Je viens de lire une analyse assez inquiétante sur ce qui est arrivé récemment à Drift Protocol. Il s'avère que l'exploit de 270 millions de dollars n'était pas une attaque aléatoire, mais une opération d'intelligence nord-coréenne méticuleusement planifiée qui a duré environ six mois.

Ce qui est le plus préoccupant, c'est comment ils l'ont fait. Un groupe affilié à l'État nord-coréen s'est infiltré dans l'écosystème de Drift en se faisant passer pour une société de trading quantitatif. Pour comprendre ce qu'est Drift et comment il fonctionne, il faut savoir que c'est un protocole DeFi basé sur plusieurs signatures pour la sécurité. Eh bien, ces attaquants ont été incroyablement patients et sophistiqués. Ils ont d'abord pris contact vers l'automne 2025 lors d'une conférence importante sur les cryptomonnaies, se présentant comme des spécialistes du trading. Ils disposaient de références professionnelles vérifiables, parlaient le langage technique du protocole et savaient exactement quoi dire.

Pendant des mois, ils ont maintenu des conversations substantielles sur des stratégies et des coffres-forts d'écosystème, ce qui est tout à fait normal dans la façon dont les sociétés s'intègrent dans les protocoles DeFi. Entre décembre 2025 et janvier 2026, ils ont intégré un coffre-fort d'écosystème, organisé des sessions de travail avec des collaborateurs de Drift, déposé plus d’un million de dollars de leur propre capital et se sont établis opérationnellement dans l’écosystème. La démarche la plus audacieuse a été leur rencontre en personne avec les équipes de Drift lors de plusieurs conférences importantes en février et mars. En avril, lors du lancement de l’attaque, la relation datait de presque six mois.

L'infiltration s’est faite via deux vecteurs techniques. D’abord, ils ont téléchargé une application TestFlight, la plateforme d’Apple qui distribue des applications en version bêta sans vérification de sécurité, en la présentant comme leur produit de portefeuille. Ensuite, ils ont exploité une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus utilisés en développement, où l’ouverture d’un fichier exécutait simplement un code arbitraire sans avertissement. Une fois les appareils compromis, ils ont obtenu tout ce dont ils avaient besoin pour obtenir les deux approbations multisig qui ont permis l’attaque du 1er avril, drainant 270 millions de dollars en moins d’une minute.

Les chercheurs ont attribué tout cela à UNC4736, aussi connu sous le nom d’AppleJeus ou Citrine Sleet, un groupe affilié à l’État nord-coréen. Ce qui est intéressant, c’est que les individus qui se sont rencontrés en personne n’étaient pas des citoyens nord-coréens, mais des intermédiaires avec des identités entièrement fabriquées, des antécédents professionnels falsifiés et des réseaux professionnels conçus pour passer toute vérification.

Cela met en lumière quelque chose d’inconfortable pour toute l’industrie DeFi : si les attaquants sont prêts à investir six mois et un million de dollars pour construire une présence légitime, rencontrer des équipes en personne et attendre patiemment, quel modèle de sécurité est réellement conçu pour détecter cela ? Drift avertit désormais que l’industrie doit auditer les contrats d’accès et traiter chaque appareil interagissant avec des multisigs comme une cible potentielle. La question fondamentale est de savoir si les multisigs, en tant que principal modèle de sécurité dans la DeFi, sont suffisants contre des adversaires de ce niveau.