Une opération de renseignement de six mois a précédé l’exploitation de 270 millions de dollars du Drift Protocol et a été menée par un groupe affilié à l’État nord-coréen, selon une mise à jour détaillée de l’incident publiée par l’équipe plus tôt dimanche.
Les attaquants ont pris contact pour la première fois vers l’automne 2025 lors d’une grande conférence sur la cryptographie, se présentant comme une société de trading quantitatif cherchant à s’intégrer à Drift.
Ils maîtrisaient techniquement, avaient des antécédents professionnels vérifiables et comprenaient comment fonctionnait le protocole, a déclaré Drift. Un groupe Telegram a été créé et ont suivi des mois de conversations de fond sur les stratégies de trading et les intégrations de coffre-fort, des interactions qui sont standard pour la façon dont les sociétés de trading s’intègrent aux protocoles DeFi.
Entre décembre 2025 et janvier 2026, le groupe a embarqué un Ecosystem Vault on Drift, a organisé plusieurs séances de travail avec des contributeurs, a déposé plus d’un million de dollars de son propre capital et a construit une présence opérationnelle fonctionnelle au sein de l’écosystème.
Les contributeurs de Drift ont rencontré des membres du groupe face à face lors de plusieurs conférences majeures de l’industrie dans plusieurs pays en février et mars. Au moment où l’attaque a été lancée le 1er avril, la relation datait de près de six mois.
Le compromis semble être le résultat de deux vecteurs.
Un deuxième a téléchargé une application TestFlight, la plate-forme d’Apple permettant de distribuer des applications en avant-première qui contourne l’examen de sécurité de l’App Store, que le groupe a présenté comme son produit de portefeuille.
Pour le vecteur de référentiel, Drift a souligné une vulnérabilité connue dans VSCode et Cursor, deux des éditeurs de code les plus utilisés dans le développement de logiciels, que la communauté de la sécurité signalait depuis fin 2025, où la simple ouverture d’un fichier ou d’un dossier dans l’éditeur suffisait pour exécuter silencieusement du code arbitraire sans invite ni avertissement d’aucune sorte.
Une fois les appareils compromis, les attaquants disposaient de ce dont ils avaient besoin pour obtenir les deux approbations multisig qui ont permis l’attaque ponctuelle durable CoinDesk détaillée plus tôt cette semaine. Ces transactions pré-signées sont restées inactives pendant plus d’une semaine avant d’être exécutées le 1er avril, drainant 270 millions de dollars des coffres du protocole en moins d’une minute.
L’attribution pointe vers UNC4736, un groupe affilié à l’État nord-coréen également suivi sous le nom d’AppleJeus ou Citrine Sleet, sur la base à la fois de flux de fonds en chaîne remontant aux attaquants de Radiant Capital et d’un chevauchement opérationnel avec des personnalités connues liées à la RPDC.
Les personnes qui sont apparues en personne lors des conférences n’étaient cependant pas des ressortissants nord-coréens. Les acteurs menaçants de la RPDC à ce niveau sont connus pour déployer des intermédiaires tiers avec des identités entièrement construites, des antécédents professionnels et des réseaux professionnels conçus pour résister à la diligence raisonnable.
Drift a exhorté d’autres protocoles à auditer les contrôles d’accès et à traiter chaque appareil touchant un multisig comme une cible potentielle. Cette implication plus large est inconfortable pour une industrie qui s’appuie sur la gouvernance multisig comme principal modèle de sécurité.
Mais si les attaquants sont prêts à consacrer six mois et un million de dollars pour établir une présence légitime au sein d’un écosystème, rencontrer des équipes en personne, apporter un capital réel et attendre, la question est de savoir quel modèle de sécurité est conçu pour détecter cela.