**Drift Protocol** rapporte que le récent piratage de plus de 280 millions de dollars est le résultat d'une opération de longue haleine qui a impliqué l'établissement "d'une présence opérationnelle fonctionnelle au sein de l'écosystème **Drift**". Le 1er avril, la plateforme a détecté une activité inhabituelle, confirmant la perte de fonds due à une attaque sophistiquée qui a détourné les pouvoirs administratifs du Conseil de sécurité. Les sociétés d'analyse de blockchain **Elliptic** et **TRM Labs** ont attribué le vol à des pirates nord-coréens, qui auraient vidé les actifs des utilisateurs en environ 12 minutes. L'enquête a révélé que les pirates préparaient l'attaque depuis au moins six mois, se faisant passer pour des représentants d'une société de trading quantitatif. Ils ont approché les contributeurs de **Drift** en personne lors de diverses conférences sur la cryptomonnaie. « On comprend maintenant qu'il semble s'agir d'une approche ciblée, où des individus de ce groupe ont continué à rechercher et à engager délibérément des contributeurs spécifiques de **Drift**, en personne, lors de plusieurs conférences majeures de l'industrie dans plusieurs pays au cours des six mois suivants », a déclaré l'entreprise. Les acteurs de la menace ont communiqué avec leurs cibles via **Telegram**, discutant de stratégies de trading et d'intégrations potentielles de vaults. Ils ont démontré une maîtrise technique et une familiarité avec les opérations de **Drift**, imitant les échanges typiques d'intégration entre les sociétés de trading et la plateforme. Le groupe **Telegram** utilisé pour engager les contributeurs a été supprimé immédiatement après le vol. ### Vecteurs d'attaque **Drift** pense que deux contributeurs ont été compromis par : * Un dépôt de code malveillant partagé avec un contributeur, exploitant potentiellement une vulnérabilité **VSCode**/Cursor qui a permis une exécution silencieuse du code. * Une application **TestFlight** malveillante présentée comme un produit de portefeuille. ### Attribution Les enquêtes menées par **Elliptic** et **TRM Labs** suggèrent fortement l'implication d'un acteur de la menace nord-coréen. Les conclusions de **Drift** indiquent également avec une confiance moyenne à élevée que l'attaque a été perpétrée par **UNC4736** (alias **AppleJeus** et **Labyrinth Chollima**), un acteur de la menace précédemment lié à la Corée du Nord par plusieurs sociétés de sécurité. **Mandiant** a associé **UNC4736** à **Lazarus**. Ce même groupe est soupçonné d'être responsable de l'attaque de la chaîne d'approvisionnement **3CX** en 2023, du vol de cryptomonnaie **Radiant** de 50 millions de dollars en 2024, et de l'exploitation de zero-days de **Chrome**. Notamment, les individus qui ont rencontré les contributeurs de **Drift** lors des conférences étaient des intermédiaires non coréens. ### Statut actuel Toutes les fonctions de **Drift Protocol** sont actuellement gelées, et les portefeuilles compromis ont été retirés du processus multisig. **Drift** a signalé les portefeuilles des attaquants sur les exchanges et auprès des opérateurs de ponts pour empêcher le mouvement ou le retrait des fonds volés.