Comment des agents nord-coréens ont orchestré un vol de crypto de 270 millions de dollars après des mois d'infiltration de patients

Table des matières Le 1er avril, Drift Protocol a subi une faille de sécurité catastrophique de 270 millions de dollars à la suite d'une longue campagne d'infiltration orchestrée par un collectif de hackers soutenu par l'État nord-coréen qui a duré environ six mois. 🚨 LA CORÉE DU NORD VIENT DE RÉUSSIR LE HACK LE PLUS TERRIFIANT DE L'HISTOIRE DE LA CRYPTO.. ET CELA LEUR A PRIS 6 MOIS DE PATIENCE.. Ils n'ont pas envoyé d'e-mail de phishing.. Ils n'ont pas exploité de contrat intelligent.. Ils ont construit une relation.. Automne 2025.. Une «société de trading quantitatif» se dirige vers Drift… https://t.co/pTScEhV9sb pic.twitter.com/z8awPLGQ7l — Evan Luthra (@EvanLuthra) 5 avril 2026 L'opération sophistiquée a commencé lors d'une importante conférence sur les cryptomonnaies à l'automne 2025. Les auteurs ont réussi à se faire passer pour des représentants d'une opération de trading quantitatif, arrivant avec des connaissances techniques complètes, des références professionnelles authentifiées et une connaissance détaillée de l'infrastructure et des opérations de Drift. Les premières communications ont été établies via un canal Telegram, initiant des mois de dialogue soutenu. Les discussions ont porté sur des sujets typiques des partenariats commerciaux institutionnels : protocoles d'intégration de coffre-fort, méthodologies de trading stratégiques et cadres opérationnels. Entre décembre 2025 et janvier 2026, l’entité frauduleuse a officiellement établi un coffre-fort écosystémique au sein de l’écosystème Drift. Ils ont mené de nombreuses séances de travail collaboratives avec les contributeurs de la plateforme et déployé plus d'un million de dollars en capital réel, une démarche calculée conçue pour établir l'authenticité. Tout au long des mois de février et mars 2026, le personnel de Drift a participé à des réunions directes en face-à-face avec des représentants du groupe dans divers lieux de conférences internationales dans plusieurs pays. Au moment de l’attaque du 1er avril, la relation avait mûri sur près de six mois. La brèche s’est matérialisée grâce à une stratégie d’attaque à deux vecteurs. Initialement, un membre de l’équipe a installé une application TestFlight – le système de distribution bêta d’Apple qui contourne les processus standard de vérification de sécurité de l’App Store – que les attaquants avaient commercialisée comme leur solution de portefeuille propriétaire. De plus, les auteurs de la menace ont exploité une vulnérabilité documentée publiquement présente dans VSCode et Cursor, deux environnements de développement intégrés répandus. L'exploit ne nécessitait rien de plus que l'ouverture d'un fichier compromis dans l'un ou l'autre des éditeurs pour exécuter silencieusement du code de charge utile malveillant sans déclencher de notifications utilisateur ou d'alertes de sécurité. Après une compromission réussie de l'appareil, les attaquants ont méthodiquement extrait les informations d'identification nécessaires pour obtenir deux approbations de portefeuille multisignature. Ces transactions préautorisées sont restées inactives pendant plus d'une semaine avant leur exécution le 1er avril, entraînant l'extraction de 270 millions de dollars en soixante secondes. Les analystes de la cybersécurité ont relié l'incident à UNC4736, un groupe d'acteurs menaçants également désigné sous le nom d'AppleJeus ou Citrine Sleet. L’analyse médico-légale de la blockchain a révélé des modèles de transactions liés au compromis Radiant Capital d’octobre 2024, que les enquêteurs ont également attribué à des acteurs nord-coréens. Il convient de noter que les personnes qui sont apparues physiquement lors des conférences n’étaient pas des citoyens nord-coréens : les groupes affiliés à la RPDC emploient généralement des mandataires tiers dotés d’identités minutieusement fabriquées. Le spécialiste juridique des crypto-monnaies, Ariel Givner, a indiqué que l'incident constitue potentiellement une négligence civile passible de poursuites. Elle a souligné que les protocoles de sécurité fondamentaux, notamment le maintien des clés de signature sur des systèmes isolés et isolés et la vérification approfondie des antécédents des développeurs rencontrés lors d'événements de l'industrie, semblent avoir été insuffisamment mis en œuvre. "Tous les projets crédibles comprennent ces exigences. Drift n'a pas réussi à les mettre en œuvre", a déclaré Givner. Des documents marketing pour les recours collectifs ciblant Drift sont déjà en circulation. L’équipe de sécurité de Drift a exprimé une « confiance moyenne-élevée » dans le fait que des acteurs malveillants identiques ont exécuté l’attaque Radiant Capital d’octobre 2024, où un logiciel malveillant a été distribué via Telegram par un individu se faisant passer pour un ancien entrepreneur.