Le complot de six mois de la RPDC derrière l'exploit de 285 millions de dollars de Drift choque la communauté cryptographique

Drift Protocol a publié une mise à jour détaillée du contexte suite à l' exploit du 1er avril qui a entraîné plus de 285 millions de dollars de pertes, offrant un nouvel aperçu de la façon dont l'attaque a été orchestrée et pourquoi son impact s'est étendu bien au-delà d'un seul protocole.

L'incident, désormais lié avec un niveau de confiance moyen à élevé à un groupe de menace affilié à l'État nord-coréen, a non seulement soulevé de sérieuses questions sur les pratiques de sécurité opérationnelle au sein de DeFi, mais a également coïncidé avec une forte baisse de la valeur totale verrouillée de Solana. Dans les jours qui ont suivi l'exploit, la valeur totale verrouillée de Solana est passée de 6,34 milliards de dollars à 5,55 milliards de dollars, soit une baisse d'environ 12,5 %.

Si l'on exclut les fonds volés, la baisse nette d'environ 8 % reflète un changement significatif dans la confiance des utilisateurs, bien qu'elle reste inférieure aux moyennes historiques observées après des exploits majeurs.

Une campagne d'infiltration de six mois

Selon la mise à jour du 5 avril de Drift, l'exploit n'est pas le résultat d'une seule vulnérabilité, mais d'une opération structurée qui s'est déroulée sur plusieurs mois.

L'attaque a commencé à l'automne 2025, lorsque des individus se faisant passer pour une société de trading quantitatif ont approché des contributeurs de Drift lors d'une conférence sur les cryptomonnaies. Au cours des six mois suivants, ces individus ont maintenu un contact constant, rencontrant les contributeurs en personne lors de multiples événements industriels mondiaux.

Ils ont fait preuve de solides connaissances techniques, ont présenté des parcours professionnels crédibles et se sont engagés dans des discussions détaillées sur les stratégies de négociation et les intégrations de coffre-fort. Ces interactions reflétaient le comportement d'intégration typique des sociétés de négoce, permettant à la relation de se développer sans éveiller de soupçons immédiats.

Entre décembre 2025 et janvier 2026, le groupe a approfondi son implication en intégrant un coffre-fort Ecosystem sur Drift, en participant à des sessions de travail et en déposant plus d'un million de dollars de capital dans le protocole. Cette activité a permis d'établir une légitimité opérationnelle et de renforcer la confiance.

Tout au long de la relation, le groupe a partagé des liens vers des outils, des applications et des référentiels dans le cadre de flux de travail d'intégration standard. Ces interactions sont devenues par la suite un élément central de l'enquête.

Les vecteurs d'attaque probables

Les résultats préliminaires de Drift indiquent deux voies d'intrusion principales.

Un contributeur a pu être compromis après avoir cloné un dépôt de code lié à un frontend de coffre-fort que les attaquants ont partagé. Un autre contributeur aurait téléchargé une application TestFlight présentée comme le produit de portefeuille du groupe.

Les chercheurs en sécurité ont également noté un lien potentiel avec une vulnérabilité connue affectant les environnements de développement tels que VSCode et Cursor à la fin de 2025 et au début de 2026. Cette vulnérabilité permettait l'exécution de code arbitraire simplement en ouvrant un dépôt malveillant, sans nécessiter d'interaction de la part de l'utilisateur.

Après l'exploit, l'analyse médico-légale a révélé que les canaux de communication et les logiciels malveillants des attaquants ont été rapidement effacés, ce qui témoigne d'un effort coordonné pour supprimer les traces.

Évaluation de la menace et réponse

Les enquêteurs, y compris l'équipe SEAL 911, ont estimé avec un degré de confiance moyen à élevé que l'opération présentait des similitudes opérationnelles et de chaîne avec le piratage de Radiant Capital en octobre 2024. Cet incident avait été précédemment attribué à UNC4736, un groupe affilié à l'État nord-coréen également connu sous le nom d'AppleJeus ou de Citrine Sleet.

Drift a précisé que les personnes qui ont rencontré les contributeurs de Drift en personne étaient probablement des intermédiaires plutôt que des membres directs du groupe de menace. Cela correspond à des tactiques connues où des acteurs liés à des États déploient des tiers pour établir des relations et exécuter des campagnes d'ingénierie sociale.

