Le plus grand obstacle au développement de la DeFi

Auteur : Chloé, ChainCatcher

La semaine dernière, le protocole de prêt Solana Drift a été piraté, entraînant le vol d'environ 285 millions de dollars d'actifs des utilisateurs. Selon des déclarations officielles, il ne s'agissait pas d'une attaque typique de vulnérabilité de contrat intelligent, mais plutôt d'une attaque d'ingénierie sociale minutieusement planifiée sur six mois par des hackers soutenus par l'État.

Il existe même des preuves d'enquête suggérant que le même groupe d'acteurs malveillants a peut-être déjà infiltré le développement central de plusieurs protocoles DeFi, non pas en tant qu'attaquants, mais en tant que contributeurs.

Les hackers nord-coréens infiltrent couramment des cibles précoces mais investissent rarement de grosses sommes d'argent.

Selon la déclaration concernant l'incident Drift, la stratégie principale des attaquants était de "devenir partie intégrante de l'écosystème."

Depuis l'automne 2025, ils se sont déguisés en entreprise de trading quantitatif et ont commencé à interagir avec les contributeurs clés de Drift lors de grandes conférences de l'industrie crypto. Cet engagement n'était pas un événement ponctuel, mais plutôt plusieurs interactions à travers différents pays et conférences, délibérément menées sur six mois. Ces individus étaient techniquement compétents, avaient des antécédents vérifiables et étaient bien familiarisés avec le fonctionnement de Drift.

De plus, leurs interactions n'étaient pas limitées aux membres clés de Drift. L'équipe a également exploité le mécanisme ouvert du Vault de l'Écosystème de Drift, réussissant à lister leur propre coffre en tant qu'entreprise de trading légitime, en déposant plus d'un million de dollars de leurs propres fonds, en participant à plusieurs réunions de travail et en posant des questions approfondies sur le produit, consolidant ainsi la confiance avec l'équipe du projet.

L'expert en technologie blockchain Steven, dans une interview avec ChainCatcher, a déclaré : "Les hackers nord-coréens infiltrent des cibles depuis le début, ce qui est une pratique courante, mais investir de grosses sommes d'argent comme base de confiance est relativement rare. Cependant, pour les attaquants, ce million de dollars est essentiellement un investissement sans risque ; tant qu'ils ne lancent pas d'attaque, cet argent n'est que des fonds normaux existant dans le coffre, qui peuvent être retirés à tout moment ; et les opérations réelles sont menées par des tiers non informés, entraînant presque aucune perte économique pour l'organisation elle-même."

De plus, au cours de leur collaboration à long terme avec Drift, l'équipe a partagé des projets de code et des applications stockées sur GitHub sous prétexte de présenter leurs propres outils de développement. Étant donné les circonstances de l'époque, il était tout à fait normal que les partenaires examinent le code de l'autre. Cependant, les enquêtes ultérieures menées par Drift ont révélé qu'un contributeur avait copié un projet de code GitHub contenant du code malveillant, tandis qu'un autre contributeur avait été incité à télécharger une application TestFlight déguisée en produit de portefeuille.

La raison pour laquelle le chemin du projet de code est difficile à protéger est qu'il est entièrement intégré dans le flux de travail quotidien des développeurs. Les développeurs utilisent généralement des éditeurs de code comme VSCode ou Cursor lorsqu'ils écrivent du code, ce qui peut être considéré comme le Word pour les ingénieurs, quelque chose qu'ils ouvrent et utilisent quotidiennement.

La communauté de recherche en sécurité a découvert une vulnérabilité sérieuse dans de tels éditeurs d'ici la fin de 2025 : lorsque les développeurs ouvraient des projets de code partagés par d'autres, des commandes malveillantes cachées dans les projets s'exécutaient automatiquement en arrière-plan, de manière complètement discrète, sans aucune fenêtre de confirmation apparaissant à l'écran, ne nécessitant aucun clic pour accepter, et ne fournissant aucun avertissement. Les développeurs croyaient qu'ils se contentaient de "regarder du code", mais leurs ordinateurs avaient en réalité été implantés avec des portes dérobées. Les attaquants ont exploité cette vulnérabilité pour cacher des logiciels malveillants dans les opérations quotidiennes que les développeurs effectuaient régulièrement.

Au moment où l'attaque Drift a eu lieu le 1er avril, les enregistrements de chat Telegram des attaquants et toutes les traces de logiciels malveillants avaient été complètement effacés, laissant seulement un trou de 285 millions de dollars.

Drift est-il juste la partie émergée de l'iceberg ?

Selon une enquête menée par l'organisation de réponse d'urgence à la sécurité SEAL 911 dans l'industrie de la cryptographie, cette attaque a été réalisée par le même groupe d'acteurs de menace responsable du piratage de Radiant Capital en octobre 2024. Les connexions incluent des flux de fonds on-chain (les fonds utilisés pour préparer et tester cette opération remontent aux attaquants de Radiant) et des modèles opérationnels (les personas déployés dans cette opération montrent des chevauchements identifiables avec des activités nord-coréennes connues). Mandiant, une entreprise de forensic de sécurité bien connue engagée par Drift (maintenant partie de Google), avait précédemment attribué l'incident de Radiant à l'organisation affiliée à l'État nord-coréen UNC4736, mais Mandiant n'a pas encore attribué formellement l'incident de Drift, et des analyses complètes des dispositifs sont encore en cours.

