Accueil Actualités Crypto Attaque Drift : les hackers nord-coréens ont préparé leur coup pendant 6 mois

Attaque Drift : les hackers nord-coréens ont préparé leur coup pendant 6 mois

L’exploitation de Drift Protocol pour 270 millions de dollars résulte d’une opération d’infiltration de six mois menée par un groupe affilié à la Corée du Nord.

parAlex LeRoux

Publié le 06 avril 2026 à 10h11 • Modifié le 06 avril 2026 à 10h51

2 minutes de lecture

Illustration - Attaque Drift : les hackers nord-coréens ont préparé leur coup pendant 6 mois

Ce qu’il faut retenir :

Le groupe nord-coréen UNC4736 a infiltré Drift pendant 6 mois en se faisant passer pour une firme de trading quantitatif.

Les hackers ont exploité des vulnérabilités connues dans VSCode et TestFlight pour compromettre les appareils des développeurs.

L’attaque du 1er avril a vidé plus de 270 millions de dollars des coffres-forts du protocole en moins d’une minute.

Une infiltration minutieuse depuis l’automne 2025

🚨 L’enquête de Drift Protocol révèle une campagne d’ingénierie sociale de 6 mois menée par une fausse firme de trading quant.

Des membres ont été approchés en personne lors de conférences par des intermédiaires liés à la Corée du Nord. pic.twitter.com/6PiQ8GoEbu
— Coin Academy (@coinacademy_fr) April 5, 2026

L’attaque de Drift Protocol pour 270 millions de dollars constitue l’aboutissement d’une opération de renseignement de six mois orchestrée par le groupe nord-coréen UNC4736, également connu sous les noms AppleJeus ou Citrine Sleet. Les premiers contacts remontent à l’automne 2025 lors d’une conférence crypto majeure, où les attaquants se sont présentés comme une firme de trading quantitatif cherchant à s’intégrer au protocole.

Entre décembre 2025 et janvier 2026, le groupe a franchi toutes les étapes classiques d’onboarding : création d’un Ecosystem Vault sur Drift, sessions de travail avec les contributeurs, dépôt de plus d’1 million de dollars de capital propre et construction d’une présence opérationnelle fonctionnelle. Les contributeurs de Drift ont rencontré physiquement des individus du groupe lors de plusieurs conférences majeures dans différents pays jusqu’en mars 2026.

Exploitation de vulnérabilités techniques connues

Le compromis s’est opéré via deux vecteurs d’attaque distincts. Le premier exploite une vulnérabilité connue dans VSCode et Cursor, signalée par la communauté sécurité depuis fin 2025, permettant l’exécution silencieuse de code arbitraire par simple ouverture d’un fichier ou dossier dans l’éditeur.

Le second vecteur concernait une application TestFlight, la plateforme d’Apple pour distribuer des applications pré-release qui contourne la revue de sécurité de l’App Store. Le groupe l’avait présentée comme leur produit de portefeuille. Une fois les appareils compromis, les attaquants ont obtenu les deux approbations multisig nécessaires pour lancer l’attaque par nonce durable. Les transactions pré-signées sont restées dormantes plus d’une semaine avant leur exécution le 1er avril.

Attribution aux opérateurs de Radiant Capital

L’attribution à UNC4736 repose sur l’analyse des flux de fonds on-chain qui remontent aux attaquants de Radiant Capital, ainsi que sur des recoupements opérationnels avec des personas liés à la République populaire démocratique de Corée. Ce groupe est déjà impliqué dans plusieurs exploitations majeures du secteur crypto, utilisant des méthodes d’ingénierie sociale sophistiquées pour cibler les infrastructures d’échange et de paiement.

L’incident révèle la vulnérabilité des protocoles DeFi face aux campagnes d’infiltration de long terme menées par des acteurs étatiques dotés de ressources importantes et d’une expertise technique avancée.

En savoir plus sur notre newsletter crypto →

Retrouvez toute l'actualité dans notre rubrique Actualités DeFi sur Coin Academy.

Auteur

Alex LeRoux

Chief Content Officer CoinAcademy. Tech, finances, crypto, IA. Alex@coinacademy.fr

Articles qui pourraient vous intéresser

Lire plus

Marchés européens : 267 milliards d’euros de capitalisation effacés au premier trimestre 2026

Le premier trimestre 2026 a coûté cher aux investisseurs européens. Malgré un gain modeste du Stoxx 600, les géants de la tech et du luxe ont perdu des centaines de milliards.

Lire plus

Bitcoin : BTC bondit à 69 000 $ sur les négociations de cessez-le-feu en Iran

Les positions courtes sur Bitcoin ont subi 196 millions de dollars de liquidations en 24h, propulsant la cryptomonnaie à 69 120$ sur l'optimisme d'un cessez-le-feu Iran.

Lire plus

Raspberry Pi : un nouveau modèle 3 Go pour contourner la flambée des prix de RAM causée par l’IA

Raspberry Pi lance un Pi 4 3 Go à 83,75 $ pour contourner la flambée des prix LPDDR4 (x7 en un an). Les prix explosent sur toute la gamme, victimes de la demande IA.

Lire plus

ZachXBT accuse Circle de lenteur face à 420 millions $ de fonds illicites en USDC non gelés

ZachXBT publie une enquête détaillée accusant Circle de réagir trop lentement face aux fonds illicites en USDC, citant 15 cas pour plus de 420 millions de dollars non gelés à temps.

Binance Avis 2026 & Tuto : Plateforme fiable ou Arnaque ?

Kraken Avis 2026 & Tuto : Plateforme fiable ou Arnaque ?

Bitpanda Avis 2026 : Est-ce la meilleure plateforme de trading ?

Attaque Drift : les hackers nord-coréens ont préparé leur coup pendant 6 mois

Une infiltration minutieuse depuis l’automne 2025

Exploitation de vulnérabilités techniques connues

Attribution aux opérateurs de Radiant Capital

Cet article vous a plu ? Recevez les prochains par email

Marchés européens : 267 milliards d’euros de capitalisation effacés au premier trimestre 2026