La Corée du Nord a fabriqué un faux jeton pour voler 286 millions de dollars à Drift Protocol, et l'IA rend ces attaques moins coûteuses

Le plus important piratage DeFi de l'année a eu lieu la semaine dernière, le 1er avril, lorsque Drift Protocol, l'un des plus importants DEX du réseau solana , a été victime d'une faille de sécurité qui a entraîné la disparition d'environ 286 millions de dollars. L'attaque a été attribuée à des pirates informatiques liés à la Corée du Nord et s'est déroulée en seulement 10 secondes. Ce qui est étonnant, cependant, c'est la méticulosité de cette opération. Aucun code n'a été compromis et aucuntracintelligent n'était vulnérable. Les enquêtes menées par des sociétés d'analyse forensique de cryptomonnaies comme Elliptic et TRM Labs laissent penser à un piratage beaucoup plus planifié. 

Des pirates nord-coréens ont passé trois semaines à fabriquer un faux jeton appelé CarbonVote, l'initialisant avec quelques milliers de dollars pour lui donner une apparence authentique. Parallèlement, ils ont manipulé deux des cinq signataires du Conseil de sécurité multisignature de Drift afin qu'ils pré-signent des autorisations cachées dont ils ne comprenaient pas pleinement le sens. Ils ont ensuite utilisé une fonctionnalité Solana appelée « nonces durables » pour conserver ces signatures pendant plus d'une semaine, attendant le moment opportun. Une simple transaction, le 1er avril, a suffi. 

Comme l'a souligné Elliptic, cette attaque était le 18e piratage de cryptomonnaies lié à la Corée du Nord cette année, privant le secteur d'environ 300 millions de dollars. Quatre jours après le piratage, le directeur technique de Ledger a publiquement insisté sur la gravité de l'incident et a affirmé que l'IA permettait de réduire à zéro le coût de ce type d'attaques. Cette déclaration est cruciale, car le piratage de Drift illustre parfaitement le fonctionnement actuel de ces opérations. Les attaquants n'avaient besoin ni d'une vulnérabilité zero-day ni d'un cryptographe de haut niveau. Il leur a suffi de patience, d'un faux jeton convaincant et de deux personnes manipulables. Ce piratage a en réalité mis en lumière une vulnérabilité structurelle de DeFi actuelle. DeFi construit une infrastructure valant des milliards de dollars, sécurisée par de petits groupes de personnes facilement dupées, tandis que les adversaires perfectionnent sans cesse leurs techniques de manipulation. 

Comment la Corée du Nord a volé 286 millions de dollars en 10 secondes 

Le piratage du protocole Drift était une exploitation sophistiquée qui a nécessité trois semaines de préparation. Bloomberg a été le premier à signaler la faille le 1er avril, date à laquelle Drift a confirmé le détournement d'environ 286 millions de dollars d'actifs utilisateurs. L'opération a en réalité débuté le 11 mars, lorsque l'attaquant a retiré 10 ETH de Tornado Cash vers 9 h, heure de Pyongyang, et les a utilisés pour déployer le faux jeton CarbonVote (CVT), un actif entièrement fictif doté de quelques milliers de dollars de liquidités et maintenu en vie par des opérations de manipulation de cours. 

Au cours des deux semaines suivantes, entre le 23 et le 30 mars, l'attaquant a ouvert des comptes à nonce durable, une fonctionnalité légitime du Solana permettant de pré-signer des transactions et de les conserverdefisans expiration. Pendant cette période, il a manipulé deux des cinq signataires multisignatures du Conseil de sécurité de Drift afin qu'ils approuvent des transactions d'apparence normale, mais qui, comme TRM Labs , contenaient des autorisations cachées pour un contrôle administratif critique. 

Le coup de grâce a été porté le 27 mars, lorsque Drift a migré son Conseil de sécurité vers une nouvelle configuration de seuil 2/5 sans verrouillage temporel, comme l'a rapporté BlockSec. Cette migration a supprimé le seul délai qui aurait permis d'anticiper la situation. Le 1er avril, le piège était déjà enclenché depuis plusieurs jours. 