Notamment, les individus qui ont assisté personnellement aux réunions n'étaient pas des ressortissants nord-coréens. Steven a déclaré : "Les hackers nord-coréens ne devraient pas être considérés comme une organisation de piratage typique, mais plutôt comme une agence de renseignement ; c'est une grande organisation avec des milliers de personnes et des rôles clairement définis. Parmi eux, le hacker nord-coréen Lazarus est formellement connu dans le domaine de la sécurité internationale sous le nom d'APT38, tandis qu'une autre organisation affiliée, Kimsuky, est désignée comme APT43."

Cela explique pourquoi ils sont capables de déployer de vraies personnes hors ligne. Ils établissent des entreprises à l'étranger sous divers noms, recrutant du personnel local, qui peut même ne pas être conscient de qui ils travaillent pour. "Il pourrait penser qu'il a rejoint une entreprise de travail à distance normale, et après un an, il est envoyé rencontrer un client ; tout semble normal, mais derrière cela se cache une organisation de piratage. Lorsque les forces de l'ordre viennent enquêter, cette personne ne sait rien."

Maintenant, Drift pourrait juste être la partie émergée de l'iceberg.

Si l'incident de Drift révèle une vulnérabilité dans un seul protocole, les enquêtes ultérieures pointent vers un problème plus vaste : les mêmes méthodes pourraient avoir fonctionné dans tout l'écosystème DeFi pendant des années.

Selon l'enquête du chercheur en blockchain Tayvano, depuis l'expansion rapide de la DeFi en 2020, les contributions de code associées aux travailleurs informatiques nord-coréens se sont répandues dans plusieurs projets bien connus, notamment SushiSwap, THORChain, Harmony, Ankr et Yearn Finance.

Les méthodes utilisées par ces individus sont frappantes de similitude avec celles de l'incident Drift : utilisation d'identités falsifiées, obtention de rôles de développement via des plateformes de freelance et contacts directs, entrée dans des canaux Discord, des communautés de développeurs, et même participation à des réunions de développeurs. Une fois à l'intérieur du projet, ils contribuent au code, participent aux cycles de développement et établissent une confiance avec l'équipe jusqu'à ce qu'ils comprennent toute l'architecture du protocole et attendent le bon moment pour agir.

Steven croit que dans les agences de renseignement traditionnelles, ils peuvent même attendre toute une vie, la prochaine génération poursuivant les tâches inachevées de la génération précédente. Pour eux, les projets Web3 sont à court terme avec des rendements élevés, et la nature du travail à distance permet à une personne de tenir plusieurs rôles dans divers projets, ce qui est assez courant dans l'industrie Web3 et ne suscite pas de soupçons.

"L'organisation de hackers nord-coréens inclut tous les projets Web3 dans leur champ d'attaque, examinant soigneusement chaque projet et rassemblant des informations sur les membres de l'équipe. Leur compréhension des projets est plus claire que celle des équipes de projet elles-mêmes," a déclaré Steven. La raison pour laquelle le Web3 est devenu une cible principale est que cet écosystème dispose d'un montant important de fonds, manque de réglementation mondiale unifiée, et la prévalence du travail à distance rend souvent impossible la vérification des véritables identités des collaborateurs et des employés. De plus, la nature généralement jeune et inexpérimentée des praticiens fournit un environnement d'infiltration idéal pour les agences de renseignement nord-coréennes.

Les incidents de piratage sont courants ; les équipes de projet peuvent-elles seulement s'asseoir et attendre ?

En regardant en arrière les incidents majeurs des dernières années, l'ingénierie sociale a toujours été une tactique centrale des groupes de hackers nord-coréens. Récemment, le mémoire du fondateur de Binance, CZ, intitulé "Binance Life", a été publié, racontant l'incident de mai 2019 lorsque Binance a été piraté pour 7 000 bitcoins. Selon CZ, les hackers ont d'abord infiltré les ordinateurs portables de plusieurs employés en utilisant un logiciel malveillant avancé, puis ont implanté des commandes malveillantes lors de la dernière étape du processus de retrait, volant tous les 7 000 bitcoins du portefeuille chaud à 1 heure du matin (valant environ 40 millions de dollars à l'époque). CZ a écrit dans le livre que, sur la base des méthodes d'attaque, les hackers avaient été en embuscade dans le réseau de Binance pendant un certain temps et étaient fortement soupçonnés d'être de Lazarus de Corée du Nord, pouvant même avoir soudoyé des employés internes.

