Rapport 2026 sur les piratages crypto en Corée du Nord : Pourquoi les failles de sécurité de Drift Protocol et KelpDAO ont-elles été à l’origine de 76 % des pertes ?

Principaux plats à emporter:

• Les acteurs nord-coréens privilégient désormais les frappes chirurgicales à fort impact sur les ponts et la gouvernance, ce qui devrait entraîner 76 % des pertes mondiales liées au piratage de cryptomonnaies début 2026. 
• Des sous-groupes comme TraderTraitor fusionnent l'ingénierie sociale avec le sabotage d'infrastructures, comme en témoignent les exploits de Drift et KelpDAO d'une valeur de 577 millions de dollars.
• Pour contrer ces menaces de précision, il est nécessaire de passer des listes noires statiques à la vérification des antécédents et à l'analyse en temps réel afin de détecter les opérations de préparation et de bloquer les points de sortie avant que les fonds ne disparaissent.

L'industrie des actifs numériques a pris conscience d'une réalité effrayante en 2026 : la cyberguerre menée par des États est passée d'un bruit de fond persistant à la principale cause des pertes mondiales en cryptomonnaies. 

Des découvertes récentes de Laboratoires TRM Cela a mis en lumière une tendance alarmante. Au cours des quatre premiers mois de 2026 seulement, des groupes de pirates informatiques nord-coréens ont été responsables de 76% de tous piratage de crypto-monnaie pertes à l'échelle mondialeBien que le nombre total d'incidents demeure faible, leur précision et leur ampleur sont sans précédent, le nombre cumulé de vols depuis 2017 dépassant désormais le 6 milliards de dollars marque.

Le nouveau guide : la précision plutôt que la fréquence

Pendant des années, le discours sur les piratages informatiques nord-coréens s'est concentré sur leur volume. Aujourd'hui, les données révèlent une évolution tactique. Plutôt que de ratisser large, les groupes d'élite mènent quelques opérations chirurgicales à fort impact. 

En avril 2026, seulement deux incidents — le Protocole de dérive l'attaque et l' VarechDAO exploit—compté 577 millions de dollars Ces deux événements, bien que représentant seulement 3 % du total des piratages de l'année, ont été responsables de plus des trois quarts des pertes totales. Cette évolution témoigne d'une tendance vers des cibles plus complexes : les ponts inter-chaînes et les systèmes de gouvernance multisignatures.

Le braquage du protocole Drift : une leçon magistrale d’ingénierie sociale

Le vol de 285 millions de dollars chez Drift Protocol était une leçon magistrale en infiltration au niveau de l'entreprise. 

L'infiltration : l'élément humain 

Pendant des mois, des individus se faisant passer pour des développeurs légitimes et des partenaires institutionnels ont tissé des liens avec l'équipe Drift. Ces intermédiaires, techniquement compétents et très professionnels, ont pu s'intégrer pleinement au sein du protocole. Au moment où l'attaque technique a débuté, les attaquants avaient déjà gagné la confiance de ceux-là mêmes qui étaient censés protéger le système.

Phase 1 : Création de l’actif fantôme (11 mars) 

La mise en place numérique a officiellement débuté le 11 mars. À 9 h 00 précises, heure de Pyongyang, les attaquants ont transféré 10 ETH de Tornado Cash pour financer leur infrastructure. Leur première action a consisté à créer un actif fictif appelé Jeton CarbonVote (CVT).

Pour un observateur extérieur, CVT semblait être un projet en pleine expansion. Les pirates ont injecté quelques milliers de dollars dans des pools de liquidités sur Raydium et utilisé des robots de trading fictifs pour créer un historique de volumes falsifié. Ils ont passé des semaines à fabriquer un « prix de marché » d'environ 1.00 $. Les oracles de prix de Drift, non préparés à la manipulation d'un actif sans aucune utilité réelle, ont détecté cette manipulation et ont commencé à considérer CVT comme une garantie légitime.

