Les hackers nord-coréens ont volé 577 millions de dollars en 4 mois
Drift et KelpDAO : comment Pyongyang a révolutionné le hacking crypto avec des méthodes d'infiltration jamais vues
Quick Look
- En seulement 4 mois en 2026, les hackers nord-coréens ont dérobé 577 millions de dollars, soit 76 % des pertes liées aux hacks crypto.
- Les attaques contre Drift (285 M$) et KelpDAO (292 M$) ont mobilisé des mois de préparation incluant des rencontres physiques avec des employés des protocoles.
- Les fonds ont été blanchis via Ethereum et THORChain, provoquant une sortie de 13 milliards des plateformes de prêt en 48 heures.
AI-generated summary
Why It Matters
Les hackers nord-coréens du groupe Lazarus (alias TraderTraitor) sont devenus les auteurs principaux des vols de cryptomonnaies en 2026. Leurs méthodes combinent infiltration sociale (rencontres physiques avec des employés) et exploitation de vulnérabilités techniques dans les protocoles DeFi. Le contexte géopolitique voit la Corée du Nord utiliser ces fonds pour financer son programme nucléaire.
En seulement 4 mois, les hackers nord-coréens ont dérobé 577 millions de dollars, soit 76 % des pertes liées aux hacks crypto en 2026. À travers les attaques de Drift et KelpDAO, le régime de Pyongyang impose désormais une méthode que peu de protocoles savent contrer.
Drift : 6 mois d'infiltration pour 12 minutes d'exécution
Le 1er avril 2026, Drift Protocol a perdu 285 millions de dollars en l'espace de 12 minutes. L'opération a mobilisé des mois de préparation, incluant des rencontres physiques entre des agents nord-coréens et des employés du protocole. Manipulés au cours de ces échanges, les membres du conseil de sécurité ont approuvé des transactions d'apparence banale. L'opération s'appuyait sur les durable nonces de Solana : une feature qui permet de pré-signer une transaction pour différer son exécution. Quelques jours avant l'attaque, Drift avait migré son conseil de sécurité vers une configuration sans délai de verrouillage (timelock), une modification que les attaquants ont immédiatement exploitée pour exécuter leurs retraits pré-signés le jour du braquage.
KelpDAO : une faille à 292 millions de dollars déjà documentée
Le 18 avril, KelpDAO a subi un assaut de 292 millions de dollars. Le protocole reposait sur un bridge avec un vérificateur unique, une configuration dont LayerZero avait pourtant souligné la vulnérabilité. L'enquête a révélé que les hackers ont compromis les serveurs internes et lancé une attaque par déni de service (DDoS) sur les serveurs externes pour forcer le système à valider de fausses données de retrait. La panique qui a suivi a provoqué la sortie de 13 milliards de dollars des plateformes de prêt en 48 heures, dont 8,54 milliards pour le géant Aave, laissant ce dernier avec une bad debt de 200 millions de dollars.
Sur la piste du blanchiment d'argent
Les données on-chain montrent 2 méthodes de blanchiment distinctes. Les 285 millions dérobés sur Drift ont été convertis en Ethereum et n'ont pas bougé depuis le 1er avril, signature de l'unité nord-coréenne DPRK, qui conserve ses actifs plusieurs mois à plusieurs années avant toute liquidation. À l'inverse, pour KelpDAO, la cellule TraderTraitor (associée à Lazarus) a immédiatement utilisé THORChain pour transformer les 292 millions en Bitcoin. Ce protocole décentralisé est devenu le point de sortie privilégié des opérateurs de Pyongyang car il ne permet pas de geler les transferts liés à des activités illicites. Le conseil de sécurité d'Arbitrum a toutefois réussi à exercer des pouvoirs d'urgence pour geler 75 millions de dollars avant leur transfert. Cette intervention reste une exception dans un paysage où les hackers utilisent désormais l'intelligence artificielle pour leurs phases de reconnaissance.
Face à des acteurs qui investissent 6 mois en préparation technique et sociale, l'insouciance des investisseurs particuliers devient ce que les hackers exploitent en priorité. La protection du patrimoine impose désormais d'écarter les protocoles complexes dont les points de défaillance sont invisibles pour privilégier des stratégies auditées et documentées. Auditer un protocole exige du temps et des compétences que la majorité des particuliers n'ont pas. Même avec ce bagage technique, identifier une infiltration humaine de 6 mois est hors de portée d'un investisseur seul. C'est sur cette asymétrie que le Club 25% construit sa grille de sélection : sélectionner, auditer, comprendre, diversifier et surveiller les risques avant de regarder l'APY.
Open Questions
- Comment les hackers ont-ils identifié et approché les employés de Drift ?
- Combien de temps faudra-t-il pour récupérer les fonds volés ?
- D'autres protocoles sont-ils actuellement infiltrés ?






