Ce qui semblait initialement être une exploitation soudaine s'est révélé être une opération à long terme, hautement coordonnée. Drift Protocol a révélé que le piratage de 270 millions de dollars était le résultat d'une campagne d'infiltration de six mois, prétendument liée à des acteurs liés à l'État nord-coréen.
Plutôt que d'exploiter une simple vulnérabilité, les attaquants ont construit la confiance lentement, se faisant passer pour une entreprise de trading quantitatif légitime et s'intégrant dans l'écosystème. Leur approche allait au-delà de la tromperie numérique. Ils ont engagé directement les contributeurs, assisté à des conférences crypto et établi des relations qui semblaient crédibles à tous les niveaux.
Il ne s'agissait pas d'une attaque éclair. Elle était calculée, patiente et conçue pour contourner non seulement les défenses techniques mais aussi la confiance humaine.
Le premier contact commence lors de conférences crypto
L'opération aurait commencé à l'automne 2025, lorsque les attaquants ont établi un premier contact lors d'une conférence crypto majeure. À l'époque, il n'y avait aucun signal d'alarme immédiat. Le groupe s'est présenté comme des professionnels techniquement compétents avec des antécédents vérifiables.
Ils parlaient couramment le langage de la DeFi / Finance Décentralisée, démontrant une compréhension approfondie de l'infrastructure de Drift et des mécanismes de trading. Ce niveau d'expertise les a aidés à se fondre parfaitement parmi les contributeurs et partenaires légitimes.
Peu après, la communication s'est déplacée vers Telegram, où les discussions se sont poursuivies pendant plusieurs mois. Ces interactions n'étaient ni précipitées ni suspectes. Au contraire, elles reflétaient le rythme d'une véritable collaboration, avec des discussions techniques, des contributions stratégiques et un engagement continu.
En maintenant cohérence et crédibilité, les attaquants ont progressivement gagné la confiance au sein de la communauté.
Construire la confiance par le capital et la collaboration
En janvier 2026, le groupe avait poussé son implication encore plus loin. Ils ont réussi à intégrer un Écosystème Vault et ont commencé à participer à des sessions de travail aux côtés des contributeurs de Drift.
Surtout, ils ont également engagé du capital réel, déposant plus d'un million de dollars de leurs propres fonds dans le protocole. Cette démarche a renforcé leur légitimité, signalant qu'ils avaient un intérêt dans le jeu.
Tout au long de février et mars, les membres de l'écosystème Drift ont rencontré ces individus en personne dans plusieurs pays. Ces interactions en face-à-face ont ajouté une autre couche de confiance, rendant encore moins probable que leurs intentions soient remises en question.
Au moment de l'exécution de l'attaque, la relation entre les attaquants et la communauté était établie depuis près de six mois. C'était un niveau d'infiltration rarement observé dans les exploitations DeFi.
L'exécution de l'attaque a exploité des points d'entrée sophistiqués
Lorsque la compromission s'est finalement produite, elle est venue par deux vecteurs hautement ciblés.
Le premier impliquait une application TestFlight malveillante, présentée comme un produit de portefeuille légitime. Cela a permis aux attaquants d'accéder aux appareils des contributeurs sous couvert de tester de nouveaux outils.
Le second vecteur exploitait une vulnérabilité connue dans les environnements de développement comme VSCode et Cursor. Cette faille, signalée par la communauté de la sécurité des mois plus tôt, permettait l'exécution de code arbitraire simplement en ouvrant un fichier.
Ensemble, ces méthodes ont permis aux attaquants de compromettre des appareils clés sans déclencher de soupçon immédiat. Une fois à l'intérieur, ils ont pu accéder à des flux de travail sensibles et à des mécanismes d'approbation.
Cette étape de l'opération met en évidence un changement critique dans les stratégies d'attaque. Au lieu de cibler directement les Smart Contract (Contrat Intelligent), les attaquants se concentrent de plus en plus sur les couches humaines et d'outillage qui les entourent.
Les faiblesses du multisig exposées lors du drainage final
Une fois l'accès sécurisé, les attaquants sont passés à la phase finale : l'exécution.
Ils ont obtenu deux approbations multisig, qui ont ensuite été utilisées pour autoriser les transactions. Notamment, ces transactions étaient pré-signées et laissées en sommeil pendant plus d'une semaine, évitant une détection immédiate.
Le 1er avril, les attaquants sont passés à l'action. En moins d'une minute, environ 270 millions de dollars ont été drainés des coffres de Drift.
La vitesse et la précision de l'exécution ont laissé peu de place à l'intervention. Au moment où les transactions ont été reconnues, les fonds avaient déjà été déplacés.
Drift a depuis averti que cet incident expose des faiblesses fondamentales dans les modèles de sécurité basés sur le multisig. Bien que les systèmes multisig soient conçus pour distribuer la confiance, ils restent vulnérables lorsque les signataires eux-mêmes sont compromis.
Des liens avec des acteurs étatiques nord-coréens émergent
Les enquêtes sur l'attaque ont lié l'opération à UNC4736, un groupe également connu sous le nom d'AppleJeus ou Citrine Sleet. Cette entité est largement associée aux opérations cybernétiques nord-coréennes et a été liée à des exploitations précédentes de haut profil, y compris l'attaque Radiant Capital.
Fait intéressant, les individus qui ont interagi directement avec les contributeurs de Drift n'ont pas été identifiés comme des ressortissants nord-coréens. Au lieu de cela, ils semblent avoir été des intermédiaires de partie tierce, équipés d'identités soigneusement construites conçues pour résister à l'examen.
Cette approche stratifiée rend l'attribution plus complexe tout en augmentant l'efficacité de l'opération. En séparant les acteurs sur le terrain de l'entité coordinatrice, les attaquants ont pu maintenir une légitimité plausible tout au long de l'infiltration.
Un signal d'alarme pour les modèles de sécurité DeFi
L'exploitation de Drift oblige l'industrie à affronter une réalité inconfortable. Les modèles de sécurité traditionnels, axés sur les audits de code, les vulnérabilités des Smart Contract (Contrat Intelligent) et les protections multisig, peuvent ne pas suffire pour se défendre contre des adversaires prêts à investir du temps, de l'argent et des ressources humaines.
Si les attaquants peuvent passer six mois à construire des relations, déployer du capital pour gagner la confiance et rencontrer physiquement les équipes, la surface d'attaque s'étend bien au-delà du code.
Cela soulève une question cruciale pour l'écosystème DeFi : quel type de cadre de sécurité peut détecter et prévenir ce niveau d'infiltration ?
Pour l'instant, l'incident se présente comme l'une des exploitations les plus sophistiquées basées sur l'ingénierie sociale de l'histoire de la crypto. Il souligne la nécessité d'une approche plus holistique de la sécurité, qui tienne compte du comportement humain, des processus opérationnels et des frontières de plus en plus floues entre les interactions en ligne et hors ligne.
Alors que les protocoles continuent de croître et d'attirer plus de capital, les enjeux ne feront qu'augmenter. Et comme le montre ce cas, la prochaine génération d'attaques pourrait ne pas provenir de portefeuilles anonymes, mais de partenaires de confiance assis de l'autre côté de la table.
Divulgation : Ceci n'est pas un conseil de trading ou d'investissement. Faites toujours vos propres recherches avant d'acheter une cryptomonnaie ou d'investir dans des services.
Suivez-nous sur Twitter @nulltxnews pour rester informé des dernières actualités sur les Cryptos, NFT, IA, Cybersécurité, Informatique distribuée et le Metaverse!
Source: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