Phase 2 : Le piège du « pédophile durable » (23-30 mars) 

Les attaquants se sont concentrés sur une fonctionnalité de Solana appelée nonces durablesEn général, une transaction Solana expire au bout de 90 secondes environ. Un nonce durable permet de pré-signer une transaction et de la conserver indéfiniment en vue de sa diffusion ultérieure. Forts de leur influence, les attaquants ont incité les membres du Conseil de sécurité de Drift à pré-signer ce qui semblait être des transactions administratives de routine. En réalité, il s'agissait de « chèques en blanc ». Grâce à l'utilisation de nonces durables, les attaquants ont pu conserver ces autorisations en toute impunité.

Phase 3 : Le changement de configuration fatal (27 mars) 

Le 27 mars, Drift a pris une décision stratégique qui a transformé un risque en catastrophe. Le protocole a fait migrer son Conseil de sécurité vers une nouvelle configuration de seuil de 2/5 et a fixé le temporisateur à zéroDans la plupart des protocoles DeFi, un « verrouillage temporel » sert de période de latence, permettant à la communauté d'examiner et de bloquer une action. En le supprimant, Drift a éliminé la seule fenêtre d'opportunité dont elle disposait pour détecter une transaction frauduleuse avant qu'elle ne soit finalisée.

Phase 4 : L'exécution en 12 minutes (1er avril) 

Le 1er avril, les assaillants ont agi avec une rapidité terrifiante :

1. Le dépôt : Ils ont déposé des centaines de millions de jetons CVT « sans valeur » dans Drift.
2. La manipulation : Parce que les oracles estimaient que le CVT valait 1.00 $, le système a connu un afflux massif de garanties.
3. Le drain : En utilisant les « chèques en blanc » préautorisés de mars, ils ont immédiatement relevé les limites de retrait.

En seulement 12 minutesIls ont effectué 31 retraits pré-signés, empruntant des actifs réels comme l'USDC et le JLP contre de fausses garanties. Les fonds ont été transférés sur Ethereum avant que l'équipe Drift ne puisse réagir.

L'exploit KelpDAO : sabotage de l'infrastructure du pont

Alors que le piratage de Drift reposait sur l'ingénierie sociale, le 292 millions de dollars L'exploit de KelpDAO était une attaque technique contre le infrastructure de plomberie inter-chaînes.

La vulnérabilité : la faiblesse du vérificateur unique 

KelpDAO a utilisé un pont LayerZero pour son jeton rsETH. Afin de réduire les coûts et la complexité, ce pont a été configuré selon un modèle à « vérificateur unique ». Ainsi, l'ensemble du système reposait sur une seule source de vérité : le réseau de vérification décentralisé (DVN) de LayerZero Labs, pour confirmer les transferts et les destructions d'actifs. Aucune autre vérification n'était possible.

Le piège : empoisonner le puits 

Les attaquants ont identifié et compromis deux nœuds RPC internes de KelpDAO. Les nœuds RPC sont en quelque sorte les « oreilles » d'une application blockchain : ils informent le logiciel de l'activité du réseau. Une fois à l'intérieur du système, les pirates ont remplacé le logiciel des nœuds par une version « empoisonnée ». Cette version était programmée pour mentir, signalant par exemple la destruction de rsETH sur la chaîne source alors qu'aucune transaction de ce type n'avait eu lieu.

L'exécution : l'attaque DDoS et le basculement (18 avril) 

Le 18 avril, les attaquants ont lancé une attaque par déni de service distribué (DDoS) massive contre les nœuds RPC externes opérationnels auxquels le pont était habituellement connecté. Lorsque ces nœuds sont devenus inactifs, le vérificateur du pont a appliqué son protocole de sécurité : il a basculé vers les seuls nœuds encore opérationnels, à savoir les nœuds internes compromis.

