Des hackers nord-coréens infiltrent plus de 40 protocoles DeFi et dérobent 7 milliards de dollars

Un analyste en cybersécurité a révélé que des agents informatiques nord-coréens ont réussi à infiltrer plus de 40 protocoles de finance décentralisée (DeFi) au cours des sept dernières années, s'insérant dans des projets remontant à l'« été DeFi » de 2020. Ces opérations sont liées à des collectifs de hackers parrainés par l'État, tels que le Lazarus Group, qui aurait volé environ 7 milliards de dollars depuis 2017.

« De nombreux agents informatiques de la RPDC ont construit les protocoles que vous connaissez et aimez, dès l'été DeFi », a déclaré Taylor Monahan, développeur MetaMask et chercheur en sécurité, dans une publication sur les réseaux sociaux dimanche. Monahan a ajouté que les « sept ans d'expérience en développement blockchain » figurant sur certains CV ne sont « pas un mensonge ».

Ces révélations lient des stratégies d'infiltration à long terme à certains des plus grands vols de l'industrie crypto. Selon les analystes de R3ACH Network, le Lazarus Group a été lié à des piratages majeurs, notamment celui du pont Ronin (625 millions de dollars) en 2022 et l'exploitation récente de Drift Protocol sur Solana (280 millions de dollars). Cette campagne soutenue souligne un vecteur de menace persistant et évolutif pour l'ensemble de l'écosystème DeFi.

Cette infiltration à long terme pose un risque de sécurité opérationnelle significatif pour l'industrie crypto, forçant les protocoles à réévaluer leurs processus d'embauche et de vérification des contreparties. L'utilisation d'intermédiaires sophistiqués et non nationaux suggère que de simples vérifications d'antécédents ne suffisent plus à déjouer des attaques qui peuvent avoir été planifiées pendant des mois, voire des années.

L'évolution des tactiques d'infiltration

La récente exploitation de 280 millions de dollars contre Drift Protocol a mis en lumière les méthodes évolutives utilisées par ces groupes affiliés à l'État. Dans un compte-rendu, l'équipe de Drift a déclaré avoir une « confiance moyenne à élevée » dans le fait que l'attaque a été menée par un groupe nord-coréen. Cependant, les développeurs du protocole ont noté que les individus qu'ils ont rencontrés en personne n'étaient pas des ressortissants nord-coréens.

Au lieu de cela, les attaquants ont utilisé des « intermédiaires tiers » disposant d'« identités entièrement construites, comprenant des antécédents professionnels, des références publiques et des réseaux professionnels ».

Cette tactique a été corroborée par Tim Ahhl, fondateur de Titan Exchange, qui a raconté une expérience passée d'entretien avec un candidat identifié plus tard comme un agent de Lazarus. « Nous avons interviewé quelqu'un qui s'est avéré être un agent de Lazarus », a déclaré Ahhl, notant que le candidat « a passé des appels vidéo et était extrêmement qualifié », mais a décliné un entretien en personne. L'Office of Foreign Assets Control (OFAC) des États-Unis tient à jour une liste de sanctions que les entreprises crypto peuvent utiliser, mais ces tactiques d'ingénierie sociale compliquent la conformité.

Évaluation de la menace

L'analyste blockchain ZachXBT a mis en garde contre le regroupement de toutes les cybermenaces liées à la Corée du Nord. Il a expliqué que Lazarus Group est un terme générique désignant « tous les cyber-acteurs parrainés par l'État de la RPDC », mais que la complexité de leurs attaques varie.

Les menaces qui arrivent via des offres d'emploi, LinkedIn ou e-mail sont « basiques et nullement sophistiquées », a déclaré ZachXBT, ajoutant que leur principal avantage est d'être « acharnés ». Il a soutenu que tomber dans de tels pièges en 2026 indique un certain degré de négligence. Les attaques plus sophistiquées, comme celle contre Drift Protocol, impliquent des mois de préparation délibérée et d'ingénierie sociale, représentant une menace beaucoup plus dangereuse.

Le succès continu de ces groupes souligne une vulnérabilité critique dans l'espace DeFi, où l'ethos de l'anonymat peut être exploité. Pour les projets, en particulier ceux avec des équipes pseudonymes, le rapport est un rappel brutal de la nécessité d'une sécurité opérationnelle robuste, d'une vérification approfondie des contributeurs et d'une approche « zero-trust » du développement et de l'administration des protocoles.

Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.