Drift Protocol Hack : comment un groupe nord-coréen a passé six mois à infiltrer un protocole DeFi

Table of Contents Drift Protocol a subi un exploit majeur le 1er avril 2026, déclenchant un gel complet du protocole. L’incident a depuis été révélé comme étant une opération de renseignement structurée qui a duré des mois. Des partenaires médico-légaux, dont Mandiant, aident les forces de l'ordre à enquêter sur la violation. Les conclusions préliminaires désignent un groupe menaçant affilié à l’État nord-coréen comme étant les auteurs probables. Il s’agit de l’une des campagnes d’ingénierie sociale les plus délibérées documentées à ce jour dans le domaine de la finance décentralisée. L’attaque contre Drift Protocol n’a pas commencé le jour où elle s’est produite. Cela remonte à l’automne 2025, lorsque les contributeurs ont été approchés lors d’une grande conférence sur la cryptographie. Le groupe se présente comme une société de trading quantitatif cherchant à intégrer des protocoles. Ils maîtrisaient techniquement et possédaient une expérience professionnelle vérifiable. Au cours des mois suivants, les membres de ce groupe ont continué à rencontrer en personne les contributeurs de Drift. Ces rencontres ont eu lieu lors de plusieurs conférences industrielles dans plusieurs pays. Un groupe Telegram a été constitué dès la première réunion. Ce qui a suivi, ce sont des mois de conversations détaillées sur les stratégies de trading et les intégrations de coffre-fort. De décembre 2025 à janvier 2026, le groupe a intégré un Ecosystem Vault sur le protocole. Ils ont déposé plus d'un million de dollars de leur propre capital et participé à plusieurs séances de travail. En février et mars 2026, le protocole indiquait qu’« il ne s’agissait pas d’étrangers ; c’étaient des personnes avec lesquelles les contributeurs de Drift avaient travaillé et rencontré en personne ». Des liens vers des projets, des outils et des applications ont été régulièrement partagés tout au long de cette période. L’enquête a révélé plus tard que « les profils utilisés dans cette opération avaient des identités entièrement construites, notamment des antécédents professionnels, des références accessibles au public et des réseaux professionnels ». Les contributeurs ont dialogué avec eux lors de discussions détaillées sur les produits. Cela a permis de construire une présence opérationnelle crédible au sein de l’écosystème Drift au fil du temps. Après l'exploit du 1er avril, un examen médico-légal des appareils et des communications concernés a identifié le groupe commercial comme étant le vecteur d'intrusion probable. Leurs discussions Telegram et leurs logiciels malveillants ont été complètement effacés juste après l'attaque. Trois vecteurs d’attaque potentiels ont depuis émergé de l’enquête en cours. Un contributeur peut avoir cloné un référentiel de code partagé par le groupe. Il a été présenté comme un déploiement frontal pour leur coffre-fort. Un autre contributeur a été incité à télécharger une application TestFlight présentée comme le produit portefeuille du groupe. Concernant le vecteur basé sur le référentiel, « la simple ouverture d'un fichier, d'un dossier ou d'un référentiel dans l'éditeur était suffisante pour exécuter silencieusement du code arbitraire, sans invite ni indication à l'utilisateur, sans clics, sans boîte de dialogue d'autorisations ou sans avertissement d'aucune sorte ». L’analyse médico-légale complète du matériel concerné reste en cours. Drift a depuis exhorté l'écosystème au sens large à « vérifier vos équipes, vérifier qui a accès à quoi et traiter chaque appareil qui touche votre multisig comme une cible potentielle ». Avec un niveau de confiance moyen-élevé, l'équipe SEALS 911 a évalué cela comme étant le travail de UNC4736. Ce groupe est un acteur nord-coréen affilié à l’État, connu sous le nom d’AppleJeus ou Citrine Sleet. Les flux de fonds en chaîne et les personnalités qui se chevauchent relient cette campagne au piratage de Radiant Capital d'octobre 2024. Les individus qui sont apparus en personne n’étaient pas des ressortissants nord-coréens, car les acteurs menaçants de la RPDC sont connus pour utiliser des intermédiaires tiers pour établir des contacts directs.