Les nœuds infectés ont transmis un récit mensonger au vérificateur. Ce dernier, voyant une « preuve » provenant de sa seule source disponible, a confirmé le message frauduleux échangé entre les chaînes. Cela a permis aux attaquants de vider la réserve. 116 500 rsETH à partir du contrat de pont Ethereum.

La Ruée : Une Évasion Désordonnée 

Contrairement aux assaillants calmes de Drift, le groupe KelpDAO – identifié comme le CommerçantTraître Ce sous-groupe a commis des erreurs. Ils ont laissé 75 millions de dollars en ETH sur Arbitrum, une plateforme de couche 2 centralisée. Cela a donné au Conseil de sécurité d'Arbitrum le temps nécessaire pour exercer ses pouvoirs d'urgence et geler les fonds.

Le gel a déclenché une véritable ruée. Les pirates informatiques ont transféré frénétiquement les 175 millions de dollars restants. THORChainL'échange d'ETH contre du Bitcoin s'effectuait le plus rapidement possible. Cette phase était principalement gérée par des intermédiaires chinois, révélant un réseau de blanchiment fragmenté mais efficace.

Le rôle crucial de KYT et de l'analyse de la blockchain

Ces attaques représentent un défi fondamental pour l'intégrité de l'écosystème crypto de 2026. Les listes noires statiques ne suffisent plus lorsque des acteurs étatiques peuvent attendre des mois pour transférer des actifs volés. C'est là que… Connaissez votre transaction (KYT) et Avancée analyse de la blockchain deviennent des mécanismes de défense essentiels.

• Alerte en temps réel : Les réseaux d'alerte permettent des notifications instantanées et multiplateformes. Lorsqu'une adresse liée à la Corée du Nord est identifiée, les institutions sont averties en quelques minutes, et non en quelques jours, ce qui peut empêcher un retrait avant qu'il ne soit validé.
• Attribution multi-sauts : Le simple contrôle de « première étape » est facilement contourné. Les outils d'analyse modernes suivent les fonds à travers des dizaines de portefeuilles intermédiaires et de multiples plateformes, identifiant ainsi la véritable source de la richesse.
• Surveillance de l'hygiène des ponts : Comme l'a démontré l'attaque Drift, la vulnérabilité résidait dans la gouvernance et la configuration multisignature. Les outils d'analyse permettent désormais aux entreprises de surveiller l'état et le comportement des protocoles avec lesquels elles interagissent, en signalant les transactions pré-signées suspectes ou les modifications des paramètres de verrouillage temporel.

Sécurisez votre infrastructure avec ChainUp KYT

Le secteur ne peut pas se reposer uniquement sur la permanence de la sécurité de la blockchain. Face à des pirates informatiques de plus en plus patients et sophistiqués, les outils de défense doivent devenir plus proactifs.

ChainUp KYT Nous assurons une surveillance de niveau institutionnel indispensable pour faire face aux menaces de 2026. Notre solution va au-delà du simple blocage et propose :

• Surveillance des transactions en temps réel : Détecter et signaler les flux suspects dès leur apparition dans la chaîne, permettant une intervention immédiate avant que les retraits ne soient validés.
• Traçage multi-sauts avancé : Dépasser les intermédiaires et les portefeuilles tiers pour identifier les fonds provenant de réseaux nord-coréens et exploiter les failles de sécurité.
• Alertes de gouvernance des protocoles : Surveillez l'état des protocoles et des ponts DeFi avec lesquels vous interagissez, et recevez des alertes en cas de modifications de configuration risquées ou d'activité multisignature inhabituelle.
• Intégration transparente de la conformité : Conçu pour les opérateurs de bourse et les acteurs institutionnels qui ont besoin de données cliniques précises pour répondre aux normes réglementaires mondiales.

N’attendez pas la prochaine perte de 12 minutes pour vous rendre compte que vos défenses sont obsolètes. Réservez une démonstration avec ChainUp dès aujourd'hui pour découvrir comment nos solutions KYT peuvent renforcer votre infrastructure contre les menaces les plus sophistiquées du secteur.