La Corée du Nord vient de voler 577 millions de dollars à la crypto avec deux attaques, voici comment

En avril 2026, deux piratages d’une valeur de 577 millions de dollars représentaient 76 % de tous les vols de cryptomonnaies cette année. Tous deux étaient l’œuvre du groupe Lazarus de Corée du Nord.

Il ne s’agissait pas non plus d’un exploit de contrat intelligent. Les attaquants ont passé six mois à se faire passer pour une société commerciale, à assister en personne à des conférences sur la cryptographie et à nouer de véritables relations avec les ingénieurs de Drift Protocol avant d'extraire les signatures dont ils avaient besoin pour drainer 285 millions de dollars en douze minutes.

L’autre attaque a drainé 292 millions de dollars d’un seul nœud de pont vulnérable. Il ne s’agit plus d’un problème de sécurité cryptographique. Il s’agit d’une opération de renseignement parrainée par l’État, dirigée par un pays qui utilise les bénéfices pour financer son programme d’armement. Et l’industrie commence tout juste à l’admettre.

Douze minutes en avril

À 16:06:09 UTC le 1er avril 2026, un attaquant a vidé les principaux coffres-forts de Drift Protocol, la plus grande bourse à terme perpétuelle décentralisée sur Solana, d'environ 285 millions de dollars d'actifs d'utilisateurs. Le premier retrait a déplacé 41,72 millions de jetons JLP. Le dernier a déplacé 2 200 $ ETH enveloppés. La totalité du trésor a été vidée en douze minutes, soit à peu près le temps qu’il faut pour écrire un long SMS.

La première déclaration publique de l’équipe, publiée sur X quelques heures plus tard, demandait à la communauté de confirmer que l’activité inhabituelle qu’elle voyait n’était pas un poisson d’avril. Ce n’était pas le cas. C'était l'aboutissement de six mois de préparation méthodique par des agents travaillant pour le gouvernement de la Corée du Nord.

JUST IN : Drift Protocol annonce que tous les portefeuilles touchés par l'exploit du 1er avril recevront des jetons de récupération, chacun représentant une perte vérifiée et une réclamation de pool de récupération proportionnelle pic.twitter.com/DRv4A61nBu

– crypto.news (@cryptodotnews) 5 mai 2026

Dix-sept jours plus tard, le 18 avril, les attaquants ont détourné 292 millions de dollars de KelpDAO, un protocole de restauration, en manipulant une configuration à vérificateur unique dans son pont LayerZero. Les deux attaques combinées représentaient environ 95 % des 625 millions de dollars de vols de cryptomonnaies enregistrés en avril, ce qui a fait d’avril 2026 le pire mois de l’histoire en matière de sécurité cryptographique. Les vols depuis le début de l'année jusqu'en avril ont dépassé le milliard de dollars. TRM Labs a épinglé 76 % du total total de 2026 sur deux attaques. Les deux étaient l’œuvre du même acteur menaçant.

NOUVEAU : KelpDAO déplace $rsETH vers Chainlink CCIP, citant l'infrastructure LayerZero comme source d'exploitation DeFi de plus de 300 millions de dollars en avril pic.twitter.com/6pjFShk30N

– crypto.news (@cryptodotnews) 6 mai 2026

Cet acteur menaçant est le Groupe Lazarus, le nom générique utilisé par les agences de renseignement occidentales pour les opérations de piratage parrainées par l’État et menées à partir du Bureau général de reconnaissance, la principale agence de renseignement de Corée du Nord. Depuis 2017, Lazarus et ses sous-unités ont volé plus de 6 milliards de dollars en cryptomonnaie.

Selon les chiffres de Chainalysis, 2,06 milliards de dollars ont été volés rien qu’en 2025, principalement en raison du piratage catastrophique de Bybit de 1,5 milliard de dollars en février de la même année, le plus grand vol de crypto de l’histoire. Le rythme de 2026 place le groupe sur la bonne voie pour dépasser confortablement le total de 2025.

Il ne s’agit pas d’une histoire de sécurité cryptographique au sens conventionnel du terme. Les menaces auxquelles les protocoles DeFi sont confrontés aujourd’hui ne sont pas celles contre lesquelles ils ont été conçus pour se défendre. L’inquiétude de l’ère 2020 concernait les bogues des contrats intelligents et les exploits de prêts flash, ainsi que les vulnérabilités du code. La réalité de 2026 est celle d’opérations soutenues, multi-pays et s’étendant sur plusieurs mois, dirigées par des professionnels du renseignement qui n’ont pas besoin d’exploit de code car ils en ont déjà les clés. Il leur suffisait de convaincre quelqu'un de les livrer.

C’est ce qu’était l’attaque Drift. Et comprendre qu’il s’agit de la formation en sécurité la plus importante que tout détenteur, constructeur ou dirigeant de cryptographie puisse recevoir actuellement.

L'opération Drift, étape par étape

L’autopsie de Drift Protocol, publiée début avril, ressemble plus à un rapport de contre-espionnage qu’à une divulgation de sécurité. Cela commence en octobre 2025.

Lors d'une grande conférence sur la cryptographie, un groupe d'individus se présentant comme des représentants d'une société de trading quantitatif a approché les contributeurs de Drift. Ils avaient vérifié leurs antécédents professionnels, démontré une maîtrise technique et posé exactement le genre de questions qu'une véritable société de trading institutionnelle poserait sur l'intégration d'un protocole perpétuel. Les contributeurs de Drift, qui traitent régulièrement de telles demandes, les ont traités comme n’importe quel autre partenaire institutionnel potentiel.

Drift a depuis précisé que les personnes présentes à ces réunions en personne n'étaient pas des ressortissants nord-coréens. Les opérations de Lazarus font presque toujours appel à des intermédiaires tiers pour les contacts en face-à-face, les véritables opérateurs techniques restant en Corée du Nord ou en Chine. L'enquêteur sur la blockchain ZachXBT, qui suit les opérations de cryptographie de la RPDC depuis des années, a noté que cette structure d'identité en couches est l'une des caractéristiques déterminantes des campagnes de Lazarus.

Le groupe ne s'est pas arrêté après la première conférence. Pendant six mois, les mêmes agents, ou des agents présentant les mêmes identités, sont apparus lors de plusieurs événements mondiaux de l'industrie, approfondissant les relations avec des contributeurs spécifiques de Drift. Un groupe Telegram a été créé