Drift affirme que l’exploitation de 270 millions de dollars était une opération de renseignement nord-coréenne de six mois

Une opération de renseignement de six mois a précédé l'exploitation de 270 millions de dollars du Drift Protocol et a été menée par un groupe affilié à l'État nord-coréen, selon un mise à jour détaillée de l'incident publié par l'équipe plus tôt dimanche.

Les attaquants ont d’abord établi un contact vers l’automne 2025 lors d’une grande conférence crypto, se présentant comme une société de trading quantitatif cherchant à s’intégrer à Drift.

Ils maîtrisaient techniquement le sujet, disposaient de parcours professionnels vérifiables et comprenaient le fonctionnement du protocole, a déclaré Drift. Un groupe Telegram a été créé et ce qui a suivi furent des mois de conversations substantielles sur les stratégies de trading et les intégrations de coffres-forts, des interactions qui sont courantes dans la manière dont les sociétés de trading s’intègrent aux protocoles DeFi.

Entre décembre 2025 et janvier 2026, le groupe a intégré un Vault Écosystème sur Drift, organisé plusieurs sessions de travail avec des contributeurs, déposé plus d'un million de dollars de leur propre capital, et établi une présence opérationnelle fonctionnelle au sein de l'écosystème.

Les contributeurs de Drift ont rencontré des membres du groupe en personne lors de plusieurs conférences majeures de l'industrie à travers plusieurs pays en février et mars. Au moment où l'attaque a été lancée le 1er avril, la relation avait presque six mois.

La compromission semble être survenue par le biais de deux vecteurs.

Un second a téléchargé une application TestFlight, la plateforme d'Apple pour distribuer des applications en pré-version qui contournent la vérification de sécurité de l'App Store, que le groupe a présenté comme leur produit de portefeuille.

Pour le vecteur de dépôt, Drift a souligné une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus utilisés dans le développement logiciel, que la communauté de la sécurité signalait depuis la fin de 2025, où il suffisait d’ouvrir un fichier ou un dossier dans l’éditeur pour exécuter silencieusement un code arbitraire sans aucune invite ni avertissement.

Une fois les appareils compromis, les attaquants disposaient des éléments nécessaires pour obtenir les deux approbations multisignatures qui ont permis l'attaque par nonce durable détaillée par CoinDesk plus tôt cette semaine. Ces transactions pré-signées sont restées inactives pendant plus d'une semaine avant d'être exécutées le 1er avril, siphonnant 270 millions de dollars des coffres-forts du protocole en moins d'une minute.

L'attribution est attribuée à UNC4736, un groupe affilié à l'État nord-coréen également suivi sous les noms AppleJeus ou Citrine Sleet, sur la base à la fois des flux de fonds en chaîne retracés jusqu'aux attaquants de Radiant Capital et du chevauchement opérationnel avec des personnes connues liées à la RPDC.

Les individus qui sont apparus en personne lors des conférences n'étaient cependant pas des ressortissants nord-coréens. Les acteurs menaçants de la RPD de Corée à ce niveau sont connus pour déployer des intermédiaires tiers dotés d'identités entièrement construites, d'antécédents professionnels et de réseaux professionnels conçus pour résister à la diligence raisonnable.

Drift a exhorté les autres protocoles à auditer les contrôles d'accès et à considérer chaque appareil accédant à un multisig comme une cible potentielle. L'implication plus large est inconfortable pour une industrie qui repose sur la gouvernance multisig comme principal modèle de sécurité.

Mais si des attaquants sont prêts à consacrer six mois et un million de dollars pour établir une présence légitime au sein d'un écosystème, rencontrer les équipes en personne, apporter un réel capital et patienter, la question est de savoir quel modèle de sécurité est conçu pour détecter cela.