Drift affirme que l’exploitation de 270 millions de dollars était une opération d’intelligence nord-coréenne d’une durée de six mois

Une opération d’intelligence de six mois a précédé l’exploitation de 270 millions de dollars du protocole Drift et a été menée par un groupe affilié à l’État nord-coréen, selon une mise à jour détaillée de l’incident publiée par l’équipe plus tôt dimanche.

Les attaquants ont d’abord pris contact vers l’automne 2025 lors d’une grande conférence crypto, en se présentant comme une société de trading quantitatif cherchant à s’intégrer à Drift.

Ils étaient techniquement compétents, avaient des antécédents professionnels vérifiables et comprenaient comment le protocole fonctionnait, a déclaré Drift. Un groupe Telegram a été créé, et la suite a consisté en des mois de conversations approfondies autour des stratégies de trading et des intégrations de vault, des échanges qui sont classiques pour l’onboarding de sociétés de trading avec des protocoles DeFi.

Entre décembre 2025 et janvier 2026, le groupe a intégré un Ecosystem Vault sur Drift, a tenu plusieurs sessions de travail avec des contributeurs, a déposé plus d’un million de dollars de capital propre, et a construit une présence opérationnelle fonctionnelle au sein de l’écosystème.

Les contributeurs de Drift ont rencontré en personne des individus du groupe lors de plusieurs grandes conférences de l’industrie dans plusieurs pays, jusqu’en février et mars. Au moment où l’attaque a été lancée le 1er avril, la relation avait presque six mois.

La compromission semble être passée par deux vecteurs.

Un deuxième a téléchargé une application TestFlight, la plateforme d’Apple pour distribuer des applications en version précommerciale qui contourne l’examen de sécurité de l’App Store, que le groupe a présentée comme leur produit portefeuille.

Pour le vecteur lié au dépôt (repository), Drift a pointé une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus largement utilisés dans le développement logiciel, que la communauté de la sécurité signalait depuis la fin 2025 : le simple fait d’ouvrir un fichier ou un dossier dans l’éditeur suffisait à exécuter silencieusement un code arbitraire, sans invite ni avertissement d’aucune sorte.

Une fois les appareils compromis, les attaquants avaient tout ce dont ils avaient besoin pour obtenir les deux approbations multisig qui ont permis l’attaque par nonce durable détaillée plus tôt cette semaine par CoinDesk. Ces transactions pré-signées sont restées en sommeil pendant plus d’une semaine avant d’être exécutées le 1er avril, siphonnant 270 millions de dollars des vaults du protocole en moins d’une minute.

L’attribution pointe vers UNC4736, un groupe affilié à l’État nord-coréen également suivi sous les noms AppleJeus ou Citrine Sleet, d’après à la fois des flux de fonds on-chain traçant jusqu’aux attaquants de Radiant Capital et un recouvrement opérationnel avec des profils liés au DPRK.

Les individus qui se sont présentés en personne lors des conférences n’étaient toutefois pas des ressortissants nord-coréens. À ce niveau, les acteurs de menace du DPRK sont connus pour déployer des intermédiaires tiers dotés d’identités entièrement construites, de parcours d’emploi, et de réseaux professionnels conçus pour résister à la diligence raisonnable.

Drift a exhorté les autres protocoles à auditer les contrôles d’accès et à considérer chaque appareil touchant un multisig comme une cible potentielle. L’implication plus large est inconfortable pour une industrie qui s’appuie sur la gouvernance multisig comme modèle de sécurité principal.

Mais si les attaquants sont prêts à passer six mois et à dépenser un million de dollars pour construire une présence légitime au sein d’un écosystème, rencontrer les équipes en personne, contribuer du capital réel, et attendre, la question est alors de savoir quel modèle de sécurité est conçu pour détecter cela.