à considérer chaque appareil touchant un multisig comme une cible potentielle. L’implication plus large est inconfortable pour une industrie qui s’appuie sur la gouvernance multisig comme modèle de sécurité principal.
Mais si des attaquants sont prêts à consacrer six mois et un million de dollars pour construire une présence légitime au sein d’un écosystème, rencontrer des équipes en personne, contribuer de vrais capitaux et attendre, la question est alors : quel modèle de sécurité est conçu pour détecter cela.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Ambassadeur d’Iran en Inde : les pétroliers indiens n’ont pas payé les droits de passage du détroit d’Ormuz à l’Iran
L’ambassadeur d’Iran en Inde, Fattahali, a déclaré que les pétroliers indiens ayant traversé le détroit d’Hormuz n’avaient pas payé de droits de passage à l’Iran, et que le gouvernement indien a également nié avoir versé des frais. Depuis le début de la guerre en Iran, l’Iran a bloqué cette route maritime et, à ce jour, 15 navires battant pavillon indien sont toujours bloqués dans le golfe Persique.
GateNewsIl y a 1h
Le PDG de JPMorgan Chase, Dimon, met en garde : une guerre avec l’Iran pourrait raviver les troubles au niveau du système, et la Fed pourrait maintenir les taux à des niveaux élevés plus longtemps
Le PDG de JPMorgan Chase, Jamie Dimon, a averti dans sa lettre annuelle aux actionnaires que la guerre avec l’Iran pourrait entraîner des chocs durables sur les prix du pétrole et des matières premières, créant des pressions inflationnistes plus persistantes que ce que le marché anticipe. La Réserve fédérale pourrait devoir maintenir des taux élevés plus longtemps. Il a indiqué que l’impact de la guerre sur l’économie est large, notamment avec la reconfiguration des chaînes d’approvisionnement mondiales et la hausse des prix de l’énergie. De plus, Dimon garde une vision globalement positive de l’économie américaine, mais avertit que les chocs économiques liés à la guerre pourraient affaiblir cette résilience.
ChainNewsAbmediaIl y a 1h
Le vice-président américain, Vance : les États-Unis se retirent des négociations américano-iraniennes en raison d’un mandat insuffisant des représentants iraniens
Le vice-président américain Vance révèle les raisons de l’impasse des négociations nucléaires entre les États-Unis et l’Iran, affirmant que la partie américaine a quitté les pourparlers parce que les représentants iraniens ne disposaient pas d’une autorisation contractuelle. Vance souligne que Trump est prêt à normaliser les relations entre les États-Unis et l’Iran, mais à condition que l’Iran ne cherche pas à se doter d’armes nucléaires et ne soutienne pas le terrorisme ; les progrès futurs des négociations devront être approuvés par la direction de Téhéran.
GateNewsIl y a 2h
Les actions américaines ont récupéré les pertes depuis la guerre entre l’Iran et les États-Unis, tandis que le Bitcoin a atteint 74 K en hausse.
En raison des attentes du marché selon lesquelles les États-Unis et l’Iran parviendront à un accord, l’indice S&P 500 est revenu à son plus haut niveau depuis le début de la guerre, tandis que le Bitcoin poursuit sa forte progression pour atteindre 74 900 dollars. Malgré l’échec des pourparlers de paix entre les États-Unis et l’Iran, les États-Unis mettent en place un blocus maritime afin d’exercer des pressions sur l’Iran. MicroStrategy procède à nouveau à de très gros achats de Bitcoin, ce qui montre un regain de confiance des investisseurs.
ChainNewsAbmediaIl y a 3h
BlackRock rétablit la surpondération des actions américaines, affirmant que l’impact du conflit au Moyen-Orient est maîtrisé et que les perspectives de bénéfices portées par l’IA augmentent.
Les stratèges de BlackRock ont à nouveau une opinion surpondérée à l’égard des actions américaines, estimant que l’impact du conflit au Moyen-Orient sur l’économie mondiale est maîtrisable et que les prévisions de bénéfices des entreprises sont en hausse. Les récents appels à la trêve et la reprise du transport maritime sont considérés comme des signaux positifs, en particulier pour le secteur technologique, qui affiche une solide performance.
GateNewsIl y a 5h
Trump : hier, 34 navires ont traversé le détroit d’Ormuz, un record le plus élevé depuis la création
Actualités de Gate News : le 13 avril, le président américain Donald Trump a déclaré qu’hier (12 avril) 34 navires étaient passés par le détroit d’Ormuz, établissant le record de passage le plus élevé sur une journée depuis la fermeture de ce détroit. En outre, Trump a déclaré qu’il déposera à nouveau, au plus tard le 27 avril à l’heure locale, une version mise à jour de la plainte contre le « Wall Street Journal ».
GateNewsIl y a 10h