Mandiant a été chargé de mener une enquête médico-légale complète, bien que l'attribution formelle reste en suspens.

À la suite de l'exploit, Drift a gelé toutes les fonctions de protocole restantes et supprimé les portefeuilles compromis de son multisig. L'équipe a également signalé les adresses des attaquants sur les bourses et les opérateurs de ponts afin de limiter le flux de fonds.

Le protocole travaille actuellement avec les forces de l'ordre et les partenaires de sécurité pour poursuivre l'enquête et évaluer les options de récupération.

Les réactions du secteur soulignent les problèmes de sécurité

L'incident a suscité de nombreux commentaires de la part des leaders du secteur, dont beaucoup ont souligné la nécessité de renforcer les normes de sécurité opérationnelle.

Lucas Bruder, cofondateur et PDG de Jito Labs, a déclaré que l'événement allait modifier le comportement de l'industrie, ajoutant que les participants à l'industrie n'ont pas été "assez paranoïaques".

Jacob Creech, vice-président de la technologie à la Fondation Solana, a mis l'accent sur des pratiques de sécurité strictes, conseillant aux équipes d'éviter d'installer des applications inconnues, d'utiliser des dispositifs de signature dédiés et de réévaluer leurs configurations actuelles.

Le cofondateur de Solana, Anatoly Yakovenko, s'est fait l'écho de ce sentiment, qualifiant l'attaque de "terrifiante" et recommandant une séparation physique entre les environnements de développement et de signature, y compris un matériel dédié à chaque fonction.

Un enquêteur de l'onchain connu sous le nom de Tay a noté que les informaticiens nord-coréens ont contribué à l'élaboration de protocoles cryptographiques depuis l'été DeFi, citant SushiSwap, THORChain, Harmony, Ankr, Shib et Yearn.

Ils ont ajouté que les affirmations de "7 ans d'expérience en développement de blockchain" sur les CV de ces acteurs ne devraient pas être rejetées comme étant fausses.

Stepan Simkin, PDG de Squads Protocol, a souligné la nécessité de normes de sécurité opérationnelle formelles, suggérant des cadres similaires aux audits de code ou aux certifications SOC2 pour la gestion des protocoles.

Débat sur la responsabilité et la négligence

Les réactions n'ont pas toutes été bienveillantes. Ariel Givner, expert juridique, a fait valoir que l'incident pouvait constituer une négligence civile. Elle a critiqué le mélange d'activités de développement et d'accès à des systèmes critiques, ainsi que l'absence de mesures de protection élémentaires, telles que des environnements de signature protégés par des sas.

Les commentaires de Mme Givner reflètent un débat communautaire plus large sur la responsabilité et sur la question de savoir si les protocoles doivent être tenus pour responsables de défaillances opérationnelles qui auraient pu être évitées.

En revanche, Simon Dedic, fondateur et associé gérant de Moonrock Capital, a suggéré que la sophistication des attaquants rendait la prévention extrêmement difficile une fois que Drift était devenu une cible.

Une évolution plus large de la réflexion sur la sécurité

D'autres voix ont placé l'incident dans un contexte industriel plus large.

Lily Liu, présidente de la Solana Foundation, a fait remarquer que si les contrats intelligents ont fonctionné comme prévu, les attaquants ciblent de plus en plus les vulnérabilités humaines plutôt que le code.

Redwan Meslem, directeur exécutif de l'Enterprise Ethereum Alliance, a établi des comparaisons avec des industries traditionnelles telles que l'aérospatiale et la banque, où des contrôles d'accès et des protocoles de sécurité stricts sont la norme. Selon lui, la crypto-monnaie fonctionne encore avec une culture de la sécurité digne d'une startup, malgré la gestion d'un risque financier important.

Alors que les enquêtes se poursuivent, la leçon générale reste claire. La sécurité dans le domaine de la finance de marché doit aller au-delà du code et inclure des normes opérationnelles rigoureuses, des environnements contrôlés et une réévaluation de la manière dont la confiance est établie dans un paysage de plus en plus hostile.

En savoir plus sur SolanaFloor

Titan Exchange promet une performance 4 fois supérieure à celle de Binance grâce à son nouveau routeur DART
$BTC tient 69k $ alors que les pourparlers sur le cessez-le-feu entre les Etats-Unis et l'Iran tombent à plat

Le protocole Drift piraté pour 285 millions de dollars