Les hackers nord-coréens probablement responsables de l'exploitation de 286 millions de dollars du protocole Drift : Elliptic

Elliptic a déclaré jeudi que le Drift Protocol de 285 millions de dollars l'attaque, la plus importante de cette année, présente « plusieurs indicateurs » d'une implication du groupe de hackers DPRK parrainé par l'État nord-coréen.

La société de recherche a spécifiquement souligné le comportement onchain, les méthodologies de blanchiment et les signaux au niveau du réseau, qui s'alignent tous avec les attaques précédemment liées à des États.

Drift Protocol, dont le token a chuté de plus de 40 % pour atteindre environ 0,06 $ depuis le piratage, est la plus grande plateforme décentralisée de contrats à terme perpétuels sur la blockchain Solana.

« Si cela est confirmé, cet incident représenterait le dix-huitième acte de la RPDC qu’Elliptic a suivi cette année, avec plus de 300 millions de dollars volés jusqu’à présent », indique le rapport.

« Il s'agit d'une continuation de la campagne soutenue de la RPDC de vol à grande échelle d'actifs cryptographiques, que le gouvernement américain a liée au financement de ses programmes d'armement. Les acteurs liés à la RPDC seraient responsables de vols d'actifs cryptographiques s'élevant à des milliards de dollars ces dernières années », a ajouté Elliptic.

Quelques heures plus tôt, Les données d’Arkham ont révélé que plus de 250 millions de dollars avait été transféré de Drift vers un portefeuille provisoire, puis vers diverses autres adresses.

En décembre, un Le rapport de Chainalysis a révélé Les hackers de la RPDC ont volé un record de 2 milliards de dollars en crypto-monnaies en 2025, y compris la faille de 1,4 milliard de dollars chez Bybit, représentant une augmentation de 51 % par rapport à l'année précédente. Le Département du Trésor américain le mois dernier a déclaré que la Corée du Nord utilise les actifs volés pour financer le programme d’armes de destruction massive du pays.

Plutôt que de se concentrer sur l'exploitation elle-même, l'analyse d'Elliptic met en lumière un schéma opérationnel familier. L'activité semble « préméditée et soigneusement orchestrée », avec des transactions tests initiales et des portefeuilles pré-positionnés précédant l'événement principal.

Le rapport explique qu'une fois exécutés, les fonds ont été rapidement consolidés et échangés, transférés entre chaînes, puis convertis en actifs plus liquides, reflétant un flux de blanchiment structuré et répétable conçu pour dissimuler l'origine tout en maintenant le contrôle.

Un défi central, souligne Elliptic, réside dans le modèle de compte de Solana. Étant donné que chaque actif est détenu dans un compte de jetons distinct, l’activité liée à un seul acteur peut sembler fragmentée à travers plusieurs adresses. Sans relier ces dernières, les enquêteurs risquent de voir des « fragments de l’activité de l’attaquant, et non une image complète. »

C’est ici que le rapport d’Elliptic met en lumière l’approche de regroupement, qui relie les comptes de tokens à une entité unique, permettant ainsi d’identifier l’exposition quel que soit l’adresse scrutée. Dans un incident impliquant plus d’une douzaine de types d’actifs, cette vision au niveau de l’entité devient cruciale.

Le cas souligne également, ajoute Elliptic dans son rapport, comment le blanchiment d’argent est devenu intrinsèquement multi-chaînes. Des fonds déplacés de Solana vers Ethereum et au-delà, démontrant ainsi la nécessité de ce qu’Elliptic a décrit comme des « capacités holistiques de traçabilité inter-chaînes ».