Le piratage de Drift Protocol, d'une valeur de 285 millions de dollars, a nécessité six mois de préparation, selon un groupe nord-coréen.

Le 1 avril 2026 exploiter of SolanaL'attaque du protocole Drift, qui a permis de soutirer environ 285 millions de dollars à la plateforme, n'était pas spontanée. Selon les conclusions préliminaires de Drift enquête, il s'agissait du résultat d'une opération de renseignement structurée qui avait commencé au moins six mois auparavant, attribuée avec un degré de confiance moyen à élevé à UNC4736, un groupe de menace affilié à l'État nord-coréen également suivi sous les noms d'AppleJeus ou Citrine Sleet.

Comment le piratage du protocole Drift a-t-il réellement commencé ?

Selon l'équipe du protocole Drift, l'opération a débuté lors d'une importante conférence sur les cryptomonnaies à l'automne 2025, où des individus se présentant comme une société de trading quantitatif ont approché les contributeurs de Drift. Il ne s'agissait pas d'une simple tentative d'hameçonnage, mais d'une campagne de développement de relations délibérée, menée pendant plusieurs mois, à travers de multiples rencontres en personne, lors de diverses conférences sectorielles et dans plusieurs pays.

Le groupe maîtrisait parfaitement les aspects techniques, possédait des qualifications professionnelles vérifiables et connaissait parfaitement le fonctionnement de Drift. Un groupe Telegram a été créé après la première réunion, et des discussions approfondies sur les stratégies de trading et l'intégration des coffres-forts se sont poursuivies pendant des mois. L'équipe de Drift a constaté que ces échanges étaient tout à fait conformes aux pratiques habituelles des sociétés de trading légitimes utilisant le protocole.

De décembre 2025 à janvier 2026, le groupe a intégré un Ecosystem Vault sur Drift. Ce processus a nécessité la soumission de détails stratégiques via un formulaire d'inscription officiel, la participation à plusieurs ateliers avec les contributeurs de Drift et le dépôt de plus d'un million de dollars de leurs propres fonds. Ils ont ainsi bâti une présence opérationnelle fonctionnelle au sein du protocole, de manière délibérée et patiente.

Les derniers mois avant l'exploitation

Les discussions sur l'intégration se sont poursuivies en février et mars 2026. Les contributeurs de Drift ont rencontré à nouveau des membres du groupe, en personne, lors d'événements majeurs du secteur. En avril, la relation était établie depuis près de six mois. Il ne s'agissait pas d'inconnus : l'équipe de Drift avait déjà collaboré avec eux et les avait rencontrés à plusieurs reprises.

Durant toute cette période, le groupe a partagé des liens vers des projets, des outils et des applications qu'il prétendait développer. Le partage de telles ressources est une pratique courante dans les relations entre entreprises commerciales, ce qui en a fait un mécanisme de diffusion efficace.

Quels étaient les vecteurs d'attaque techniques ?

Après l'exploitation de la faille le 1er avril, Drift a mené une analyse forensique des appareils, comptes et historiques de communication affectés. Les conversations Telegram et les logiciels malveillants utilisés par le groupe avaient été intégralement supprimés au moment de l'attaque. L'enquête de Drift a identifié trois vecteurs d'intrusion probables :

• Il est possible qu'un contributeur ait été compromis après avoir cloné un dépôt de code partagé par le groupe, présenté comme un outil de déploiement frontal pour leur coffre-fort numérique.
• Un deuxième contributeur a été incité à télécharger une application TestFlight que le groupe a présentée comme leur portefeuille numérique. TestFlight est la plateforme d'Apple permettant de distribuer les versions bêta des applications iOS avant leur publication officielle.
• Pour le vecteur basé sur les dépôts, le mécanisme probable était une vulnérabilité connue des éditeurs de code VSCode et Cursor, que les chercheurs en sécurité signalaient activement entre décembre 2025 et février 2026. L'ouverture d'un fichier, d'un dossier ou d'un dépôt dans l'éditeur concerné suffisait à exécuter silencieusement du code arbitraire, sans invite, avertissement, boîte de dialogue d'autorisation ni aucune indication visible pour l'utilisateur.

L'analyse forensique complète du matériel concerné était toujours en cours au moment de la publication.

L'attaque s'est-elle déroulée rapidement ?

La mise en place a peut-être pris six mois, mais l'exécution a été rapide. Une fois le contrôle administratif du protocole acquis, les fonds des utilisateurs ont été vidés en moins de 12 minutes. La valeur totale bloquée (TVL) de Drift est passée d'environ 550 millions de dollars à moins de 300 millions de dollars en moins d'une heure. Le token DRIFT a perdu plus de 40 % de sa valeur pendant l'incident. La société de sécurité PeckShield a confirmé que la perte totale dépassait 285 millions de dollars, soit plus de 50 % de la TVL du protocole à ce moment-là.

