Le Hack du Drift Protocol
Le co-fondateur de Solana, Anatoly Yakovenko, a qualifié le récent hack du Drift Protocol de « terrifiant » après qu’il a été révélé qu’il s’agissait d’une attaque sophistiquée d’ingénierie sociale orchestrée par des hackers nord-coréens. Comme rapporté par U.Today, le Drift Protocol a récemment été dépouillé de 270 millions de dollars, ce qui constitue le plus grand hack de Solana à ce jour au sein de son écosystème. En conséquence, le protocole a été contraint de suspendre tous les dépôts et retraits, avertissant explicitement les utilisateurs que cet incident n’était pas une blague du poisson d’avril.
Les Détails de l’Attaque
Le rapport récemment partagé par le Drift Protocol a révélé que les acteurs malveillants derrière ce hack historique avaient physiquement traqué et manipulé socialement les développeurs dans la vie réelle, nécessitant une patience et des ressources alarmantes. L’opération est fortement soupçonnée d’être l’œuvre d’un groupe de menaces affilié à l’État nord-coréen. À partir de la fin de 2025, des intermédiaires tiers (qui n’étaient pas des ressortissants nord-coréens) ont approché physiquement les contributeurs de Drift lors de grandes conférences sur la cryptomonnaie.
Les attaquants, se vantant de parcours professionnels vérifiables et d’une maîtrise technique, se faisaient passer pour une société de trading quantitatif cherchant à s’intégrer au protocole. Cette fausse société de trading a intégré un Ecosystem Vault sur Drift entre décembre 2025 et janvier 2026, y déposant plus d’un million de dollars de son propre capital. Les attaquants ont réussi à maintenir cette illusion pendant six mois, travaillant en étroite collaboration avec les contributeurs de Drift à travers plusieurs sessions de travail et les rencontrant en face à face lors de diverses conférences internationales jusqu’en février et mars 2026.
La Confiance Établie
En avril, les attaquants avaient réussi à établir une relation commerciale de confiance. Les contributeurs de Drift ne soupçonnaient aucune malversation lorsque le groupe a partagé des liens vers des projets qu’ils prétendaient être en train de construire. Un contributeur a cloné un dépôt de code partagé par les attaquants, qui contenait probablement une vulnérabilité connue affectant les éditeurs de texte VSCode et Cursor. Un deuxième contributeur a été convaincu de télécharger une fausse application TestFlight.
Après l’exploitation réussie, les attaquants ont effacé toutes leurs discussions sur Telegram et ont supprimé le logiciel malveillant.
