Drift hacking : enquête préliminaire — organisation suspectée liée à la Corée du Nord orchestrant une opération d'infiltration de six mois

Message de BlockBeats, le 5 avril, selon des informations officielles, Drift indique être en collaboration avec des organismes d’application de la loi, des partenaires d’investigation médico-légale et des équipes de l’écosystème afin de mener une enquête complète sur l’incident de piratage survenu le 1er avril 2026. Pour le moment, toutes les fonctionnalités des protocoles ont été suspendues ; les portefeuilles concernés ont été retirés des multisigs, et l’adresse de l’attaquant a également été signalée sur les plateformes d’échange et les ponts inter-chaînes. La société de sécurité Mandiant est intervenue pour mener l’enquête. Les résultats préliminaires montrent que cette attaque n’est pas un acte à court terme, mais une action d’infiltration de renseignement menée sur environ 6 mois, avec un contexte organisé et un soutien en ressources suffisantes. Dès l’automne 2025, un groupe de personnes se présentant comme issues d’entreprises de trading quantitatif a pris contact avec des membres de l’équipe Drift lors de plusieurs conférences internationales sur la crypto, et a ensuite poursuivi, pendant des mois, l’établissement de relations, le développement de collaborations, voire l’investissement de plus de 1 million de dollars sur la plateforme pour établir sa crédibilité.

L’enquête a révélé que ces personnes disposent d’un bagage professionnel et de capacités techniques : elles ont communiqué pendant longtemps, via des groupes Telegram, des stratégies de trading et l’intégration de produits avec l’équipe, et ont rencontré à plusieurs reprises, lors de réunions en présentiel, des contributeurs clés. Après la survenue de l’attaque du 1er avril 2026, les historiques de discussion concernés et les logiciels malveillants ont été effacés rapidement. Drift estime que cette intrusion pourrait avoir été réalisée par plusieurs voies, notamment en incitant des membres de l’équipe à cloner des dépôts contenant du code malveillant, ou en téléchargeant des applications de test déguisées en produits de portefeuille. En outre, l’attaque aurait pu exploiter à cette époque des vulnérabilités de VSCode et de Cursor, déjà signalées par la communauté de sécurité, afin d’exécuter du code malveillant sans que les utilisateurs ne s’en aperçoivent.

Sur la base de l’analyse des flux de fonds on-chain et des schémas de comportement, l’équipe de sécurité estime, à titre préliminaire, que cette action serait liée à l’organisation menaçante se cachant derrière l’attaque contre Radiant Capital en 2024 ; cette organisation est attribuée à un groupe de pirates ayant des liens avec la Corée du Nord (par exemple UNC4736 / AppleJeus). Il est à noter que les personnes contactées en présentiel ne sont pas d’origine nord-coréenne, mais des intermédiaires tiers. Drift indique que les attaquants ont construit un système d’identité complet et crédible, incluant un historique professionnel et un parcours public, afin d’obtenir la confiance grâce à un contact prolongé. À l’heure actuelle, l’enquête est toujours en cours, et l’équipe appelle le secteur à renforcer l’audit de la sécurité des équipements et la gestion des autorisations.