Le 1er avril, l'attaquant a utilisé ces approbations pré-signées pour inscrire CarbonVote comme garantie valide, a gonflé sa valeur à plusieurs centaines de millions de dollars grâce à une manipulation des prix de l'oracle et a pris le contrôle de la gouvernance. Dès lors, 31 transactions de retrait ont vidé les coffres de Drift en quelques secondes. La plus grosse partie de ces retraits comprenait à elle seule plus de 155 millions de dollars de jetons JLP, ainsi que des dizaines de millions de dollars en USDC, SOL, ETH et autres jetons de staking liquides. La valeur totale bloquée sur le protocole s'est effondrée instantanément, passant d'environ 550 millions de dollars à moins de 250 millions de dollars. 

La rapidité du piratage n'est qu'un aspect de l'histoire. Un plan détaillé, élaboré sur trois semaines et aboutissant à un piratage en 10 secondes, a démontré à quel point la gouvernance, et non le code, peut facilement devenir le maillon faible de DeFi. 

La guerre crypto de 300 millions de dollars menée par la Corée du Nord en 2026 

Ce piratage, vraisemblablement perpétré par des individus liés à la Corée du Nord, est loin d'être un cas isolé. En réalité, l'analyse des piratages les plus médiatisés de ces dernières années révèle clairementdent s'inscrit dans une campagne étatique bien plus vaste. Rien que cette année, Elliptic a recensé l'exploitation de la faille Drift comme le 18e vol de cryptomonnaies attribué à la RPDC, portant le montant total des fonds détournés à plus de 300 millions de dollars depuis le début de l'année. Si l'on considère les années à venir, l'ampleur de tels piratages menés par un seul pays devient indéniable. L'année dernière, des acteurs liés à la Corée du Nord ont dérobé entre 1,92 milliard de dollars, selon TRM Labs, et Chainalysis . Cela représente une augmentation de 51 % par rapport à l'année précédente et porte le montant total des vols commis par ce groupe à 6,75 milliards de dollars. 

La Corée du Nord a été responsable de 76 % des compromissions de services en 2025, un record, ce qui signifie qu'un seul pays est responsable de l'immense majorité des vols commis dans le secteur. Dans ce contexte, le piratage de Drift, qui représente désormais la deuxième plus importante faille de sécurité au sein de l'écosystème Solana après l'attaque Wormhole de 2022, s'inscrit dans une série d'attaques. 

Ce defice schéma, c'est sa constance. Le piratage de Bybit en février 2025, le plus important vol de cryptomonnaies de l'histoire, présentait des dispositifs quasident, incluant l'ingénierie sociale, l'accès compromis et l'échange coordonné de fonds. TRM Labs note que les opérateurs nord-coréens s'appuient de plus en plus sur des réseaux de « blanchiment d'argent chinois » pour transférer des fonds entre différentes chaînes en quelques heures. 

L'attaque Drift révèle en réalité un système d'équipes soutenues par des États menant des opérations de plusieurs semaines, avec une infrastructure de reconnaissance, de manipulation humaine et de blanchiment d'argent à l'échelle mondiale déjà en place. 

L’IA fait chuter les coûts des attaques à zéro : prévient le directeur technique de Ledger

Quatre jours après la fuite de fonds de Drift, Charles Guillemet, directeur technique de Ledger, a fait une déclaration à CoinDesk qui a complètement changé ladent. « Trouver des vulnérabilités et les exploiter devient extrêmement facile », a-t-il affirmé. « Le coût tend vers zéro. » Guillemet n'a pas nommé Drift, mais il a décrit son fonctionnement précis. L'IA ne se contente pas d'aider les attaquants à trouver plus rapidement les bugs du code ; elle rend l'ingénierie sociale plus convaincante, le phishing plus personnalisé, et le travail préparatoire que les opérateurs nord-coréens ont effectué pendant trois semaines sur Drift est considérablement moins coûteux et plus facilement extensible. Il a également souligné un problème croissant du côté de la défense : à mesure que davantage de développeurs s'appuient sur du code généré par l'IA, les vulnérabilités pourraient se propager plus vite que les examinateurs humains ne peuvent les détecter. « Il n'y a pas de bouton "sécuriser" », a-t-il déclaré. « Nous allons produire beaucoup de code qui sera non sécurisé par conception. » Les piratages et les exploits ont causé 1,4 milliard de dollars de pertes en cryptomonnaies au cours de l'année écoulée, et les prévisions de Guillemet indiquent que la courbe va s'accentuer au lieu de s'aplatir. 