L'incident du réseau Ronin en 2022 est également un cas classique. Ronin est la sidechain derrière le populaire jeu blockchain Axie Infinity, responsable de la gestion de tous les transferts inter-chaînes d'actifs en jeu, avec un montant important de fonds verrouillés à l'époque. L'attaque a été déclenchée lorsqu'un développeur a reçu une offre d'emploi apparemment bien rémunérée d'une entreprise bien connue et a téléchargé un fichier contenant un logiciel malveillant lors du processus d'entretien, permettant aux attaquants d'accéder au système interne et de voler finalement 625 millions de dollars.

L'incident CoinsPaid de 2023 a employé des tactiques presque identiques. CoinsPaid est un fournisseur de services de paiements en cryptomonnaie, et les attaquants ont également approché les employés par le biais d'un processus de recrutement falsifié, les incitant à installer un logiciel malveillant avant d'infiltrer le système. Les méthodes de piratage plus récentes sont devenues encore plus diverses : appels vidéo falsifiés, comptes sociaux compromis et logiciels malveillants déguisés en logiciels de réunion.

Les victimes ont reçu des liens de réunion Calendly apparemment normaux, et en cliquant, elles ont été guidées pour installer une fausse application de réunion, permettant au logiciel malveillant de voler des portefeuilles, des mots de passe, des phrases de récupération et des enregistrements de communication. On estime qu'à travers de telles méthodes, des groupes de hackers nord-coréens ont volé plus de 300 millions de dollars.

En même temps, la destination finale des fonds volés mérite également d'être notée. Steven a déclaré que les fonds volés tombent finalement sous le contrôle du gouvernement nord-coréen. Le blanchiment d'argent est effectué par une équipe spécialisée au sein de l'organisation, qui met en place des mélangeurs et ouvre des comptes avec de fausses identités dans de nombreux échanges, suivant un processus complet et complexe : les fonds sont nettoyés par des mélangeurs immédiatement après avoir été volés, puis échangés contre des pièces de confidentialité, et ensuite transférés à travers différents projets DeFi, circulant de manière répétée entre les échanges et DeFi.

"L'ensemble du processus est complété en environ 30 jours, et les fonds finaux se retrouvent dans des casinos en Asie du Sud-Est, de petits échanges qui ne nécessitent pas de KYC, et des fournisseurs de services OTC à Hong Kong et en Asie du Sud-Est, où ils sont encaissés."

Ainsi, face à ce nouveau modèle de menace, où les adversaires ne sont pas seulement des attaquants mais aussi des participants, comment l'industrie de la cryptographie devrait-elle réagir ?

Steven croit que les équipes de projet gérant de grandes quantités de fonds devraient engager des équipes de sécurité professionnelles, établir des postes de sécurité dédiés au sein de l'équipe, et s'assurer que tous les membres clés respectent strictement les protocoles de sécurité. Il est particulièrement important que les dispositifs de développement et les dispositifs responsables des signatures financières soient strictement isolés physiquement. Il a spécifiquement mentionné qu'un problème clé dans l'incident Drift était l'annulation du mécanisme de tampon de verrouillage temporel, "qui ne devrait jamais être annulé à aucun moment."

Cependant, il a également admis que si les agences de renseignement nord-coréennes souhaitent vraiment s'infiltrer en profondeur, même des vérifications de fond rigoureuses seraient difficiles à identifier complètement. Mais faire appel à des équipes de sécurité est toujours crucial. Il a suggéré que les équipes de projet introduisent des équipes bleues (le côté défensif dans l'offensive et la défense cybernétique), car les équipes bleues peuvent non seulement aider à améliorer la sécurité des dispositifs et des comportements, mais aussi surveiller en continu les nœuds clés, permettant une détection et une réponse immédiates aux attaques en cas de fluctuations anormales. "S'appuyer uniquement sur les capacités de sécurité de l'équipe de projet est insuffisant pour résister à ce niveau d'attaque."

Il a ajouté que les capacités de guerre cybernétique de la Corée du Nord se classent parmi les cinq meilleures au monde, juste derrière les États-Unis, la Russie, la Chine et Israël. Face à de tels adversaires, s'appuyer uniquement sur des audits de code est loin d'être suffisant.

Conclusion

L'incident Drift prouve que les plus grandes menaces auxquelles DeFi est confronté aujourd'hui ne sont pas seulement des conditions de marché ou de liquidité ; en termes de sécurité, il ne s'agit pas seulement de prévenir les vulnérabilités du code, car des espions peuvent se cacher juste à côté de vous.

Lorsque les attaquants sont prêts à passer six mois et à investir des millions de dollars pour cultiver une relation, les audits de code traditionnels et les défenses de sécurité sont tout simplement inadéquats. De plus, selon les enquêtes existantes, cet ensemble de tactiques pourrait avoir été utilisé dans plusieurs projets pendant des années, sans avoir encore été découvert.

Que la finance décentralisée puisse maintenir la décentralisation et l'ouverture n'est plus le problème central ; la véritable question est : peut-elle résister à l'infiltration de ces adversaires bien emballés tout en restant ouverte ?