Les pirates nord-coréens ont volé près des trois quarts de toutes les cryptomonnaies dérobées par les cybercriminels jusqu'à présent cette année – non pas via une campagne d'attaques incessante, mais par deux vols exécutés avec précision ciblant des plateformes de finance décentralisée en avril, selon un nouveau rapport de la firme d'intelligence blockchain TRM Labs.
Les deux incidents – une violation de 285 millions de dollars du protocole Drift le 1er avril et un exploit de 292 millions de dollars de Kelp DAO le 18 avril – représentent ensemble 76 % de toutes les pertes dues aux piratages crypto enregistrées jusqu'en avril, bien qu'ils ne représentent que 3 % du nombre total d'incidents recensés.
Au total, TRM Labs estime que les pirates liés à la Corée du Nord ont dérobé plus de 6 milliards de dollars aux protocoles et projets crypto depuis 2017, y compris certains des pires vols jamais enregistrés dans l'industrie.
Ces chiffres témoignent d'une concentration croissante des vols de cryptomonnaies par des agents nord-coréens liés à l'État. La part de Pyongyang dans le total des pertes dues aux piratages crypto est passée de moins de 10 % en 2020 et 2021 à 22 % en 2022, 37 % en 2023, 39 % en 2024 et 64 % en 2025. Le chiffre de 76 % pour 2026 jusqu'en avril est la part soutenue la plus élevée jamais enregistrée.
L'attaque du protocole Drift s'est distinguée par sa patience. La préparation on-chain a commencé le 11 mars, et la campagne a impliqué des réunions en personne entre des intermédiaires nord-coréens et des employés de Drift sur une période de plusieurs mois – une tactique que les analystes de TRM ont décrite comme potentiellement sans précédent dans la longue campagne de piratage crypto de la Corée du Nord.
Les attaquants ont exploité une fonctionnalité de Solana appelée « nonce durable », qui permet de conserver et de déployer ultérieurement des transactions pré-signées. Le 1er avril, 31 retraits ont été exécutés en environ 12 minutes, vidant des actifs réels dont l'USDC et le JLP. Les fonds volés ont été rapidement transférés vers Ethereum et sont restés inactifs depuis.
L'attaque de Kelp DAO a pris une autre voie. Les attaquants ont compromis deux nœuds RPC internes, puis ont lancé une attaque par déni de service contre des nœuds externes, forçant le vérificateur unique du pont à se fier aux sources de données empoisonnées. Ces nœuds ont faussement signalé que l'actif sous-jacent avait été brûlé sur la chaîne source alors qu'aucune action de ce type n'avait eu lieu, et environ 116 500 rsETH – d'une valeur d'environ 292 millions de dollars – ont été drainés du contrat de pont Ethereum.
Après le vol de Kelp DAO, le Conseil de sécurité d'Arbitrum a exercé des pouvoirs d'urgence pour geler environ 75 millions de dollars des fonds volés qui étaient restés sur le réseau – une intervention rare qui a provoqué une réponse rapide de blanchiment. Environ 175 millions de dollars en ETH ont ensuite été échangés contre du Bitcoin, principalement via THORChain, un protocole de liquidité inter-chaînes sans exigence de connaissance du client (KYC).
THORChain a traité la grande majorité des fonds provenant à la fois de la violation de Bybit en 2025 – le pire vol de l'industrie, avec plus de 1,4 milliard de dollars de crypto dérobés – et du piratage de Kelp DAO en 2026, convertissant des centaines de millions d'ETH volés en Bitcoin sans qu'aucun opérateur ne soit disposé à geler ou à rejeter les transferts.
Les analystes de TRM ont noté que le groupe semble affûter ses outils : les analystes ont commencé à spéculer que les opérateurs nord-coréens incorporent des outils d'IA dans leurs processus de reconnaissance et d'ingénierie sociale, un développement cohérent avec la précision croissante d'attaques comme celle de Drift, qui a nécessité des semaines de manipulation ciblée de mécanismes blockchain complexes.
