Vient de lire le rapport d'incident de Drift concernant cette exploitation de $270 millions en avril, et honnêtement, le niveau de sophistication ici est assez fou. Ce n'était pas une simple attaque aléatoire — on parle d'une opération d'intelligence de six mois menée par un groupe lié à l'État nord-coréen qui s'est essentiellement infiltré dans le protocole avant de lancer l'attaque.

Voici comment cela s'est déroulé. Vers l'automne 2025, ces acteurs se sont présentés lors d'une grande conférence crypto en se faisant passer pour une société de trading quantitatif. Ils avaient les compétences techniques, des antécédents légitimes, et comprenaient réellement le protocole de Drift. Au cours des mois suivants, ils ont suivi ce qui ressemblait à un processus d'intégration tout à fait normal — création d'un groupe Telegram, discussions réelles sur des stratégies de trading et des intégrations de coffres-forts, dépôt de plus de $1 millions de leur propre argent, et même rencontres en face-à-face avec des contributeurs de Drift lors de plusieurs conférences dans différents pays en février et mars.

Au moment où ils ont exécuté l'exploitation le 1er avril, ils avaient construit cette relation pendant près de six mois. C'est le genre de patience que la plupart des attaquants n'ont pas.

La compromission réelle est survenue via deux vecteurs astucieux. D'abord, ils ont fait télécharger une fausse application de portefeuille via TestFlight, ce qui contourne le processus de revue de sécurité d'Apple. Ensuite, ils ont exploité une vulnérabilité connue dans VSCode et Cursor que la communauté de la sécurité avertissait depuis la fin 2025 — en gros, ouvrir un fichier dans l'éditeur pouvait exécuter silencieusement du code arbitraire sans aucun avertissement.

Une fois les appareils compromis, ils ont pu obtenir les approbations multisig dont ils avaient besoin. Des transactions pré-signées sont restées inactives pendant plus d'une semaine avant d'être exécutées le 1er avril, drainant $270 millions en moins d'une minute.

Les enquêteurs ont retracé cela jusqu'à UNC4736, aussi connu sous le nom d'AppleJeus ou Citrine Sleet — le même groupe derrière l'attaque de Radiant Capital. Fait intéressant, les personnes qui se sont réellement présentées lors des conférences n’étaient pas des ressortissants nord-coréens. Ces acteurs déploient des identités tierces entièrement construites, avec des antécédents professionnels et des réseaux professionnels conçus pour passer les vérifications de diligence raisonnable.

Ce qui est vraiment inquiétant à propos de cela, c'est la question plus large qu'il soulève pour la DeFi. Si des attaquants sont prêts à dépenser six mois et un million de dollars pour construire une présence légitime, rencontrer des équipes en personne, contribuer avec du capital réel, et attendre le bon moment — quel modèle de sécurité peut réellement attraper cela ? Drift met en garde d'autres protocoles à auditer leurs contrôles d'accès et à traiter chaque appareil touchant un multisig comme une cible potentielle. Mais la vérité inconfortable, c'est que la gouvernance multisig, sur laquelle la majorité de l'industrie repose comme son principal modèle de sécurité, pourrait avoir de profondes faiblesses structurelles face à ce niveau de sophistication.

C'est le genre d'incident qui vous fait repenser ce que signifie "sécurisé" à grande échelle.