Un expert affirme que les travailleurs informatiques nord-coréens ont contribué à la construction des principaux protocoles pendant l'été DeFi

Un chercheur en cybersécurité, Taylor Monahan, a affirmé que des travailleurs informatiques liés à la Corée du Nord opèrent au sein de l’écosystème de la finance décentralisée depuis des années. Monahan a déclaré que ces acteurs avaient contribué à de nombreux protocoles bien connus durant l’ère du « DeFi summer » en 2020.

D’après son dernier tweet, les années d’expérience en développement de blockchain indiquées sur leurs CV étaient souvent authentiques, ce qui était révélateur de contributions techniques réelles plutôt que de qualifications inventées.

Années d’infiltration DeFi

Lorsqu’on lui a demandé des exemples, elle a cité plusieurs projets de premier plan, notamment SushiSwap, THORChain, Yearn, Harmony, Ankr et Shiba Inu, entre autres. Monahan a également révélé que certaines équipes, comme Yearn, se distinguaient par leur approche stricte en matière de sécurité, s’appuyant fortement sur l’examen par les pairs et en maintenant un haut niveau de scepticisme à l’égard des contributeurs.

Cela, a-t-elle laissé entendre, a aidé à limiter l’exposition potentielle par rapport à d’autres projets. En outre, Monahan a mis en garde : les tactiques ont évolué et ces groupes pourraient désormais utiliser des personnes non originaires de Corée du Nord pour mener certaines parties de leurs opérations, y compris lors d’interactions en personne. Selon les estimations de l’experte en sécurité, ces entités pourraient avoir collectivement extrait au moins 6,7 milliards de dollars de l’espace crypto durant cette période.

La Corée du Nord continue de dominer la cybercriminalité liée aux crypto-monnaies, émergeant comme la plus grande menace soutenue par un État dans le secteur. D’après un rapport antérieur de Chainalysis, des hackers de la RPDC (DPRK) ont volé au moins 2,02 milliards de dollars d’actifs numériques rien qu’en 2025, soit une hausse de 51 % par rapport à 2024 et représentant 76 % de toutes les atteintes liées aux services.

Bien qu’il y ait eu moins d’attaques, l’ampleur était nettement plus grande. Chainalysis attribue cette ampleur à l’utilisation, par des groupes soutenus par l’État, de travailleurs informatiques infiltrés qui obtiennent l’accès aux sociétés crypto, y compris aux bourses et aux dépositaires, avant que les principaux exploits ne surviennent.

Une fois les fonds volés, ces acteurs déplacent généralement les actifs dans des transactions plus petites, avec plus de 60 % des transferts inférieurs à 500 000 $. Leurs méthodes de blanchiment reposent fortement sur des outils inter-chaînes, des services de mélange et des réseaux financiers en langue chinoise.

Vous pourriez aussi aimer :

			*   			
				Rapport : Les piratages crypto ont augmenté de 96% en mars, avec des pertes atteignant 52M$			
		
				*   			
				ZachXBT accuse Circle d’être « endormi » alors que les fonds du hack Drift ont été déplacés librement			
		
				*   			
				Un expert avertit d’une attaque critique et en cours sur la chaîne d’approvisionnement contre Axios			

Security Alliance (SEAL) avait auparavant constaté que des cyberattaques utilisant de faux appels Zoom ou Microsoft Teams étaient menées par ces groupes afin d’infecter les victimes avec des logiciels malveillants. Ces opérations commencent souvent via des comptes Telegram compromis, où les attaquants se font passer pour des contacts connus et invitent les cibles à rejoindre un appel vidéo.

Pendant la réunion, des vidéos préenregistrées sont utilisées pour paraître légitimes avant que les victimes ne soient informées d’installer une mise à jour supposée, qui accorde en réalité aux attaquants l’accès à leurs appareils. Une fois à l’intérieur, ces acteurs dérobent des données sensibles et réutilisent des comptes piratés pour propager davantage l’attaque.

Agrandir la surface d’attaque

On soupçonnait également des pirates liés à la Corée du Nord d’être à l’origine de la brèche sur Bitrefill du 1er mars. Les attaquants auraient accédé en passant par un appareil d’employé compromis et auraient réussi à extraire des identifiants leur permettant d’accéder plus profondément aux systèmes internes.

À partir de là, ils se sont déplacés vers des parties de la base de données et ont vidé des fonds depuis des portefeuilles à chaud tout en exploitant les flux d’approvisionnement des cartes cadeaux. Des indicateurs comme les schémas de malware, le comportement on-chain et l’infrastructure réutilisée correspondaient à des opérations précédentes liées aux groupes Lazarus et Bluenoroff.

OFFRE SPÉCIALE (Exclusive)

Binance Free 600 (CryptoPotato Exclusive) : utilisez ce lien pour vous inscrire à un nouvel compte et recevoir une offre de bienvenue exclusive de 600 $ sur Binance (tous les détails).

OFFRE LIMITÉE pour les lecteurs de CryptoPotato sur Bybit : utilisez ce lien pour vous inscrire et ouvrir une position GRATUITE de 500 $ sur n’importe quelle pièce !

Tags :

										DeFi											
										

																					
											
										Hacks											
										

																					
											
										North Korea