Le 1er avril 2026, 280 millions de dollars se sont volatilisés en 12 minutes. Pas une blague. La plateforme crypto Drift Protocol, construite sur la blockchain Solana, s’est fait vider par des pirates qui avaient préparé leur coup pendant six mois, en serrant des mains et en buvant des cafés lors de conférences professionnelles.
Six mois à jouer les associés modèles
Tout commence en octobre 2025. Lors d’une grande conférence crypto, un groupe se présentant comme une société de trading quantitatif aborde des contributeurs de Drift Protocol. L’approche est classique : discussions sur les stratégies de marché, intérêt pour une intégration technique avec les coffres-forts de la plateforme. Un groupe Telegram est créé. Les échanges sont réguliers, professionnels, bienveillants.
Pendant six mois, les membres de ce faux cabinet de trading se sont rendus à plusieurs conférences internationales du secteur, dans plusieurs pays, ciblant systématiquement les mêmes personnes à chaque événement. Les individus envoyés sur place n’étaient pas coréens, selon l’analyse de BleepingComputer. Ce détail est capital : la Corée du Nord a utilisé des intermédiaires étrangers pour crédibiliser l’opération et effacer toute suspicion liée à Pyongyang.
Un dépôt de code piégé et une fausse application
La confiance installée, les assaillants sont passés à l’attaque par deux canaux distincts. Le premier : un dépôt de code malveillant partagé à un contributeur de Drift, exploitant probablement une faille dans VSCode ou Cursor, deux éditeurs très répandus chez les développeurs. Cette vulnérabilité permettait d’exécuter du code en arrière-plan sans que la victime s’en aperçoive.
Le second vecteur : une application distribuée via TestFlight, le programme de bêta-test d’Apple, présentée comme un produit de portefeuille crypto. En installant cette application, un autre contributeur a ouvert une porte d’entrée directe vers les systèmes internes de Drift.
Avec ces deux accès compromis, les attaquants ont exploité une fonctionnalité de Solana appelée « durable nonce ». Ce mécanisme, conçu pour empêcher l’expiration des transactions, leur a permis de faire pré-approuver des opérations par le Conseil de sécurité de Drift, des semaines avant leur exécution réelle. Le jour J, il suffisait de déclencher les transactions déjà validées.
12 minutes pour vider les caisses
Le 1er avril, les pirates ont pris le contrôle des pouvoirs administratifs du Conseil de sécurité de Drift. Selon le communiqué officiel de la plateforme, « un acteur malveillant a obtenu un accès non autorisé via une attaque inédite impliquant les durable nonces, entraînant une prise de contrôle rapide des pouvoirs administratifs du Conseil de sécurité ». En 12 minutes, 280 millions de dollars en cryptomonnaies ont été transférés vers des portefeuilles contrôlés par les assaillants.
Drift Protocol, fondé en 2021 par Cindy Leow et David Lu, gérait plus de 400 millions de dollars en dépôts avant l’attaque. Les dépôts et retraits ont été immédiatement suspendus. Les portefeuilles compromis ont été retirés du processus de signature multiple, et les adresses des attaquants ont été signalées aux plateformes d’échange et aux opérateurs de ponts inter-chaînes.
Le groupe Telegram, celui où les faux traders discutaient stratégie depuis six mois, a été supprimé dans les minutes qui ont suivi le vol.
La Corée du Nord, braqueur en série du monde crypto
Les cabinets d’analyse blockchain Elliptic et TRM Labs ont attribué l’attaque, avec un niveau de confiance moyen à élevé, au groupe UNC4736, aussi connu sous les noms AppleJeus et Labyrinth Chollima. Selon Elliptic, « le comportement on-chain est cohérent avec les crimes précédents soutenus par la Corée du Nord ». Le même groupe est soupçonné d’avoir mené l’attaque contre la chaîne d’approvisionnement de 3CX en 2023 et le vol de 50 millions de dollars chez Radiant en 2024.
L’échelle de ces opérations dépasse le simple fait divers. Selon The Hacker News, les hackers liés à Pyongyang ont dérobé 2 milliards de dollars en cryptomonnaies sur la seule année 2025, soit environ 60 % de la totalité des actifs numériques volés dans le monde cette année-là. Le butin cumulé du groupe Lazarus, la nébuleuse qui chapeaute ces opérations, atteint 6,75 milliards de dollars selon BlockEden. Le braquage de Bybit en février 2025, à 1,5 milliard de dollars, reste le plus gros casse crypto de l’histoire.
Quand la confiance devient l’arme principale
Ce qui distingue l’affaire Drift des piratages classiques, c’est la patience et le professionnalisme de l’ingénierie sociale. Pas de mail d’hameçonnage grossier, pas de lien douteux envoyé à froid. Six mois de relations humaines construites en face à face, avec des interlocuteurs recrutés pour leur apparence et leur crédibilité. Le cocktail conférence-café-Telegram reproduit exactement le mode opératoire des vrais partenariats commerciaux dans l’écosystème crypto.
Les plateformes de finance décentralisée reposent sur des groupes restreints de contributeurs qui détiennent les clés administratives. Compromettre deux ou trois personnes suffit à prendre le contrôle de centaines de millions. Le nombre d’attaques a baissé de 74 % entre 2024 et 2025 selon Chainalysis, mais le montant moyen par attaque a explosé. Les hackers de Pyongyang frappent moins souvent, mais visent plus gros.
Drift Protocol tente de tracer les fonds volés en coordination avec les forces de l’ordre et les plateformes d’échange. Le précédent Bybit montre que la récupération reste possible, mais partielle. Sur les 1,5 milliard dérobés en février 2025, seule une fraction a été gelée avant d’être convertie en monnaie fiduciaire via des mixeurs et des chaînes secondaires. Pour Drift, le compte à rebours a commencé : plus les jours passent, plus les fonds se dispersent à travers des dizaines de portefeuilles intermédiaires, rendant leur traçage exponentiellement plus difficile.
