Le 5 avril, Drift Protocol (DRIFT) a publié un rapport détaillé de l’incident, révélant que le hack de 285 millions de dollars survenu le 1er avril était le résultat d’une opération d’espionnage sur six mois attribuée à des acteurs soutenus par l’État nord-coréen.
La divulgation fait état d’un niveau d’ingénierie sociale allant bien au-delà des tentatives de phishing ou des arnaques classiques de recruteurs, impliquant des rencontres physiques, des déploiements de capitaux réels et des mois de construction de la confiance.
Une fausse société de trading qui a patienté longtemps
D’après Drift, un groupe se faisant passer pour une société de trading quantitatif a d’abord approché des contributeurs lors d’une grande conférence crypto à l’automne 2025.
Au cours des mois suivants, ces individus se sont présentés à de multiples événements dans plusieurs pays, ont organisé des sessions de travail et ont maintenu des conversations Telegram continues concernant des intégrations de coffre-fort.
Suivez-nous sur X pour recevoir toute l’actualité en temps réel
Entre décembre 2025 et janvier 2026, le groupe a intégré un Ecosystem Vault sur Drift, déposé plus d’un million de dollars de capital et participé à des discussions approfondies sur les produits.
En mars, les contributeurs Drift ont rencontré ces individus en personne à plusieurs reprises.
« …les hackers les plus dangereux ne ressemblent pas à des hackers », a commenté le développeur crypto Gautham.
Même les experts en sécurité web trouvent cela préoccupant, la chercheuse Tay expliquant qu’elle s’attendait initialement à une arnaque classique de recruteur, mais a trouvé la complexité de cette opération bien plus inquiétante.
Comment les appareils ont été compromis
Drift a identifié trois vecteurs d’attaque probables :
- Un contributeur a cloné un dépôt de code partagé par le groupe pour le frontend d’un coffre-fort.
- Un second a téléchargé une application TestFlight présentée comme un produit wallet.
- Pour le vecteur du dépôt, Drift a évoqué une vulnérabilité connue de VSCode et Cursor, signalée par les chercheurs en sécurité depuis la fin 2025.
Cette faille permettait l’exécution silencieuse de code arbitraire dès l’ouverture d’un fichier ou d’un dossier dans l’éditeur, sans qu’aucune interaction de l’utilisateur ne soit requise.
Après la fuite du 1er avril, les attaquants ont effacé toutes les conversations Telegram ainsi que les logiciels malveillants. Depuis, Drift a gelé les fonctions restantes du protocole et retiré les wallets compromis du multisig.
L’équipe SEALS 911 estime, avec une confiance moyenne à élevée, que les mêmes acteurs ont mené le piratage de Radiant Capital en octobre 2024, attribué à UNC4736 par Mandiant.
Les flux de fonds on-chain et les recoupements opérationnels entre les deux campagnes confirment ce lien.
Le secteur demande une refonte de la sécurité
Armani Ferrante, développeur Solana reconnu, a appelé chaque équipe crypto à mettre les initiatives de croissance en pause et à auditer l’ensemble de leur stack de sécurité.
« Chaque équipe dans la crypto devrait saisir cette occasion pour ralentir et se concentrer sur la sécurité. Si possible, dédiez-y une équipe entière… vous ne pouvez pas croître si vous vous faites hacker », a déclaré Ferrante ici.
Drift précise que les personnes rencontrées en présentiel n’étaient pas de nationalité nord-coréenne. Les acteurs de la menace de la RPDC à ce niveau ont en effet l’habitude de déléguer le contact physique à des intermédiaires tiers.
Mandiant, sollicité par Drift pour des analyses forensiques sur appareil, n’a pas encore attribué officiellement l’exploitation.
La divulgation fait figure d’avertissement pour l’ensemble de l’écosystème. Drift exhorte les équipes à auditer les contrôles d’accès, à considérer chaque appareil accédant à un multisig comme une cible potentielle et à contacter SEAL 911 en cas de suspicion d’une attaque similaire.
