Drift affirme que l’exploitation de 270 millions de dollars était une opération de renseignement nord-coréenne d’une durée de six mois

Une opération d’intelligence d’une durée de six mois a précédé l’exploitation de $270 millions du protocole Drift Protocol et a été menée par un groupe affilié à l’État nord-coréen, selon une mise à jour détaillée de l’incident publiée par l’équipe plus tôt dimanche.

Les attaquants ont d’abord pris contact vers l’automne 2025 lors d’une grande conférence crypto, en se présentant comme une société de trading quantitative cherchant à s’intégrer à Drift.

Ils étaient techniquement à l’aise, disposaient de parcours professionnels vérifiables et comprenaient le fonctionnement du protocole, a déclaré Drift. Un groupe Telegram a été créé et, ensuite, il y a eu pendant des mois des conversations approfondies autour des stratégies de trading et des intégrations de vaults, des interactions qui sont standard pour l’onboarding des sociétés de trading avec des protocoles DeFi.

Entre décembre 2025 et janvier 2026, le groupe a onboardé un Ecosystem Vault sur Drift, a tenu plusieurs sessions de travail avec des contributeurs, a déposé plus de $1 million de son propre capital, et a mis en place une présence opérationnelle fonctionnelle au sein de l’écosystème.

Des contributeurs de Drift ont rencontré en face à face des membres du groupe lors de plusieurs grandes conférences de l’industrie dans plusieurs pays jusqu’en février et mars. Au moment où l’attaque a été lancée le 1er avril, la relation avait presque atteint un demi-an.

La compromission semble provenir de deux vecteurs.

Une seconde a téléchargé une application TestFlight, la plateforme d’Apple pour distribuer des applications préalablement publiées qui contourne la revue de sécurité de l’App Store, que le groupe a présentée comme son produit wallet.

Pour le vecteur lié au dépôt (repository), Drift a pointé une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus largement utilisés dans le développement logiciel, que la communauté de la sécurité signalait depuis la fin de 2025 : il suffisait simplement d’ouvrir un fichier ou un dossier dans l’éditeur pour exécuter silencieusement du code arbitraire sans invite ni avertissement de quelque nature que ce soit.

Une fois les appareils compromis, les attaquants disposaient de tout ce dont ils avaient besoin pour obtenir les deux approbations multisig qui ont permis l’attaque par nonce durable que CoinDesk a détaillée plus tôt cette semaine. Ces transactions présignées sont restées en sommeil pendant plus d’une semaine avant d’être exécutées le 1er avril, vidant $270 millions des vaults de protocole en moins d’une minute.

L’attribution pointe vers UNC4736, un groupe affilié à l’État nord-coréen également suivi sous les noms AppleJeus ou Citrine Sleet, sur la base à la fois de flux de fonds on-chain traçant jusqu’aux attaquants de Radiant Capital et d’un chevauchement opérationnel avec des personas connues liées à la DPRK.

Les individus qui se sont présentés en personne lors de conférences n’étaient toutefois pas des ressortissants nord-coréens. Les acteurs de menace de la DPRK à ce niveau sont connus pour déployer des intermédiaires tiers dotés d’identités entièrement construites, de parcours professionnels détaillés et de réseaux professionnels conçus pour résister à la due diligence.

Drift a exhorté d’autres protocoles à auditer leurs contrôles d’accès et à considérer chaque appareil touchant un multisig comme une cible potentielle. L’implication plus large est inconfortable pour une industrie qui s’appuie sur la gouvernance multisig comme modèle de sécurité principal.

Mais si des attaquants sont prêts à consacrer six mois et un million de dollars pour construire une présence légitime au sein d’un écosystème, rencontrer des équipes en personne, contribuer de vrais capitaux et attendre, la question est alors : quel modèle de sécurité est conçu pour détecter cela.