Je viens de lire le rapport détaillé publié par Drift sur l'exploitation de 270 millions de dollars et franchement, c'est inquiétant. Nous ne parlons pas d'une attaque conventionnelle, mais d'une opération d'intelligence étatique qui a duré pratiquement six mois.

La façon dont tout s'est déroulé est ce qui m'impressionne le plus. Selon l'analyse de Drift, un groupe affilié à l'État nord-coréen s'est présenté lors d'une conférence importante sur les cryptomonnaies vers l'automne 2025 en tant que société de trading quantitatif. Ce n'était pas improvisé. Ils disposaient de références professionnelles vérifiables, de connaissances techniques légitimes sur le fonctionnement du protocole, et savaient exactement comment s'intégrer dans les écosystèmes DeFi.

Au cours des mois suivants, entre décembre 2025 et janvier, le groupe a intégré une Cagnotte de l'Écosystème dans Drift, a organisé des sessions de travail avec les collaborateurs, déposé plus d’un million de dollars de leur propre capital, et s’est positionné comme des acteurs légitimes. Ils se sont même rencontrés en personne avec l’équipe de Drift lors de plusieurs conférences internationales en février et mars. Au moment de lancer l’attaque le 1er avril, ils avaient presque six mois à construire cette présence.

L'infiltration technique était sophistiquée. Ils ont compromis des appareils via deux vecteurs principaux. D’abord, ils ont distribué une fausse application TestFlight, la plateforme d’Apple qui évite la revue de sécurité de l’App Store. Ensuite, ils ont exploité une vulnérabilité connue dans VSCode et Cursor, que la communauté de la sécurité dénonçait depuis la fin de 2025. Ouvrir simplement un fichier dans ces éditeurs permettait d’exécuter du code arbitraire sans avertissement.

Une fois à l’intérieur, ils ont obtenu ce qu’il fallait pour obtenir les deux approbations multisig. Les transactions pré-signées sont restées dormantes pendant plus d’une semaine avant d’être exécutées le 1er avril, drainant 270 millions de dollars des dépôts du protocole en moins d’une minute.

Les chercheurs ont attribué l’attaque à UNC4736, aussi connu sous le nom d’AppleJeus ou Citrine Sleet, en se basant sur les flux de fonds en chaîne et la superposition opérationnelle avec des acteurs liés à la Corée du Nord. Bien que les individus qui se sont présentés lors des conférences n’étaient pas des citoyens nord-coréens, il est courant que des acteurs de menace de ce niveau utilisent des intermédiaires avec des identités entièrement construites et des antécédents professionnels conçus pour passer les audits de diligence raisonnable.

Ce que Drift souligne est gênant pour toute l’industrie. Si les attaquants sont prêts à investir six mois, un million de dollars et de la patience pour construire une présence légitime dans un écosystème, quel modèle de sécurité est réellement conçu pour détecter cela ? Les protocoles dépendent de la multisig comme leur principale défense, mais cette opération expose des faiblesses profondes dans ce modèle face à des adversaires étatiques disposant de ressources illimitées.

Drift invite d’autres protocoles à auditer leurs contrôles d’accès et à traiter chaque appareil interagissant avec une multisig comme une cible potentielle. C’est un rappel que dans la DeFi, la confiance reste le vecteur d’attaque le plus efficace, même lorsque l’on tente de l’éliminer de l’équation.