Retour à l'accueil

Hackers nord-coréens volent 285M$ via faux traders

Une attaque sophistiquée menée par des hackers nord-coréens a permis de voler 285 millions de dollars à Drift Protocol. L’intrusion s’est déroulée sur six mois grâce à des identités falsifiées et des outils de développement compromis. Ce cas illustre les risques croissants liés à la manipulation humaine dans l’écosystème crypto.

Vol de 285M$ : les hackers nord-coréens ont triché pendant 6 mois
Advertisement 728x90

Comment les hackers nord-coréens ont volé 285 millions en feignant d’être des traders de confiance

L'automne dernier, des personnes prétendant représenter une société de trading quantitatif sont apparues lors d'un grand événement crypto. Elles ont abordé les développeurs du protocole Drift — une plateforme d'échange décentralisée (DEX) basée sur la blockchain Solana — et ont entamé des conversations comme tout partenaire sérieux le ferait. Elles ont échangé des contacts, rejoint des groupes Telegram, et même effectué un dépôt de 1 million de dollars dans l’écosystème de Drift pour prouver leur légitimité.

Mais rien de tout cela n’était réel. Selon l’enquête menée par Drift, ces individus faisaient partie du groupe UNC4736, lié à la Corée du Nord. Leur objectif n’était pas seulement de voler — c’était de s’intégrer si parfaitement que pas une seule alarme ne sonnerait avant qu’il ne soit trop tard.

Comment le piratage a réellement fonctionné

Les attaquants n’ont pas cassé de mots de passe ni deviné de codes secrets. Au lieu de cela, ils ont utilisé trois tactiques sournoises :

Google AdInline article slot
  • Outils de développement falsifiés : Ils ont créé une version malveillante de logiciels de codage populaires (comme VSCode ou Cursor), qui semblaient normaux mais exécutaient discrètement du code nuisible en arrière-plan.
  • Applications mobiles fantômes : Ils ont distribué une application TestFlight fictive — le système d’Apple pour tester les logiciels en phase préliminaire — qui a trompé les utilisateurs pour qu’ils installent un logiciel malveillant.
  • Un dépôt de code contrefait : Les développeurs ont téléchargé du code depuis une source similaire, qui contenait des backdoors cachés.

Une fois à l’intérieur, les hackers ont créé ce qu’on appelle un « coffre-fort d’écosystème » — un compte spécial destiné aux grands partenaires — et l’ont utilisé pour déclencher le vol. Juste après avoir vidé 285 millions de dollars, ils ont effacé toutes les traces : les discussions Telegram ont disparu, le malware s’est auto-détruit, et leurs identités en ligne ont totalement disparu.

Pourquoi cette attaque va au-delà d’une seule plateforme

Cette cyberattaque s’inscrit dans une tendance croissante. Le même groupe, aussi connu sous les noms AppleJeus ou Citrine Sleet, est soupçonné d’autres vols majeurs dans le secteur crypto, notamment la faille de Radiant Capital en 2024. Les experts en sécurité affirment que les acteurs liés à la Corée du Nord utilisent souvent des intermédiaires non nord-coréens pour des rencontres en personne, rendant leur détection encore plus difficile.

Pire encore, cette méthode contourne les mesures de sécurité classiques. Même les portefeuilles multisignatures — où plusieurs personnes doivent approuver une transaction — ont échoué ici, car les signataires ont été manipulés pour approuver quelque chose qui semblait inoffensif. Comme l’a dit un expert : « Le problème, ce n’est pas le nombre de signatures — c’est de savoir si elles comprennent vraiment ce qu’elles approuvent. »

Google AdInline article slot

Que signifie cela pour les particuliers ?

Si vous utilisez des applications crypto — même indirectement via des exchanges ou des portefeuilles — vous êtes concerné par ce type de menace. Quand les pirates compromettent les outils dont dépendent les développeurs, tout le monde en aval est en danger. C’est comme si un chef utilisait inconsciemment des ingrédients empoisonnés : le plat a l’air bon, mais il est dangereux.

Vous n’avez pas besoin de paniquer, mais c’est un rappel que la confiance dans les espaces numériques doit être vérifiée, pas supposée. Les systèmes les plus sûrs aujourd’hui simulent les transactions avant qu’elles ne se produisent, montrant exactement ce qui changera sur la blockchain — peu importe à quel point la demande semble amicale.

Points clés

  • Les hackers nord-coréens ont infiltré Drift Protocol pendant six mois en utilisant des identités factices et des rencontres en personne.
  • Ils ont exploité des outils de développement fiables pour insérer discrètement du code malveillant.
  • Le vol de 285 millions a réussi parce que les humains ont été manipulés socialement — pas uniquement à cause de failles techniques.
  • La sécurité multisignature peut échouer si les utilisateurs ne comprennent pas ce qu’ils approuvent.
  • Le message principal : dans le monde crypto, voir n’est pas toujours croire — les transactions doivent être indépendamment vérifiées.

— Editorial Team

Google AdInline article slot
Advertisement 728x90

Lire ensuite

Actualités partenaires