Le piratage de Drift constitue la preuve la plus flagrante de ce principe. Les attaquants n'ont jamais touché au code ; ils ont ciblé les deux personnes détenant les clés. L'IA n'a pas besoin de contourner untracintelligent si elle peut générer un prétexte suffisamment convaincant pour tromper un signataire multisignature et l'amener à approuver une transaction qu'il ne comprend pas pleinement. Guillemet prévoit une scission au sein du secteur : les systèmes critiques tels que les portefeuilles et les protocoles centraux investiront massivement dans la sécurité et s'adapteront, mais une grande partie de l'écosystème logiciel au sens large pourrait avoir du mal à suivre le rythme. Les solutions qu'il recommande – vérification formelle par preuvesmatic, isolation matérielle des clés privées – sont structurellement solides, mais exigent un niveau de discipline institutionnelle que la plupart des protocoles DeFi , y compris Drift, n'ont pas encore intégré. « Lorsqu'un appareil dédié n'est pas exposé à Internet, la sécurité est intrinsèquement meilleure », a-t-il déclaré. Le Conseil de sécurité de Drift ne disposait pas d'une telle marge de sécurité. Deux signatures, aucun verrouillage temporel et un jeton factice ont suffi.

Et ensuite ? La reprise de Drift et la réaction du secteur

L'avenir de Drift Protocol est loin d'être clair et les premiers signaux sèment déjà la discorde au sein du secteur. Immédiatement après l'incident, Anatoly Yakovenko a suggéré une piste de redressement : distribuer gratuitement des jetons aux utilisateurs touchés, à l'instar de la stratégie adoptée par Bitfinex en 2016 suite à son piratage de 72 millions de dollars. 

L'idée est simple : mutualiser les pertes immédiates et rembourser les utilisateurs au fil du temps si le protocole se rétablit. Mais le contexte est tout autre. La TVL de Drift a été réduite de près de moitié, les dépôts et les retraits restent suspendus et, contrairement à Bitfinex, la plateforme ne dispose pas d'un système centralisé de génération de revenus pour garantir ces engagements. Cette situation a immédiatement suscité des réactions négatives : les jetons IOU risquent, dans ce cas précis, de devenir de simples instruments spéculatifs sans perspective claire de remboursement.

Dans le même temps, l'activité sur la blockchain soulève de nouvelles inquiétudes. Onchain Lens a signalé qu'un portefeuille lié à l'équipe Drift a transféré 56,25 millions de jetons DRIFT (environ 2,44 millions de dollars) vers des plateformes d'échange centralisées telles que Bybit et Gate peu après l'exploitation de la faille. Ce type de transfert précède généralement une pression à la vente et a alimenté les spéculations quant à un possible positionnement d'initiés durant une crise de liquidité. 

Entre-temps, les fonds de l'attaquant ont déjà été transférés sur plusieurs blockchains, notamment vers Ethereum, réduisant chaque jour davantage les chances d'une récupération significative. Plus largement, cetdent ne s'arrêtera pas à Drift. Il est probable qu'il accélère l'examen approfondi de la gouvernance DeFi au sein de l'ensemble du secteur, des normes de sécurité multisignatures et des exigences de verrouillage temporel à la conception des oracles et aux contrôles d'exécution. La suite dépend de trois variables : la capacité de Drift à présenter un plan de récupération crédible, la possibilité de tracou de geler une partie des fonds, et la question de savoir si cet incident entraînera enfin une réforme structurelle ou s'il ne s'agira que d'une leçon coûteuse de plus que le secteur oubliera.