Les acteurs nord-coréens ont extorqué environ 577 millions de dollars au cours des quatre premiers mois de 2026, une somme représentant 76 % de toutes les pertes mondiales dues aux piratages de cryptomonnaies durant cette période, selon la société de renseignement blockchain TRM Labs.
Ces pertes découlent de deux incidents survenus en avril, notamment l'exploit de 292 millions de dollars de KelpDAO et l'attaque de 285 millions de dollars contre Drift Protocol, qui, selon TRM dans un rapport, représentaient 3 % du nombre total d'incidents de piratage en 2026 jusqu'en avril.
Selon le rapport, l'attaque contre Drift provenait d'un sous-groupe nord-coréen distinct de TraderTraitor, l'opération bien documentée affiliée à Lazarus, bien que l'attribution spécifique soit toujours en cours d'investigation. La violation de KelpDAO était l'œuvre de TraderTraitor, a-t-il été dit.
Le piratage de Drift a impliqué des mois de rencontres en personne entre des proxys nord-coréens et des employés de Drift, a déclaré l'équipe de TRM, notant que la préparation de l'attaque a commencé dès le 11 mars, avant que l'attaquant ne crée des comptes durable nonce sur Solana et n'incite les signataires multisig du Conseil de sécurité de Drift à pré-autoriser des transactions.
L'attaquant a ensuite, le 1er avril, quelques jours après que Drift ait migré son Conseil de sécurité vers une nouvelle configuration de seuil 2/5 sans timelock, déployé 31 retraits pré-signés pour drainer les fonds dans une phase d'exécution rapide d'environ 12 minutes, a ajouté l'équipe. Les fonds ont ensuite été transférés vers Ethereum, où ils sont restés en grande partie inactifs.
Pendant ce temps, l'attaque de KelpDAO a suivi une voie technique différente, exploitant une conception à un seul vérificateur dans un pont LayerZero en compromettant l'infrastructure RPC et en manipulant la logique de validation inter-chaînes, selon le rapport.
TRM a déclaré que les attaquants ont drainé environ 116 500 rsETH après avoir forcé la vérification à basculer vers des nœuds compromis, le blanchiment ultérieur étant acheminé via une infrastructure inter-chaînes, y compris THORChain, suite à des gels partiels d'actifs sur Arbitrum.
L'équipe de TRM a déclaré que la part de la Corée du Nord dans les pertes mondiales dues aux piratages de crypto a « accéléré » plutôt que de stagner, passant de moins de 10 % en 2020 et 2021 à 22 % en 2022, 37 % en 2023, 39 % en 2024 et 64 % en 2025. Le montant cumulé des vols attribués dépasse désormais 6 milliards de dollars depuis 2017.
L'entreprise a souligné la violation de 1,46 milliard de dollars de Bybit en 2025 comme un point d'inflexion clé dans le profil d'activité récent de la Corée du Nord. Depuis lors, TRM a déclaré que la cadence opérationnelle est restée constante, les groupes d'élite privilégiant moins d'attaques mais à plus fort impact, ciblant les ponts, les systèmes de gouvernance multisig et l'infrastructure inter-chaînes.
TRM a déclaré que les incidents de Drift et KelpDAO mettent en évidence des approches de blanchiment divergentes. Un groupe associé à Drift a laissé les actifs largement inactifs après le pontage initial vers Ethereum et va probablement « conserver les fonds pendant des mois ou des années, puis exécuter un encaissement structuré et multi-phases ».
Les attaquants de KelpDAO, quant à eux, ont déplacé les fonds plus rapidement via des échanges inter-chaînes vers Bitcoin via THORChain, la phase de blanchiment en cours étant gérée en grande partie par des intermédiaires chinois, et non par les Nord-Coréens eux-mêmes, selon TRM.
Les priorités de surveillance de la conformité définies par TRM incluent les flux liés à THORChain provenant d'environnements de pont compromis, le traçage des transactions multi-sauts à travers l'infrastructure de pont, et le criblage des chemins de dépôt liés à la gouvernance Solana impliquant des transactions durable nonce.
L'entreprise a également souligné la participation au Beacon Network à travers les exchanges et les protocoles DeFi comme un mécanisme permettant d'accélérer l'alerte multi-plateforme une fois que les adresses liées à la Corée du Nord sont identifiées.
Clause de non-responsabilité : The Block est un média indépendant qui fournit des actualités, des recherches et des données. En novembre 2023, Foresight Ventures est l'investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés de l'espace crypto. La bourse de crypto Bitget est un LP (Limited Partner) ancre pour Foresight Ventures. The Block continue de fonctionner indépendamment pour fournir des informations objectives, percutantes et opportunes sur l'industrie de la crypto. Voici nos divulgations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas proposé ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
