La cybercriminalité nord-coréenne est devenue le plus grand cauchemar de l'univers des cryptomonnaies. Récemment, en consultant le rapport de TRM Labs, j'ai été un peu glacé par les chiffres — seulement quatre mois se sont écoulés cette année, et les hackers nord-coréens ont déjà dérobé environ 577 millions de dollars, représentant 76 % des fonds volés dans le monde entier sur la même période. Ce pourcentage est vraiment stupéfiant.

Les pertes proviennent principalement de deux événements majeurs survenus en avril. Kelp DAO a été vidé de 292 millions de dollars, tandis que Drift Protocol a été dévalisé de 285 millions de dollars. Fait intéressant, ces deux incidents ne représentent que 3 % du nombre total d'attaques au cours des quatre premiers mois de l'année, mais ils ont causé la majorité des pertes. Cela indique que les hackers nord-coréens sont passés d'une stratégie de "tir à vue" à une attaque ciblée précise.

C'est le groupe de hackers connu sous le nom de TraderTraitor, lié étroitement au groupe LasaRUS, qui est responsable de Kelp DAO. Quant à Drift, il s'agit d'une autre équipe de hackers nord-coréens encore non entièrement dévoilée.

En ce qui concerne l'attaque contre Drift, je trouve que la partie la plus effrayante est qu'il ne s'agit pas d'une simple attaque surprise. TRM a révélé qu'il s'agissait d'une opération d'infiltration sophistiquée s'étalant sur plusieurs mois. Des agents nord-coréens ont rencontré à plusieurs reprises l'équipe de Drift en personne, ont commencé à déployer leurs préparatifs à partir du 11 mars, en créant des comptes nonce persistants sur Solana pour signer des transactions à l'avance, et ont même incité les membres de la multi-signature du comité de sécurité de Drift à donner leur accord préalable. Le coup fatal a été porté le 1er avril, juste après que Drift a ajusté le seuil de permissions du comité de sécurité et annulé la temporisation, lorsque les hackers ont déclenché en 12 minutes 31 instructions de retrait pré-signées, vidant directement les fonds. Cette combinaison de manipulation sociale et de techniques sophistiquées est difficile à contrer.

L'incident avec Kelp DAO suit une autre méthode. Les hackers ont repéré une faille dans l'architecture du pont LayerZero, un protocole de communication inter-chaînes utilisant un "validateur unique", et ont infiltré l'infrastructure RPC pour modifier la logique de validation. Après avoir forcé le système à transférer le contrôle de la validation à un nœud sous leur contrôle, plus de 116 000 rsETH ont été dérobés. Même si l'équipe officielle d'Arbitrum a rapidement gelé une partie des actifs, les hackers ont rapidement transféré les fonds via des protocoles de liquidité inter-chaînes comme THORChain.

Ce qui est encore plus inquiétant, c'est la tendance. La part des vols de cryptomonnaies attribués aux hackers nord-coréens dans le total mondial ne cesse d'augmenter — passant de moins de 10 % en 2020 et 2021, à 22 % en 2022, 37 % en 2023, 39 % en 2024, puis 64 % en 2025, atteignant un sommet historique de 76 % cette année. Depuis 2017, la somme totale de cryptomonnaies volées par ces hackers nord-coréens a dépassé 6 milliards de dollars.

TRM souligne qu'en 2025, le vol de 1,46 milliard de dollars dans une grande plateforme d'échange a marqué un tournant dans leur mode opératoire. Par la suite, ils ont changé de tactique, abandonnant la stratégie de "tir à vue" pour cibler des cibles de grande valeur, en attaquant spécifiquement des ponts inter-chaînes, des systèmes de gouvernance multi-signatures et autres infrastructures critiques, dans l'espoir de faire un coup fatal.

Fait intéressant, ces deux affaires, Drift et Kelp DAO, illustrent également la diversification des méthodes de blanchiment d'argent des hackers nord-coréens. Les hackers de Drift font preuve d'une patience extrême : après avoir transféré les fonds sur Ethereum, ils restent inactifs pendant des mois, voire des années, en attendant que la tempête passe pour encaisser. À l'inverse, ceux de Kelp DAO privilégient une approche rapide : ils échangent rapidement via THORChain contre du Bitcoin, puis confient l'argent à des intermédiaires de blanchiment souterrains.

Face à cette menace de plus en plus rampante, TRM appelle toutes les plateformes à renforcer immédiatement leur conformité et leur surveillance. Les mesures de défense clés incluent une surveillance rigoureuse des fonds inter-chaînes sortant via THORChain, le renforcement du suivi des transactions à plusieurs sauts sur les ponts inter-chaînes, et une vérification stricte des dépôts liés à la gouvernance de Solana, en particulier ceux impliquant des mécanismes nonce persistants. De plus, l'industrie devrait activement rejoindre des mécanismes de défense croisée comme le Beacon Network, afin de pouvoir déclencher rapidement des alertes communes dès qu'une adresse de portefeuille de hackers nord-coréens est identifiée, coupant ainsi la chaîne de blanchiment. La guerre de l'attaque et de la défense est loin d'être terminée, et le cauchemar de la cryptosphère continue.