Comment le programme d'espionnage secret de la Corée du Nord, qui dure 6 mois, amène la communauté crypto à repenser la sécurité
Lorsque Drift a révélé les détails de son exploit de 270 millions de dollars, le plus troublant n’était pas l’ampleur de la perte, mais plutôt la manière dont cela s’était produit.
Selon l’équipe à l’origine du protocole, l’attaque n’était pas un bug de contrat intelligent ou une manipulation intelligente de code. Il s’agissait d’une campagne de six mois impliquant de fausses identités, des réunions en personne dans plusieurs pays et une confiance soigneusement cultivée. Les attaquants, apparemment originaires de Corée du Nord, n’ont pas seulement découvert une vulnérabilité dans le système. Ils en sont devenus partie intégrante.
Cette nouvelle menace impose désormais un bilan plus large à l’échelle de la finance décentralisée.
Pendant des années, l’industrie a traité la sécurité comme un problème technique, quelque chose qui pourrait être résolu par des audits, une vérification formelle et un meilleur code. Mais l’incident de Drift suggère quelque chose de bien plus complexe : les véritables vulnérabilités pourraient se situer complètement en dehors de la base de code.
Alexander Urbelis, responsable de la sécurité de l'information (RSSI) chez ENS Labs, affirme que le cadre lui-même est déjà obsolète.
"Nous devons arrêter d'appeler ces 'hacks' et commencer à les appeler par ce qu'ils sont : des opérations de renseignement", a déclaré Urbelis à CoinDesk. "Les gens qui se sont présentés à des conférences, qui ont rencontré en personne les contributeurs de Drift dans plusieurs pays, qui ont déposé un million de dollars de leur propre argent pour renforcer leur crédibilité : c'est du métier. C'est le genre de chose que l'on attend d'un responsable du dossier, pas d'un hacker."
Si cette caractérisation est valable, alors Drift représente un nouveau manuel de jeu : un modèle dans lequel les attaquants se comportent moins comme des pirates informatiques opportunistes et davantage comme des opérateurs patients qui s'intègrent socialement avant d'agir sur la chaîne.
"La Corée du Nord ne recherche plus les contrats vulnérables. Elle recherche les personnes vulnérables... Ce n'est pas du piratage. C'est du fonctionnement d'agents", a ajouté Urbelis.
Les tactiques elles-mêmes ne sont pas entièrement nouvelles.
Des enquêtes menées ces dernières années ont montré que des agents nord-coréens infiltraient des sociétés de cryptographie en se faisant passer pour des développeurs, en passant des entretiens d'embauche et même en obtenant des postes sous de fausses identités. Mais l’incident de Drift suggère que ces efforts se sont intensifiés – depuis l’obtention d’un accès via des pipelines de recrutement jusqu’à la conduite d’opérations d’établissement de relations en personne pendant des mois avant d’exécuter une attaque.
"Le talon d'Achille"
Ce changement est ce qui inquiète le plus de nombreux responsables de la sécurité. Même le protocole le plus rigoureusement audité peut échouer si un contributeur est compromis.
David Schwed, directeur des opérations de SVRN et ancien RSSI chez Robinhood et Galaxy, considère l'affaire Drift comme un signal d'alarme.
"Les protocoles doivent comprendre à quoi ils sont confrontés. Ce ne sont pas de simples exploits. Ce sont des opérations bien planifiées qui durent des mois avec des ressources dédiées, des identités fabriquées et un élément humain délibéré", a déclaré Schwed à CoinDesk. « Cet élément humain est le talon d'Achille de nombreuses organisations. »
De nombreuses équipes DeFi restent petites, évoluent rapidement et reposent sur la confiance. Mais lorsqu’une poignée d’individus contrôlent un accès critique, en compromettre un peut suffire.
Schwed soutient que la réponse doit être mise à jour. "La réponse est un programme de sécurité bien renforcé qui protège non seulement la technologie, mais aussi les personnes et les processus... La sécurité doit être fondamentale pour le projet et l'équipe."
Certains protocoles sont déjà en train de s’adapter. Chez Jupiter, l'une des plus grandes plateformes DeFi de Solana, la base d'audits et de vérification formelle demeure, mais les dirigeants affirment que ce n'est plus suffisant.
"De toute évidence, sécuriser le code via de multiples audits indépendants, l'open source et la vérification formelle n'est qu'un enjeu de table. La surface des attaques s'est considérablement élargie", a déclaré le COO Kash Dhanda.
Cette surface plus large inclut désormais la gouvernance, les contributeurs et la sécurité opérationnelle. Jupiter a étendu son utilisation des multisigs et des timelocks tout en investissant dans des systèmes de détection et une formation interne.
"Étant donné que la chair est plus vulnérable que le code, nous mettons également à jour la formation et la surveillance Opsec pour les membres clés de l'équipe", a déclaré Dhanda.
Même dans ce cas, a-t-il ajouté, « il n’y a pas d’état final en matière de sécurité » et la complaisance reste le plus grand risque.
Pour des protocoles comme dYdX, l’incident Drift renforce une réalité qui ne peut être entièrement éliminée.
"C'est une triste réalité que les projets de cryptographie sont de plus en plus ciblés par de mauvais acteurs parrainés par l'État... Les développeurs doivent prendre des précautions pour prévenir et atténuer l'impact des compromissions d'ingénierie sociale, mais les utilisateurs doivent également être conscients qu'étant donné la sophistication croissante des mauvais acteurs, le risque de tels compromis ne peut pas être totalement éliminé", a déclaré David Gogel, COO de dYdX Labs.
Ce modèle de menace en évolution transfère également la responsabilité vers les utilisateurs eux-mêmes.
"Les utilisateurs actifs dans DeFi devraient prendre le temps de comprendre l'architecture technique des protocoles ou des contrats intelligents qui détiennent leurs fonds, et devraient prendre en compte dans leur évaluation des risques le rôle et la nature de tout multisigs pour les mises à niveau logicielles et la possibilité que ceux-ci puissent être compromis de manière malveillante", a ajouté Gogel.
« Modèle de menace »
Pour quelques fous