Des pirates nord-coréens ont volé 500 millions de dollars en un seul mois, devenant ainsi la principale menace pour la sécurité des cryptomonnaies.
TechFlow SélectionTechFlow Sélection
Des pirates nord-coréens ont volé 500 millions de dollars en un seul mois, devenant ainsi la principale menace pour la sécurité des cryptomonnaies.
Drift Protocol et KelpDAO ont été victimes d’une attaque, entraînant des pertes respectives d’environ 286 millions de dollars et 290 millions de dollars ; l’attaquant a ciblé les infrastructures périphériques des protocoles.
Dédié à des analyses Web3 approfondiesRédaction : Oluwapelumi Adejumo
Traduction : Chopper, Foresight News
En moins de trois semaines, des groupes de pirates informatiques liés à la Corée du Nord ont dérobé plus de 500 millions de dollars américains sur des plateformes DeFi cryptographiques. Leur vecteur d’attaque s’est déplacé des contrats intelligents centraux vers des vulnérabilités situées en périphérie de l’infrastructure.
Attaques contre Drift et KelpDAO
Les deux attaques majeures menées contre Drift Protocol et KelpDAO ont fait dépasser aux pirates nord-coréens le seuil de 700 millions de dollars américains de gains illégaux issus de crypto-monnaies cette année. Ces pertes colossales révèlent une évolution tactique marquée : les attaquants recourent de plus en plus fréquemment à des vulnérabilités complexes et à des infiltrations profondes par des agents humains afin de contourner les dispositifs de sécurité standards.
Le 20 avril, le fournisseur d’infrastructures interchaînes LayerZero a confirmé qu’une attaque avait frappé KelpDAO le 18 avril, entraînant une perte d’environ 290 millions de dollars américains — ce qui constitue, à ce jour, le plus important vol unique de crypto-monnaies de l’année 2026. L’entreprise a indiqué que les premières analyses forensiques pointaient directement vers TraderTraitor, une unité spécialisée au sein du notoire groupe Lazarus, lui-même affilié à la Corée du Nord.
Quelques semaines plus tôt, le 1er avril, la bourse décentralisée de contrats perpétuels basée sur Solana, Drift Protocol, a été victime d’un vol d’environ 286 millions de dollars américains. La société d’intelligence blockchain Elliptic a rapidement établi un lien entre les techniques de blanchiment observées sur la chaîne, les séquences de transactions et les signatures réseau, et les schémas d’attaques connus attribués à la Corée du Nord, identifiant cet incident comme le dix-huitième du genre détecté cette année.
Une évolution des méthodes d’attaque : ciblage des périphéries de l’infrastructure
Les attaques menées en avril illustrent une sophistication croissante des cyberattaques nord-coréennes contre les protocoles DeFi. Plutôt que de s’attaquer frontalement aux contrats intelligents centraux, les pirates cherchent désormais à identifier et exploiter des vulnérabilités structurelles situées en périphérie.
Dans le cas de l’attaque contre KelpDAO, les pirates se sont emparés de l’infrastructure RPC (Remote Procedure Call) utilisée par le réseau de vérification décentralisé (DVN) de LayerZero Labs. En falsifiant ces canaux critiques de transfert de données, les attaquants ont pu manipuler le fonctionnement du protocole sans compromettre sa cryptographie sous-jacente. Bien que LayerZero ait désactivé les nœuds affectés et restauré intégralement son DVN, les pertes financières sont irrémédiables.
Cette approche indirecte révèle une évolution inquiétante de la guerre numérique. La société de sécurité blockchain Cyvers a déclaré à CryptoSlate que les acteurs d’attaques liés à la Corée du Nord gagnent en expertise et consacrent davantage de ressources à la préparation et à l’exécution de leurs opérations.
Elle ajoute : « Nous constatons également qu’ils parviennent systématiquement à identifier le maillon le plus faible. Cette fois-ci, la faille résidait dans un composant tiers, et non dans l’infrastructure centrale du protocole. »
Cette stratégie rappelle fortement les activités d’espionnage cybernétique classiques menées contre les entreprises, ce qui signifie que les attaques liées à la Corée du Nord deviennent de plus en plus difficiles à prévenir. Des incidents récents, tels que l’infiltration de la bibliothèque npm Axios — largement utilisée — par un groupe de menace spécifique nord-coréen identifié sous le nom de code UNC1069, rapportée par un chercheur de Google, montrent que les attaquants sabotent désormais les logiciels avant même qu’ils n’intègrent l’écosystème blockchain.
Pénétration nord-coréenne du personnel mondial du secteur crypto
Outre ces avancées techniques, la Corée du Nord mène actuellement une infiltration massive et organisée du marché mondial du travail crypto.
Le modèle de menace a radicalement évolué : il ne repose plus uniquement sur des actions de piratage à distance, mais consiste désormais à placer directement des agents malveillants au sein de jeunes entreprises Web3 totalement dépourvues de méfiance.
