La Corée du Nord s'attaque à la finance décentralisée (DeFi) avec 577 millions de dollars : Drift et Kelp piratés en 18 jours

Des hackers affiliés à l'État nord-coréen ont exécuté deux des plus importants exploits de la finance décentralisée de l'histoire en un seul mois, drainant un montant combiné de plus de 577 millions de dollars de Drift Protocol et Kelp DAO. Les sociétés d'analyse de blockchain, les fournisseurs d'infrastructures cross-chain et les chercheurs indépendants en sécurité ont attribué les deux attaques — avec divers degrés de certitude — à des unités de piratage opérant sous l'appareil d'État nord-coréen, marquant ce que les analystes décrivent comme une campagne coordonnée et croissante contre l'infrastructure DeFi.

L'exploit de Drift Protocol : Une infiltration de six mois

Le 1er avril 2026, des attaquants ont drainé environ 285 millions de dollars de Drift Protocol — la plus grande plateforme d'échange de contrats à terme perpétuels décentralisée sur Solana — dans ce qui est devenu le plus gros piratage DeFi de l'année à ce jour et le deuxième plus grand exploit de l'histoire de Solana, juste derrière le piratage du pont Wormhole de 326 millions de dollars en 2022.
Le rapport post-mortem de Drift a décrit l'attaque comme le résultat d'une "préparation de six mois", l'attribuant avec une confiance modérée à UNC4736, un acteur malveillant parrainé par l'État nord-coréen également suivi sous les noms de AppleJeus, Citrine Sleet et Gleaming Pisces — un groupe ayant un historique documenté de ciblage du secteur des crypto-monnaies depuis au moins 2018.
Le vecteur d'attaque n'était pas un bug de smart contract. Il combinait plutôt l'ingénierie sociale, la manipulation de la gouvernance et un faux jeton conçu sur mesure :

• Entre décembre 2025 et janvier 2026, des agents se faisant passer pour une société de trading quantitatif ont intégré un "Ecosystem Vault" sur Drift, soumis une documentation de stratégie et déposé plus d'un million de dollars de leur propre capital pour asseoir leur crédibilité.
• L'attaquant a fabriqué un jeton fictif nommé CarbonVote (CVT), alimenté par une liquidité minimale et un faux volume de transactions, puis a manipulé les oracles de Drift pour qu'ils le traitent comme un collatéral valide.
• Entre le 23 et le 30 mars, l'attaquant a obtenu les approbations multisig 2-sur-5 des membres du Conseil de Sécurité de Drift en les trompant pour qu'ils pré-signent des transactions malveillantes utilisant la fonction "durable nonce" de Solana, ce qui a permis aux autorisations de rester dormantes jusqu'au jour de l'exécution.
• Lorsqu'ils ont été déclenchés le 1er avril, les coffres ont été vidés en environ 12 minutes, la plupart des fonds volés étant transférés vers Ethereum via des ponts en quelques heures.
• Le jeton DRIFT a chuté de plus de 40 % suite à l'exploit, et la valeur totale verrouillée (TVL) du protocole s'est effondrée, passant d'environ 550 millions de dollars à moins de 250 millions de dollars. Une douzaine de protocoles Solana ayant des dépendances avec Drift ont suspendu leurs opérations.

L'exploit de Kelp DAO : Empoisonnement d'infrastructure à grande échelle

Le 18 avril, Kelp DAO — un protocole de liquid restaking acheminant l'ETH des utilisateurs via EigenLayer — a été victime d'un exploit de 292 millions de dollars, confirmé comme étant l'œuvre du groupe Lazarus soutenu par l'État nord-coréen, spécifiquement sa sous-unité TraderTraitor. Cela a surpassé Drift pour devenir le plus grand exploit DeFi unique de 2026.
Les attaquants ont compromis deux nœuds RPC sur lesquels le vérificateur de LayerZero s'appuyait pour confirmer les transactions cross-chain, remplaçant le logiciel des nœuds par des versions malveillantes rapportant de fausses données. Ils ont ensuite lancé une attaque par déni de service distribué (DDoS) contre les nœuds honnêtes restants, forçant un basculement vers les points de terminaison compromis — trompant ainsi le vérificateur de LayerZero pour qu'il approuve une transaction cross-chain frauduleuse et libère 116 500 rsETH aux attaquants.
LayerZero a attribué la brèche en partie à la configuration de sécurité propre à Kelp : le protocole utilisait une configuration de vérificateur 1-sur-1, signifiant que LayerZero Labs était la seule entité vérifiant les messages vers et depuis le pont rsETH — une configuration contre laquelle LayerZero affirme avoir précédemment mis en garde.
La contagion s'est propagée rapidement dans le secteur DeFi :

• L'exploit du 18 avril a déclenché une sortie de 10 milliards de dollars d'Aave suite aux inquiétudes concernant une potentielle dette irrécouvrable.
• La valeur totale verrouillée sur l'ensemble de la DeFi a chuté d'environ 7 % dans les 24 heures suivant l'attaque, passant d'environ 99,5 milliards de dollars à 86,3 milliards de dollars.
• Plusieurs équipes DeFi, dont Ethena, ether.fi, Tron DAO et Curve Finance, ont suspendu leurs ponts de jetons fongibles omnichain LayerZero en réponse.

Une menace changeante et croissante

La même unité nord-coréenne a désormais drainé plus de 577 millions de dollars de la DeFi en 18 jours via deux vecteurs d'attaque structurellement différents : l'ingénierie sociale des signataires de gouvernance chez Drift, et l'empoisonnement des RPC d'infrastructure chez Kelp.
Les analystes notent que l'exploit de Kelp signale que le groupe Lazarus de Corée du Nord évolue au-delà des piratages isolés, changeant rapidement de tactique, passant de l'ingénierie sociale à l'exploitation des faiblesses structurelles de l'infrastructure crypto — suggérant une campagne soutenue et pilotée par l'État plutôt que des incidents ponctuels.
Si l'attribution à la RPDC se confirme pour les deux incidents, cela porterait le total des vols de crypto confirmés du régime pour 2026 à plus de 600 millions de dollars, des revenus que le gouvernement américain a précédemment liés aux programmes d'armement de Pyongyang.
LayerZero a depuis annoncé qu'il ne signerait plus de messages pour tout projet opérant une configuration de vérificateur 1-sur-1 et accélère les migrations vers des configurations multi-DVN. Les chercheurs en sécurité et les développeurs de protocoles exhortent l'industrie DeFi au sens large à traiter les délais de gouvernance (timelocks), la défense en profondeur des oracles et la redondance de la vérification cross-chain comme des exigences de base non négociables — et non comme des configurations optionnelles.

Publié par Coinplurk.com