Urgent ! Un groupe de hackers de niveau national vole 500 millions de dollars en un seul mois, le monde de la cryptographie fait face à une « guerre asymétrique », vos actifs sont-ils en sécurité ?

Au cours des trois dernières semaines, un groupe de hackers lié à un pays spécifique a volé plus de 500 millions de dollars sur une plateforme de finance décentralisée. La méthode d’attaque a connu une transformation fondamentale : ils ne ciblent plus directement les contrats intelligents centraux, mais se tournent vers les faiblesses de l’infrastructure périphérique.

Deux attaques majeures contre Drift Protocol et KelpDAO ont porté le total des actifs cryptographiques illégalement obtenus par ce groupe cette année à plus de 700 millions de dollars. Derrière ces pertes massives, se cache une nette montée en puissance de leur tactique : ils exploitent de plus en plus de vulnérabilités complexes et déploient des agents en profondeur pour contourner les défenses de sécurité standard.

Le 20 avril, LayerZero, fournisseur d’infrastructure cross-chain, a confirmé que KelpDAO avait été attaqué le 18 avril, avec une perte d’environ 290 millions de dollars, devenant ainsi la plus grande attaque de cryptomonnaie de l’année à ce jour. L’enquête préliminaire pointe directement vers TraderTraitor, un groupe spécialisé affilié au tristement célèbre Lazarus Group.

Seulement quelques semaines auparavant, le 1er avril, la plateforme de contrats perpétuels décentralisée basée sur Solana, Drift Protocol, avait été victime d’un vol d’environ 286 millions de dollars. La société de renseignement blockchain Elliptic a rapidement relié les techniques de blanchiment, la séquence des transactions et les signatures réseau à des chemins d’attaque connus dans le pays, indiquant qu’il s’agissait déjà de la 18ème attaque similaire qu’elle a suivie cette année.

Les méthodes d’attaque d’avril montrent que les attaques contre la DeFi ont atteint un stade plus mature. Les attaquants ne s’attaquent plus directement au cœur, mais recherchent et exploitent des vulnérabilités structurelles en périphérie. Prenons l’attaque contre KelpDAO : les hackers ont compromis l’infrastructure RPC en aval utilisée par le réseau de validation décentralisé de LayerZero Labs.

En modifiant ces canaux de données clés, ils ont pu manipuler le fonctionnement du protocole sans compromettre la cryptographie fondamentale. LayerZero a désactivé les nœuds affectés et a entièrement restauré le réseau de validation, mais les pertes financières sont irrécupérables. Cette méthode d’attaque indirecte révèle une évolution inquiétante dans la guerre des réseaux.

La société de sécurité blockchain Cyvers a déclaré aux médias que les attaquants liés à ce pays deviennent de plus en plus expérimentés, investissant davantage de ressources dans la préparation et l’exécution des attaques. Elle ajoute que ces attaquants parviennent toujours à cibler précisément les points faibles, cette fois-ci en exploitant des composants tiers plutôt que l’infrastructure centrale du protocole.

Cette stratégie est très similaire à celle des cyberespions traditionnels, ce qui rend la prévention de ces attaques de plus en plus difficile. Des événements récents, comme l’intrusion dans la chaîne d’approvisionnement du package npm Axios, largement utilisé, liée à l’organisation de menace spécifique UNC1069, montrent que les attaquants sabotent systématiquement le logiciel avant même son intégration dans l’écosystème blockchain.

Outre les avancées techniques, ce pays mène également une infiltration à grande échelle et organisée sur le marché mondial du travail en cryptomonnaies. Le mode opératoire a évolué d’actions de hackers à distance vers l’insertion directe de personnel malveillant dans des startups Web3 sans méfiance.

Le projet Ketman, sous l’égide du programme de sécurité ETH Rangers de la Fondation Ethereum, a mené une enquête de six mois et a révélé que près de 100 agents infiltrés opèrent dans plusieurs entreprises blockchain. Ils utilisent de fausses identités, passent facilement les contrôles RH standards, obtiennent des accès à des codes sensibles, et restent silencieux dans les équipes pendant des mois, voire des années, avant de lancer des attaques ciblées.

