La plateforme DeFi Drift a perdu 285 millions de dollars en 10 secondes suite à une attaque attribuée à la Corée du Nord. L'opération reposait sur 6 mois d'ingénierie sociale en personne.
En bref
- La plateforme DeFi Drift (Solana) a perdu 285 millions de dollars en 10 secondes le 1er avril 2026
- L'attaque est attribuée au groupe nord-coréen UNC4736 après 6 mois d'ingénierie sociale en personne
- Action requise : renforcer les contrôles d'accès aux smart contracts et auditer les processus de signature multi-sig
Les faits
Le 1er avril 2026, la plateforme d'échange décentralisée Drift, basée sur la blockchain Solana, a été vidée de 285 millions de dollars en exactement dix secondes. Entre 16h06:09 et 16h06:19 UTC, les attaquants ont exécuté une série de retraits pré-signés — 41,72 millions de JLP et 2 200 wETH dans les vaults principaux — en exploitant le mécanisme de « durable nonce » de Solana pour créer des transactions sans expiration. Drift a immédiatement suspendu ses services. Selon The Hacker News, l'attaque est attribuée avec un niveau de confiance moyen au groupe UNC4736, un acteur étatique nord-coréen également connu sous les noms AppleJeus, Citrine Sleet et Gleaming Pisces.
L'enquête post-mortem a révélé une opération de social engineering méthodique de six mois. Les attaquants se sont fait passer pour une société de trading quantitatif et ont approché des contributeurs de Drift en personne lors de plusieurs conférences crypto à partir de l'automne 2025. Un premier contributeur a été compromis après avoir cloné un dépôt de code partagé par le groupe — le repository contenait un implant malveillant. Un second contributeur a été persuadé de télécharger une application wallet via Apple TestFlight pour un prétendu beta test. Ces deux vecteurs ont permis aux attaquants d'obtenir les accès nécessaires pour pré-signer les transactions de drainage.
Impact et exposition
Avec 285 millions de dollars dérobés, ce hack se classe parmi les plus importants de l'histoire de la DeFi. L'ensemble des fonds des vaults principaux de Drift ont été siphonnés, impactant directement les utilisateurs ayant des fonds déposés sur la plateforme. L'attribution à la DPRK confirme la montée en sophistication des opérations nord-coréennes de vol de cryptomonnaies — après Ronin Bridge (625 M$) et Atomic Wallet (100 M$). La dimension « en personne » de l'ingénierie sociale marque une évolution préoccupante : les attaquants ne se contentent plus du phishing en ligne, ils infiltrent physiquement les événements du secteur. Les plateformes DeFi qui reposent sur un nombre limité de signataires pour les opérations critiques sont particulièrement vulnérables à ce type d'approche ciblée.
Recommandations
- Auditer les processus de gouvernance multi-signature et exiger un quorum élevé pour les transactions critiques sur les protocoles DeFi
- Former les équipes de développement crypto au social engineering avancé, y compris les approches en personne lors de conférences
- Ne jamais cloner de dépôts de code provenant de contacts non vérifiés — utiliser des environnements sandboxés pour tout code tiers
- Implémenter des mécanismes de rate limiting et de détection d'anomalies sur les withdrawals, même pour les transactions signées
- Surveiller les transactions utilisant des durable nonces sur Solana comme indicateur potentiel de pré-positionnement
Alerte critique
Les opérateurs de protocoles DeFi doivent immédiatement réévaluer leur surface d'attaque humaine. La DPRK investit dans des opérations d'infiltration physique de plusieurs mois. Aucun contrôle technique ne protège contre un contributeur de confiance dont la machine a été compromise par social engineering.
Comment la Corée du Nord finance-t-elle son programme nucléaire via le vol de cryptomonnaies ?
Les groupes de hackers nord-coréens comme UNC4736 (Lazarus, AppleJeus) sont directement mandatés par le régime pour générer des devises étrangères. Selon les estimations des Nations Unies, la DPRK a volé plus de 3 milliards de dollars en cryptomonnaies entre 2017 et 2026. Ces fonds transitent par des mixers et des chaînes de blanchiment complexes avant d'alimenter les programmes d'armement. L'attaque contre Drift s'inscrit dans cette stratégie systématique, avec un niveau de planification et de sophistication qui rivalise avec les opérations d'espionnage traditionnelles. L'opération Atlantic menée récemment par les forces de l'ordre illustre les efforts de réponse internationale à ces menaces.
Quels signaux d'alerte auraient pu permettre de détecter cette attaque ?
Plusieurs indicateurs auraient pu alerter : l'approche répétée par une entité inconnue lors de conférences, la demande de cloner un repository de code ou d'installer une application via TestFlight (hors des canaux officiels), et l'utilisation inhabituelle de durable nonces pour des transactions de grande valeur. Les protocoles DeFi devraient implémenter des alertes sur les patterns de transactions anormaux et maintenir des procédures strictes de vérification d'identité pour tout nouveau partenaire technique, comme le recommandent les bonnes pratiques anti-phishing avancé.
Cette attaque confirme l'évolution des menaces ciblant l'écosystème crypto. Les techniques de phishing généré par IA combinées à l'ingénierie sociale en personne créent des vecteurs d'attaque contre lesquels les défenses purement techniques sont insuffisantes. La sécurité des protocoles DeFi passe désormais autant par la formation humaine que par l'audit de code.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Ancien développeur Microsoft (Redmond, US) sur le code source de GINA (module d'authentification Windows) et auteur de la version française du Windows NT4 Security Guide pour la NSA, il dirige aujourd'hui Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
LexisNexis piraté : 400 000 profils exposés dont des agents fédéraux
LexisNexis confirme une intrusion via React2Shell sur AWS. 400 000 profils cloud exposés dont 118 comptes .gov fédéraux. Données de juges, avocats DOJ et personnel SEC compromises.
Smart Slider 3 : attaque supply chain sur 800 000 sites WordPress
Le plugin WordPress Smart Slider 3 Pro a été victime d'une attaque supply chain le 7 avril 2026. La version compromise embarquait un toolkit d'accès distant avec exfiltration de credentials admin en clair.
Microsoft Copilot réservé au divertissement selon ses propres CGU
Les CGU de Microsoft Copilot le qualifient d'outil de divertissement. Microsoft promet de corriger ce « langage hérité » de l'ère Bing.
Commentaires (1)
Laisser un commentaire