Drift Protocol (DRIFT) a publié une mise à jour détaillée de l'incident le 5 avril, révélant que l'exploit de 285 millions de dollars du 1er avril était le résultat d'une opération de renseignement de six mois attribuée à des acteurs soutenus par l'État nord-coréen.
La divulgation décrit un niveau d'ingénierie sociale qui va bien au-delà des escroqueries en ligne typiques de phishing ou de recrutement, impliquant des réunions en personne, un déploiement de capitaux réel et des mois de construction de confiance.
Une fausse société de trading qui a joué sur le long terme
Selon Drift, un groupe se faisant passer pour une société de trading quantitatif a d'abord approché des contributeurs lors d'une grande conférence crypto à l'automne 2025.
Au cours des mois suivants, ces individus sont apparus lors de plusieurs événements dans plusieurs pays, ont tenu des sessions de travail et ont maintenu des conversations Telegram continues sur les intégrations de coffres-forts.
Suivez-nous sur X pour obtenir les dernières nouvelles en temps réel
Entre décembre 2025 et janvier 2026, le groupe a intégré un Ecosystem Vault sur Drift, déposé plus d'un million de dollars de capital et participé à des discussions détaillées sur les produits.
En mars, les contributeurs de Drift avaient rencontré ces individus en face à face à plusieurs reprises.
Même les experts en sécurité Web trouvent cela préoccupant, la chercheuse Tay partageant qu'elle s'attendait initialement à une escroquerie de recrutement typique mais a trouvé la profondeur de l'opération bien plus alarmante.
Comment les appareils ont été compromis
Drift a identifié trois vecteurs d'attaque probables :
- Un contributeur a cloné un référentiel de code que le groupe a partagé pour une interface de coffre-fort.
- Un second a téléchargé une application TestFlight présentée comme un produit de portefeuille.
- Pour le vecteur du référentiel, Drift a pointé une vulnérabilité connue de VSCode et Cursor que les chercheurs en sécurité signalaient depuis fin 2025.
Cette faille permettait à du code arbitraire de s'exécuter silencieusement dès l'ouverture d'un fichier ou d'un dossier dans l'éditeur, sans aucune interaction de l'utilisateur requise.
Après le débit du 1er avril, les attaquants ont effacé toutes les discussions Telegram et les logiciels malveillants. Drift a depuis gelé les fonctions restantes du protocole et retiré les portefeuilles compromis du multisig.
L'équipe SEALS 911 a évalué avec une confiance moyenne à élevée que les mêmes acteurs de menace ont réalisé le piratage de Radiant Capital en octobre 2024, que Mandiant a attribué à UNC4736.
Les Flux de capitaux on-chain et les chevauchements opérationnels entre les deux campagnes soutiennent cette connexion.
L'industrie appelle à une réinitialisation de la sécurité
Armani Ferrante, un développeur Solana de premier plan, a appelé chaque équipe crypto à mettre en pause les efforts de croissance et à auditer l'ensemble de leur pile de sécurité.
Drift a noté que les individus qui sont apparus en personne n'étaient pas des ressortissants nord-coréens. Les acteurs de menace de la RPDC à ce niveau sont connus pour déployer des intermédiaires tiers pour les engagements en face à face.
Mandiant, que Drift a engagé pour l'analyse médico-légale des appareils, n'a pas encore formellement attribué l'exploit.
La divulgation sert d'avertissement à l'écosystème plus large. Drift a exhorté les équipes à auditer les contrôles d'accès, à traiter chaque appareil qui touche un multisig comme une cible potentielle et à contacter SEAL 911 s'ils suspectent un ciblage similaire.
L'article Le vol de 285 millions de dollars du Drift Protocol a commencé par une poignée de main et 6 mois de confiance est apparu en premier sur BeInCrypto.
Source : https://beincrypto.com/drift-north-korea-spy-operation-hack/