Le projet Ketman, lancé dans le cadre du programme de sécurité ETH Rangers de la Fondation Ethereum, a mené pendant six mois une enquête approfondie aboutissant à une conclusion stupéfiante : environ 100 agents cybernétiques nord-coréens seraient actuellement infiltrés au sein de plusieurs sociétés blockchain. Usant d’identités factices, ils passent aisément les processus de recrutement standards, obtiennent des accès privilégiés aux dépôts internes de code sensible, et restent discrètement intégrés aux équipes produit pendant plusieurs mois, voire plusieurs années, avant de lancer des attaques ciblées.
L’enquêteur indépendant spécialisé dans la blockchain ZachXBT a par ailleurs confirmé l’existence de ce type d’infiltration à la manière d’un service de renseignement. Il a récemment exposé un réseau cybernétique nord-coréen spécialisé, qui emploie frauduleusement des personnes à distance et génère ainsi environ un million de dollars américains par mois.
Ce dispositif permet de transférer des crypto-monnaies en monnaie fiduciaire via des canaux financiers mondiaux reconnus ; depuis la fin de l’année 2025, il a traité plus de 3,5 millions de dollars américains.
Selon des professionnels du secteur, les effectifs IT déployés par la Corée du Nord génèrent mensuellement des revenus s’élevant à plusieurs millions de dollars américains. Cela procure à la Corée du Nord un double flux de revenus : des salaires réguliers, combinés à des vols massifs de protocoles facilités par des complices internes.
Un total de 6,75 milliards de dollars volés
L’ampleur des opérations nord-coréennes dans le domaine des actifs numériques dépasse largement celle de tout autre groupe criminel cybernétique traditionnel. Selon la société d’analyse blockchain Chainalysis, les pirates liés à la Corée du Nord ont dérobé, rien qu’en 2025, un montant record de 2 milliards de dollars américains — soit 60 % du total mondial des vols de crypto-monnaies cette année-là.
Compte tenu de l’intensité des attaques menées cette année, le montant cumulé des actifs cryptographiques volés par la Corée du Nord depuis le début de ses activités atteint désormais 6,75 milliards de dollars américains.
Une fois les fonds acquis, le groupe Lazarus adopte des modèles de blanchiment très spécifiques et géographiquement ciblés : contrairement aux cybercriminels ordinaires qui utilisent fréquemment des DEX ou des protocoles de prêt pair-à-pair, les pirates nord-coréens évitent délibérément ces canaux. Les données en chaîne montrent qu’ils comptent fortement sur des services chinois de transactions garanties, des réseaux de courtage hors-bilan très développés, ainsi que des services complexes de mélange interchaînes. Cette préférence reflète des contraintes structurelles et géographiques limitant leurs possibilités de conversion, plutôt qu’un accès illimité au système financier mondial.
Peut-on les prévenir ?
Les chercheurs en sécurité et les dirigeants du secteur estiment qu’une prévention est possible, mais que les entreprises crypto doivent impérativement remédier aux mêmes faiblesses opérationnelles récurrentes mises à nu par ces attaques répétées.
Terence Kwok, fondateur de Humanity, a déclaré à CryptoSlate que les attaques liées à la Corée du Nord ciblent encore des vulnérabilités courantes, et non des formes entièrement nouvelles d’intrusion réseau. Selon lui, si les capacités d’infiltration et de transfert des fonds volés progressent, les causes profondes demeurent une gestion défaillante des accès et des risques liés à une architecture centralisée.
Il explique : « Ce qui est frappant, c’est que les pertes continuent d’être imputables à des problèmes anciens comme les contrôles d’accès insuffisants ou les points de défaillance uniques. Cela prouve que le secteur n’a toujours pas réglé les questions fondamentales de discipline en matière de sécurité. »
À partir de là, Kwok souligne que la première ligne de défense du secteur consiste à rendre considérablement plus difficile la réalisation de transferts d’actifs : cela implique un contrôle beaucoup plus strict des clés privées, des autorisations internes et des accès accordés aux tiers. Concrètement, les entreprises doivent réduire leur dépendance aux opérateurs individuels, limiter les privilèges d’accès, renforcer la sécurité de leurs fournisseurs, et ajouter davantage de contrôles sur l’infrastructure située entre les protocoles centraux et le monde extérieur.
La deuxième ligne de défense est la rapidité. Une fois que les fonds volés traversent une chaîne ou un pont, ou entrent dans un réseau de blanchiment, les chances de les récupérer chutent drastiquement. Kwok affirme que les bourses, les émetteurs de stablecoins, les sociétés d’analyse blockchain et les forces de l’ordre doivent coordonner leurs actions de façon quasi instantanée — dans les premières minutes ou heures suivant l’attaque — pour augmenter significativement les probabilités d’interception des fonds.
Ses propos mettent en lumière une réalité du secteur : la vulnérabilité la plus critique des systèmes crypto réside souvent précisément à l’intersection du code, des personnes et des opérations. Un seul certificat compromis, une seule dépendance fragile vis-à-vis d’un fournisseur, une seule faille d’autorisation négligée peuvent suffire à provoquer des pertes de plusieurs centaines de millions de dollars.
Le défi auquel est confronté le secteur DeFi ne se limite plus à l’écriture de contrats intelligents robustes : il consiste désormais à assurer la sécurité opérationnelle des périmètres externes des protocoles, avant que les attaquants n’exploitent le prochain maillon faible.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@CryptoSlate
