**Drift Protocol** a confirmé que des attaquants ont dérobé environ 285 millions de dollars sur la plateforme lors d'un incident de sécurité le 1er avril 2026. ### Détails de l'attaque Selon **Drift**, un acteur malveillant a obtenu un accès non autorisé via une nouvelle attaque impliquant des nonces durables, menant à une prise de contrôle rapide des pouvoirs administratifs du Conseil de sécurité. La société a décrit l'opération comme hautement sophistiquée, impliquant plusieurs semaines de préparation et une exécution échelonnée, y compris l'utilisation de comptes de nonce durables pour pré-signer des transactions avec exécution différée. **Drift** a souligné que l'attaque n'a pas exploité de vulnérabilité dans ses programmes ou contrats intelligents, et qu'il n'y a aucune preuve de compromission de phrases secrètes. Au lieu de cela, la brèche a impliqué des approbations de transaction non autorisées ou mal représentées obtenues avant l'exécution, probablement facilitées par des mécanismes de nonce durables et une ingénierie sociale sophistiquée. Les attaquants ont obtenu suffisamment d'approbations multi-signatures (multisig) et ont exécuté un transfert d'administrateur malveillant pour prendre le contrôle des permissions au niveau du protocole. Ce contrôle a ensuite été utilisé pour introduire un actif malveillant et supprimer toutes les limites de retrait prédéfinies, permettant aux attaquants de siphonner les fonds existants. ### Chronologie et enquête La chronologie de **Drift** indique que les préparatifs du piratage ont commencé dès le 23 mars 2026. La société collabore avec plusieurs entreprises de sécurité pour déterminer la cause de l'incident et travaille avec des ponts, des plateformes d'échange et les forces de l'ordre pour tracer et geler les actifs volés. Une analyse de **PIF Research Labs** a révélé que les actifs ont été dérobés en 10 secondes, vidant les principaux coffres-forts en un temps remarquablement court. ### Connexion Nord-Coréenne Des rapports distincts de **Elliptic** et **TRM Labs** suggèrent des indications on-chain que des voleurs de cryptomonnaies nord-coréens pourraient être derrière ce vol. Ces indications incluent l'utilisation de **Tornado Cash** pour la mise en place initiale, ainsi que des schémas de ponts inter-chaînes et la vitesse et l'ampleur du blanchiment post-piratage, cohérentes avec des piratages précédents attribués à des acteurs malveillants nord-coréens, y compris l'exploit de **Bybit** en 2025. **TRM Labs** a souligné que la vulnérabilité critique n'était pas un bug de contrat intelligent, mais une combinaison d'ingénierie sociale visant à faire pré-signer des autorisations cachées aux signataires multisig et une migration du Conseil de sécurité sans délai de verrouillage. L'attaquant a fabriqué un actif fictif – le CarbonVote Token – que les oracles de **Drift** ont traité comme une garantie légitime. L'analyse d'**Elliptic** correspond aux méthodes connues associées aux acteurs malveillants de la République populaire démocratique de Corée (RPDC), notant que cet incident représenterait la dix-huitième action de la RPDC suivie depuis le début de l'année, avec plus de 300 millions de dollars volés à ce jour. Ils soulignent qu'il s'agit d'une continuation de la campagne soutenue de vol à grande échelle d'actifs cryptographiques par la RPDC, liée au financement de ses programmes d'armement, avec plus de 6,5 milliards de dollars d'actifs cryptographiques volés ces dernières années. ### Ingénierie Sociale et Menaces Continues L'ingénierie sociale reste la principale voie d'accès initiale, exploitant des personas persuasifs et des leurres pour cibler les secteurs des cryptomonnaies et du Web3 via des campagnes suivies sous les noms **DangerousPassword** et **Contagious Interview**. Les gains combinés de ces campagnes s'élèvent à 37,5 millions de dollars cette année. **Elliptic** avertit que l'évolution des techniques d'ingénierie sociale de la RPDC, combinée à la disponibilité croissante de l'IA, signifie que la menace s'étend au-delà des plateformes d'échange, ciblant les développeurs individuels, les contributeurs de projets et toute personne ayant accès à l'infrastructure des actifs cryptographiques. Cet incident coïncide également avec le compromis de la chaîne d'approvisionnement du populaire package npm Axios, attribué à un groupe de hackers nord-coréen nommé UNC1069, qui chevauche BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet et Stardust Chollima. Des fournisseurs de sécurité, dont **Google**, **Microsoft**, **CrowdStrike** et **Sophos**, ont lié ce groupe à la génération de revenus pour le régime nord-coréen.