L’enquêteur indépendant ZachXBT a confirmé cette infiltration en révélant un réseau spécial de cyberespions opérant dans le pays, qui, par fraude d’identité et emploi à distance, gagne en moyenne 1 million de dollars par mois. Ces opérations utilisent des canaux financiers mondiaux légitimes pour transférer des cryptomonnaies en fiat, traitant plus de 3,5 millions de dollars depuis la fin 2025.

Selon des experts, le personnel IT déployé par ce pays génère en moyenne plusieurs millions de dollars par mois. Cela leur procure une double source de revenus : un salaire stable et de gigantesques vols de protocoles avec l’aide de leur personnel interne.

L’ampleur des activités de ce pays dans le domaine des actifs numériques dépasse largement celle de tout groupe criminel traditionnel. Selon Chainalysis, en 2025, les hackers liés à ce pays ont volé un record de 2 milliards de dollars, représentant 60 % du total des vols de cryptomonnaies cette année-là. Compte tenu de l’intensité des attaques cette année, le total des actifs cryptographiques volés par ce groupe a atteint 6,75 milliards de dollars.

Après le vol, Lazarus Group montre une méthode sophistiquée et régionale de blanchiment d’argent. Contrairement aux criminels cryptographiques classiques qui utilisent fréquemment les DEX et les protocoles de prêt P2P, ces hackers évitent délibérément ces canaux.

Les données on-chain indiquent qu’ils dépendent fortement des services de garanties en chinois, des réseaux de courtage OTC profonds et des services complexes de mixage cross-chain. Cette préférence reflète des limitations structurelles et géographiques pour la monétisation, plutôt qu’un accès illimité au système financier mondial.

Les chercheurs en sécurité et les dirigeants du secteur estiment que ces attaques peuvent être évitées, mais que les entreprises de cryptomonnaie doivent résoudre les mêmes vulnérabilités opérationnelles révélées par ces attaques majeures. Terence Kwok, fondateur de Humanity, a déclaré aux médias que ces attaques restent liées à des vulnérabilités courantes, et non à de nouvelles formes d’intrusion.

Il pense que, bien que les attaquants améliorent leurs techniques d’intrusion et de transfert de fonds illicites, la racine du problème demeure une mauvaise gestion des accès et des risques liés à la centralisation. Il explique que, de manière choquante, les pertes sont toujours imputées à des problèmes anciens comme le contrôle d’accès et les points de défaillance unique, ce qui montre que l’industrie n’a pas encore résolu ses failles fondamentales de sécurité.

Selon lui, la première ligne de défense consiste à rendre la migration des actifs plus difficile à contourner, en renforçant le contrôle des clés privées, des permissions internes et des accès tiers. En pratique, les entreprises doivent réduire leur dépendance aux opérateurs individuels, limiter les privilèges, renforcer la sécurité des fournisseurs, et ajouter davantage de vérifications dans l’infrastructure entre le protocole central et le monde extérieur.

La deuxième ligne de défense est la rapidité. Une fois que des fonds volés traversent une chaîne, un pont ou entrent dans un réseau de blanchiment, les chances de récupération chutent drastiquement. Kwok affirme que les échanges, émetteurs de stablecoins, sociétés d’analyse blockchain et forces de l’ordre doivent collaborer rapidement dans les premières minutes ou heures après l’attaque pour maximiser les chances d’intercepter les fonds.

Il souligne que la vulnérabilité la plus critique des systèmes cryptographiques réside souvent à l’intersection du code, du personnel et de l’opération. Un seul certificat volé, une dépendance faible à un fournisseur, ou une faille d’autorisation négligée peuvent entraîner des pertes de plusieurs centaines de millions de dollars. Le défi de la DeFi n’est plus seulement d’écrire des contrats intelligents robustes, mais de sécuriser l’opération périphérique du protocole avant que l’attaquant ne profite de la prochaine faiblesse.

Suivez-moi : pour plus d’analyses et d’insights en temps réel sur le marché crypto ! $BTC $ETH $SOL

#Gate13周年现场直击 #Concours de trading WCTC, partagez 8 millions USDT #Rebond du Bitcoin