Drift Lien $280M Hack à des Acteurs Suspects Nord-Coréens

L’équipe derrière Drift Protocol a partagé de nouveaux détails sur son récent exploit de 280 millions de dollars. L’attaque qui a eu lieu le 1er avril semble maintenant beaucoup plus complexe que prévu au départ. Selon la dernière mise à jour, l’incident n’était pas soudain ou aléatoire. Il faisait partie d’une opération longue et soigneusement planifiée. 

🚨UPDATE: DRIFT'S $280M HACK WAS A SIX-MONTH LONG NORTH KOREAN SOCIAL ENGINEERING OPERATION

Drift Protocol (@DriftProtocol) a révélé que l’exploit du 1er avril qui a effacé 280 millions de dollars de la plateforme d’échange de contrats perpétuels basée sur Solana n’était pas une attaque aléatoire. C’était le résultat d’une… pic.twitter.com/aRqK1yagbH

— BSCN (@BSCNews) 6 avril 2026

L’équipe pense que l’attaque pourrait être liée à un groupe associé à la Corée du Nord. Les enquêteurs la décrivent comme une « opération de renseignement structurée ». Elle a probablement nécessité des mois de planification, de coordination et d’exécution.

Une Préparation de Six Mois

L’enquête montre que les attaquants ont commencé leur travail dès la fin de 2025. Pendant cette période, ils ont approché des contributeurs de Drift Protocol en se faisant passer pour une société de trading. Ils ont rencontré des membres de l’équipe lors de grands événements crypto dans différents pays. Au fil du temps, ils ont construit une confiance à travers des réunions répétées et des discussions techniques.

Le groupe semblait professionnel et bien préparé. Ils partageaient des idées, discutaient de stratégies et déposaient même des fonds dans le protocole. De ce fait, ils ne semblaient pas suspects au départ. Au contraire, ils avaient l’air de partenaires normaux rejoignant l’écosystème.

Comment l’Attaque s’est Déroulée ?

Au cours de plusieurs mois, les attaquants ont obtenu un accès plus profond. Ils ont interagi avec des contributeurs via des discussions et partagé des outils. Dans certains cas, ils ont envoyé des liens vers des dépôts de code et des applications. Ceux-ci semblaient faire partie d’une collaboration en cours.

Mais les enquêteurs pensent maintenant que les attaquants ont pu utiliser ces outils pour compromettre des appareils. Une fois qu’ils ont obtenu l’accès, les attaquants ont préparé leur prochaine action. Le 1er avril, ils ont exécuté le plan rapidement. Ces opérations utilisent souvent des intermédiaires pour établir la confiance. Les attaquants ont utilisé des autorisations pré-approuvées pour prendre le contrôle de systèmes clés. Ils ont ensuite supprimé les protections et retiré des fonds du protocole. En peu de temps, environ 280 millions de dollars ont été drainés.

Liens avec des Groupes de Menace Connus

Les premières conclusions suggèrent une possible connexion avec un groupe connu lié à la Corée du Nord. Ce groupe a été associé à des attaques crypto passées. La connexion provient de données on-chain et de tactiques similaires utilisées dans des incidents antérieurs. Les enquêteurs ont noté des chevauchements dans les comportements et les schémas de mouvement des fonds.

Mais l’attribution n’est pas encore complètement confirmée. Des travaux d’analyse forensique sont toujours en cours. Il est également important de noter que les personnes qui ont interagi avec l’équipe en personne n’étaient probablement pas des membres directs. Ces opérations utilisent souvent des intermédiaires pour établir la confiance.

Que se Passe-t-il Ensuite ?

Suite à l’attaque, Drift a pris plusieurs mesures pour contenir les dégâts. La plateforme a gelé des fonctions clés et supprimé l’accès compromis. Pendant ce temps, l’équipe de Drift Protocol travaille avec des experts en sécurité et les forces de l’ordre. Leur objectif est de tracer les fonds volés et de comprendre l’ampleur complète de la violation.

Cet incident met en lumière un risque croissant dans le domaine des cryptomonnaies. Toutes les attaques ne ciblent pas le code. Certaines ciblent plutôt les personnes. Dans ce cas, la confiance a été utilisée comme point d’entrée. Les attaquants ont passé des mois à établir des relations avant d’agir. En conséquence, cet événement sert d’avertissement. Même les équipes expérimentées doivent rester vigilantes. Dans l’environnement actuel, la sécurité va au-delà de la technologie. Elle dépend également du jugement humain et de la prudence.