Le Drift Protocol a récemment subi un vol de plus de 280 millions de dollars, attribué à une opération soigneusement planifiée par des hackers. Cette attaque a impliqué la création d’une présence opérationnelle au sein de l’écosystème Drift.
Le 1er avril, la plateforme de trading basée sur Solana a détecté des activités suspectes, confirmant par la suite la perte de fonds à la suite d’une attaque sophistiquée qui a permis de détourner les pouvoirs administratifs du Security Council.
Des entreprises de renseignement sur la blockchain, telles qu’Elliptic et TRM Labs, ont attribué ce braquage à des hackers nord-coréens, qui ont réussi à vider les actifs des utilisateurs en seulement 12 minutes.
Les enquêtes ont révélé que les assaillants avaient préparé leur coup pendant au moins six mois, se faisant passer pour une société quantitative et approchant les contributeurs du Drift en personne lors de plusieurs conférences cryptographiques.
Selon le Drift Protocol, ces individus ont cherché à engager des discussions ciblées à l’égard de contributeurs spécifiques lors de conférences majeures dans différents pays. Ils ont continué à converser avec leurs cibles sur Telegram, partageant des stratégies de trading et des propositions d’intégrations de vault. Leur expertise technique et leur connaissance du fonctionnement de Drift ont permis des interactions qui ressemblaient à des échanges d’intégration typiques entre des sociétés de trading et la plateforme.
Suite à l’attaque, le groupe Telegram utilisé pour engager les contributeurs a été immédiatement supprimé.
Bien que la plateforme n’ait pas encore déterminé avec certitude le vecteur d’attaque, deux contributeurs semblent avoir été compromis de la manière suivante :
- Un dépôt de code malveillant partagé avec un contributeur, probablement exploité par une vulnérabilité VSCode/Cursor permettant une exécution silencieuse de code
- Une application malveillante TestFlight, présentée comme un produit de portefeuille
De multiples indicateurs relevés dans les enquêtes d’Elliptic et TRM Labs pointent vers un acteur de menaces nord-coréen. Drift a par ailleurs établi avec un degré de confiance moyen à élevé que l’attaque a été menée par UNC4736 (également connu sous les noms AppleJeus et Labyrinth Chollima), un groupe lié à la Corée du Nord selon plusieurs entreprises de sécurité.
La société de réponse aux incidents Mandiant a précédemment associé UNC4736 à Lazarus. Ce même groupe est responsable de l’attaque de la chaîne d’approvisionnement 3CX en 2023 ainsi que du vol de 50 millions de dollars en cryptomonnaies de Radiant en 2024, et il a également été lié à des exploitations de vulnérabilités zero-day sur Chrome.
Cependant, il est observé que les intermédiaires en personne rencontrant des contributeurs clés de Drift lors des conférences n’étaient pas d’origine coréenne.
Actuellement, toutes les fonctions du Drift Protocol sont gelées, et les portefeuilles compromis ont été retirés du processus multisig. Drift a signalé les portefeuilles des attaquants sur les bourses et auprès des opérateurs de ponts afin d’empêcher le transfert ou le retrait des fonds.