Drift Protocol, un échange décentralisé de cryptomonnaies (DEX), affirme que le récent exploit contre la plateforme était une attaque hautement coordonnée qui a duré six mois.
« L'enquête préliminaire montre que Drift a été victime d'une opération de renseignement structurée nécessitant un soutien organisationnel, des ressources importantes et des mois de préparation délibérée », a déclaré Drift dans un message X samedi.
L'échange décentralisé a été exploité mercredi, avec des estimations externes évaluant les pertes à environ 280 millions de dollars.
Selon Drift, le plan d'attaque remonte à environ octobre 2025, lorsque des acteurs malveillants se faisant passer pour une société de trading quantitatif ont approché des contributeurs de Drift lors d'une « grande conférence crypto », affirmant être intéressés par l'intégration avec le protocole.
Le groupe a continué à interagir en personne avec les contributeurs lors de plusieurs événements de l'industrie au cours des six mois suivants. « Il est maintenant compris que cela semble être une approche ciblée, où des individus de ce groupe ont continué à délibérément rechercher et engager des contributeurs spécifiques de Drift », a déclaré Drift.
« Ils étaient techniquement compétents, avaient des antécédents professionnels vérifiables et étaient familiers avec le fonctionnement de Drift », a déclaré Drift.
Après avoir gagné la confiance et l'accès au Protocole Drift sur une période de six mois, ils ont utilisé des liens et des outils malveillants partagés pour compromettre les appareils des contributeurs, exécuter l'exploit, puis ont effacé leur présence immédiatement après l'attaque.
L'incident sert de rappel aux participants de l'industrie crypto de rester prudents et sceptiques, même lors d'interactions en personne, car les conférences crypto peuvent être des cibles privilégiées pour les acteurs de menaces sophistiqués.
Drift a déclaré, avec une « confiance moyenne à élevée », que l'exploit a été mené par les mêmes acteurs derrière le hack de Radiant Capital d'octobre 2024.
En décembre 2024, Radiant Capital a déclaré que l'exploit avait été réalisé via un logiciel malveillant envoyé via Telegram par un hacker lié à la Corée du Nord se faisant passer pour un ancien contractant.
« Ce fichier ZIP, lorsqu'il a été partagé pour obtenir des commentaires parmi d'autres développeurs, a finalement livré un logiciel malveillant qui a facilité l'intrusion ultérieure », a déclaré Radiant Capital.
Drift a déclaré qu'il était « important de noter » que les individus qui sont apparus en personne « n'étaient pas des ressortissants nord-coréens ».
Connexe : Naoris lance une blockchain post-quantique alors que les risques de sécurité quantique attirent l'attention
« Les acteurs de menaces de la RPDC opérant à ce niveau sont connus pour déployer des intermédiaires tiers pour établir des relations en face à face », a déclaré Drift.
Drift a déclaré qu'il collabore avec les forces de l'ordre et d'autres acteurs de l'industrie crypto pour « établir une image complète de ce qui s'est passé lors de l'attaque du 1er avril ».
Magazine : Les crashs de 85 % du Bitcoin sont « terminés », la spéculation sur la loi CLARITY Act s'intensifie : Hodler’s Digest, 29 mars – 4 avril