L'équipe de Drift a publié un message sur X pendant la crise pour clarifier la situation : « Ce n'est pas un poisson d'avril. Soyez prudents jusqu'à nouvel ordre. » Tous les dépôts et retraits ont été suspendus le temps de l'enquête.

Découvrez des projets prometteurs...

Des projets prometteurs...

(Publicité)

L'article continue...

Où sont passés les 285 millions de dollars ?

Après l'exploitation de la faille, l'attaquant a rapidement dissimulé la trace des fonds. Les actifs volés ont été convertis en USDC et SOL, puis transférés de Solana vers Ethereum via le protocole de transfert inter-chaînes (CCTP) de Circle. Le CCTP est l'infrastructure de pontage native de Circle qui permet aux USDC de circuler entre différentes blockchains sans encapsulation. Sur Ethereum, les fonds ont été convertis en ETH. Le suivi on-chain a confirmé que l'attaquant avait finalement accumulé 129 066 ETH, soit environ 273 millions de dollars à l'époque.

L'attaquant a également déposé des SOL sur HyperLiquid et Binance, étendant ainsi son activité sur plusieurs plateformes afin de compliquer les efforts de traçage.

Circle a-t-il réagi assez rapidement ?

L'enquêteur on-chain ZachXBT a publiquement critiqué Circle suite à cette faille de sécurité, soulignant que d'importantes quantités d'USDC volées avaient été transférées de Solana vers Ethereum pendant les heures ouvrables américaines sans être bloquées. ZachXBT a comparé cela à la décision récente de Circle de bloquer 16 portefeuilles chauds d'entreprises sans lien avec l'affaire, dans le cadre d'une procédure civile américaine sous scellés. Selon lui, Circle avait la capacité technique et un précédent clair pour intervenir, mais n'a pas agi assez rapidement pour limiter les dégâts.

Qui est derrière cette attaque ?

Avec un degré de confiance moyen à élevé, et s'appuyant sur les investigations menées par l'équipe SEALS 911, l'enquête de Drift attribue l'opération aux mêmes acteurs malveillants responsables du piratage de Radiant Capital en octobre 2024. Cette attaque avait été officiellement attribuée par Mandiant à UNC4736, un groupe affilié à l'État nord-coréen.

Ce lien repose à la fois sur la blockchain et sur les opérations elles-mêmes. Les flux financiers utilisés pour préparer et tester l'opération Drift proviennent de portefeuilles liés aux auteurs de l'attaque Radiant. De plus, les profils utilisés lors de la campagne Drift présentent des similitudes notables avec des schémas d'activité connus liés à la RPDC.

Une précision importante de l'équipe de Drift : les personnes présentes physiquement aux conférences n'étaient pas des ressortissants nord-coréens. À ce niveau d'opération, les acteurs malveillants liés à la RPDC ont recours à des intermédiaires pour établir des relations directes, maintenant ainsi leurs agents opérationnels à distance.

Mandiant a été officiellement mandatée pour l'enquête, mais n'a pas encore attribué officiellement la faille Drift. Cette attribution nécessite l'analyse forensique complète des appareils, qui est toujours en cours.

Mesures de réponse actuelles

Au moment de la publication, Drift a pris les mesures suivantes :

• Toutes les autres fonctions du protocole ont été gelées.
• Les portefeuilles compromis ont été retirés de la signature multiple.
• Des portefeuilles malveillants ont été signalés sur plusieurs plateformes d'échange et opérateurs de ponts de transfert.
• Mandiant a été engagé comme principal partenaire en matière de criminalistique.

Drift a déclaré qu'elle partageait publiquement ces détails afin que les autres équipes de l'écosystème puissent comprendre à quoi ressemble réellement ce type d'attaque et prendre les mesures nécessaires pour se protéger en conséquence.

Conclusion

Le piratage du protocole Drift ne se résume pas à une faille de sécurité ayant échappé à un audit. Il s'agit d'une vaste opération de tromperie. Les attaquants ont passé six mois à gagner la confiance des pirates grâce à des rencontres en personne, une intégration fonctionnelle du coffre-fort et plus d'un million de dollars de leurs propres fonds, avant de dérober 285 millions de dollars en seulement douze minutes.

 Les vecteurs techniques, un dépôt de code malveillant et une fausse application TestFlight, ont été efficaces précisément parce que la confiance nécessaire pour les ouvrir avait déjà été soigneusement établie. 

Pour les protocoles DeFi, la leçon est claire : la surface d’attaque ne se limite pas aux contrats intelligents. Elle englobe chaque appareil de contributeur, chaque dépôt tiers et chaque relation nouée lors d’une conférence sectorielle. UNC4736 l’a démontré à deux reprises, d’abord chez Radiant Capital en octobre 2024, puis chez Drift en avril 2026, en adoptant à chaque fois la même approche patiente et rigoureuse.

Ressources

1. Protocole de dérive sur XPublication du 5er mars

2. PeckShield sur XArticles (1er et 2 avril)

3. Lookonchain sur XArticles (1er et 2 avril)