La bourse décentralisée (DEX) Drift Protocol, basée sur Solana, a déclaré dimanche que l'attaque qui a siphonné environ 285 millions de dollars de la plateforme était une opération de renseignement structurée de six mois menée par un groupe de menaces affilié à l'État nord-coréen.
Les attaquants ont utilisé de fausses identités professionnelles, des réunions de conférence en personne et des outils de développement malveillants pour compromettre les contributeurs avant d'exécuter le siphonage, a déclaré le protocole dans une mise à jour détaillée de l'incident.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
"Les équipes crypto sont désormais confrontées à des adversaires qui opèrent davantage comme des unités de renseignement que comme des hackers, et la plupart des organisations ne sont pas structurellement préparées à ce niveau de menace", a déclaré Michael Pearl, vice-président de la stratégie chez Cyvers, une entreprise de sécurité blockchain, à Decrypt.
Drift a indiqué que le groupe avait approché pour la première fois des contributeurs lors d'une importante conférence crypto l'automne dernier, se présentant comme une société de trading quantitatif cherchant à s'intégrer au protocole.
Pendant des mois, le groupe a bâti la confiance grâce à des réunions en personne, une coordination via Telegram, a intégré un « Ecosystem Vault » sur Drift et a effectué un dépôt de 1 million de dollars de ses propres capitaux dans ce coffre-fort, avant de disparaître, les discussions et les logiciels malveillants étant « complètement nettoyés » au moment de l'exploit.
Le DEX a déclaré que l'intrusion pourrait avoir impliqué un dépôt de code malveillant, une fausse application TestFlight et une vulnérabilité VSCode/Cursor qui a permis l'exécution silencieuse de code sans interaction de l'utilisateur.
Drift a attribué l'attaque avec une « confiance moyenne-élevée » à UNC4736, également connu sous les noms d'AppleJeus ou Citrine Sleet – le même groupe affilié à l'État nord-coréen que la société de cybersécurité Mandiant a lié au piratage de Radiant Capital en 2024.
Drift a indiqué que les individus qui ont rencontré les contributeurs en personne n'étaient pas des ressortissants nord-coréens, soulignant que les acteurs liés à la RPDC s'appuient souvent sur des intermédiaires tiers pour les « engagements en face à face ».
Les flux de fonds on-chain et les personas superposés pointent vers des acteurs liés à la RPDC, selon les intervenants d'incident SEAL 911, bien que Mandiant n'ait pas encore confirmé l'attribution en attendant les analyses forensiques, a noté la plateforme.
Le chercheur en sécurité @tayvano_, l'un des experts que Drift a remercié pour son aide dans l'identification des acteurs malveillants, a suggéré que l'exposition s'étendait bien au-delà de cet incident.
Dans un tweet, l'expert a listé des dizaines de protocoles DeFi, alléguant que « les travailleurs informatiques de la RPDC ont construit les protocoles que vous connaissez et aimez, depuis l'été de la DeFi ».
"Drift et Bybit mettent en évidence le même schéma : les signataires n'ont pas été directement compromis au niveau du protocole, ils ont été incités à approuver des transactions malveillantes, a noté Pearl. Le problème principal n'est pas le nombre de signataires, mais le manque de compréhension de l'intention de la transaction."
Il a déclaré que les portefeuilles multi-signatures, bien que constituant une amélioration par rapport au contrôle à clé unique, créent désormais un faux sentiment de sécurité, introduisant "un paradoxe" où la responsabilité partagée réduit la vigilance de tous les signataires.
"La sécurité doit évoluer vers une validation pré-transactionnelle au niveau de la blockchain, où les transactions sont simulées et vérifiées indépendamment avant l'exécution", a déclaré Pearl, ajoutant qu'une fois que les attaquants contrôlent ce que les utilisateurs voient, la seule défense efficace est de valider ce qu'une transaction fait réellement, quelle que soit l'interface.
Concernant les outils de développement en tant que surface d'attaque, Lavid a déclaré que l'hypothèse devait changer de fond en comble.
"Il faut partir du principe que le point d'extrémité est compromis", a-t-il déclaré à Decrypt, citant les IDE, les dépôts de code, les applications mobiles et les environnements de signature comme des points d'entrée de plus en plus courants.
"Si ces outils fondamentaux sont vulnérables, tout ce qui est montré à l'utilisateur – y compris les transactions – peut être manipulé", a déclaré l'expert, notant que cela "rompt fondamentalement les hypothèses de sécurité traditionnelles", laissant les équipes incapables de faire confiance à "l'interface, l'appareil, ou même le flux de signature".
