Cryptonews

Les informaticiens nord-coréens ont opéré selon les protocoles DeFi pendant des années, prévient un chercheur

Source
cryptonewstrend.com
Publié
Les informaticiens nord-coréens ont opéré selon les protocoles DeFi pendant des années, prévient un chercheur

Les opérateurs liés à la Corée du Nord ont passé des années à s’intégrer discrètement dans des sociétés de cryptographie et des équipes DeFi, soulevant de nouvelles inquiétudes quant aux risques internes après une série d’exploits de grande valeur liés au cyber-appareil du pays.

Taylor Monahan, chercheur en sécurité et développeur de MetaMask, a déclaré que ces tactiques remontaient aux premiers jours de la finance décentralisée, avec des individus liés à la République populaire démocratique de Corée contribuant à plusieurs protocoles largement utilisés.

"De nombreux informaticiens de la RPDC ont construit les protocoles que vous connaissez et aimez, depuis l'été DeFi", a-t-elle déclaré dimanche, ajoutant que plus de 40 plates-formes, dont plusieurs projets bien connus, se sont à un moment donné appuyées sur de tels développeurs.

Cependant, elle a noté que les « sept années d’expérience en développement de blockchain » indiquées sur leur curriculum vitae ne sont « pas un mensonge ».

Les enquêteurs associent depuis longtemps les cyberopérations de la Corée du Nord au groupe Lazarus, un collectif soutenu par l’État qui aurait volé environ 7 milliards de dollars d’actifs numériques depuis 2017, selon les analystes de R3ACH.

Le groupe a été associé à certaines des violations les plus importantes de l’industrie, notamment l’exploit Ronin Bridge de 625 millions de dollars en 2022, le piratage WazirX de 235 millions de dollars en 2024 et l’incident Bybit de 1,4 milliard de dollars en 2025.

Des acteurs nord-coréens à l'origine de l'exploit Drift

L’exploit de 280 millions de dollars du Drift Protocol de la semaine dernière a suscité un nouvel examen minutieux. Le projet a déclaré avoir un « degré de confiance moyen-élevé » quant au fait qu’un groupe affilié à l’État nord-coréen était à l’origine de l’attaque, liant l’incident à un schéma plus large d’infiltration et d’ingénierie sociale.

Cependant, les rencontres en face-à-face qui ont conduit à cette violation n’avaient pas eu lieu avec des ressortissants nord-coréens, mais plutôt avec des « intermédiaires tiers » utilisant « des identités entièrement construites, notamment des antécédents professionnels, des informations d’identification destinées au public et des réseaux professionnels ».

Ces profils comprenaient des antécédents professionnels, des informations d’identification publiques et des réseaux professionnels actifs, leur permettant d’établir un climat de confiance grâce à des interactions en personne avant que l’exploit ne se déroule.

L'enquêteur indépendant sur la blockchain, ZachXBT, a averti dans un récent article X que toutes les menaces liées à la Corée du Nord n'opèrent pas au même niveau de sophistication.

« Le principal problème est que tout le monde les regroupe lorsque la complexité des menaces est différente », a-t-il déclaré.

Il a décrit de nombreuses tentatives d’infiltration comme étant relativement simples, reposant sur la persévérance plutôt que sur la complexité technique. La sensibilisation via les offres d'emploi, LinkedIn, les e-mails, les appels Zoom et les processus d'entretien reste courante.

"Basique et en aucun cas sophistiqué [...] la seule chose, c'est qu'ils sont implacables", a-t-il déclaré, ajoutant que les équipes qui continuent de se laisser prendre à de telles tactiques en 2026 risquent d'être considérées comme négligentes.