Des pirates nord-coréens seraient probablement à l’origine de l’exploit du protocole Drift d’une valeur de 286 millions de dollars : Elliptic

Elliptic a déclaré jeudi que l’exploit du protocole Drift, d’un montant de 285 millions de dollars, le plus important de cette année, comporte « plusieurs indicateurs » de l’implication du groupe de hackers DPRK, parrainé par l’État nord-coréen.

Le cabinet de recherche a pointé plus précisément le comportement onchain, les méthodes de blanchiment et les signaux au niveau du réseau, qui concordent tous avec des attaques précédemment liées à l’État.

Drift Protocol, dont le token a chuté de plus de 40 % à environ 0,06 $ depuis le piratage, est la plus grande plateforme décentralisée d’échange de contrats perpétuels sur la blockchain Solana.

« Si la confirmation se confirme, cet incident représenterait la dix-huitième action DPRK qu’Elliptic a suivie cette année, avec plus de 300 millions de dollars volés jusqu’à présent », indique le rapport.

« Il s’agit d’une poursuite de la campagne soutenue de vol à grande échelle d’actifs cryptographiques menée par le DPRK, que le gouvernement américain a reliée au financement de ses programmes d’armes. On pense que des acteurs liés au DPRK seraient responsables de plusieurs milliards de dollars de vols d’actifs cryptographiques ces dernières années », a ajouté Elliptic.

Quelques heures plus tôt, les données d’Arkham ont montré que plus de 250 millions de dollars avaient été transférés de Drift vers un portefeuille intermédiaire, puis vers diverses autres adresses.

En décembre, un rapport de Chainalysis a révélé que des hackers du DPRK avaient volé un record de 2 milliards de dollars de crypto en 2025, incluant la brèche de 1,4 milliard de dollars sur Bybit, ce qui représente une hausse de 51 % par rapport à l’année précédente. Le mois dernier, le département du Trésor américain a indiqué que la Corée du Nord utilise les actifs volés pour financer son programme d’armes de destruction massive.

Plutôt que de se concentrer sur l’exploit lui-même, l’analyse d’Elliptic met en avant un schéma opérationnel familier. L’activité semble « préméditée et soigneusement mise en scène », avec des transactions de test précoces et des portefeuilles pré-positionnés avant l’événement principal.

Le rapport explique qu’une fois l’opération exécutée, les fonds ont été consolidés rapidement et échangés, acheminés via des ponts entre chaînes, puis convertis en actifs plus liquides, ce qui reflète un flux de blanchiment structuré et reproductible, conçu pour obscurcir l’origine tout en conservant le contrôle.

Un défi central, note Elliptic, est le modèle de comptes de Solana. Étant donné que chaque actif est détenu dans un compte de token distinct, l’activité liée à un seul acteur peut sembler fragmentée sur plusieurs adresses. Sans relier ces éléments, les enquêteurs risquent de ne voir que des « fragments de l’activité de l’attaquant, pas l’image complète ».

C’est là que le rapport d’Elliptic met en avant l’approche de regroupement, qui relie les comptes de token à une seule entité, permettant d’identifier l’exposition indépendamment de l’adresse qui est contrôlée. Dans un incident impliquant plus d’une douzaine de types d’actifs, cette vue au niveau de l’entité devient critique.

L’affaire souligne aussi, ajoute Elliptic dans son rapport, à quel point le blanchiment est devenu intrinsèquement transchain. Des fonds déplacés de Solana vers Ethereum et au-delà, démontrant la nécessité des « capacités holistiques de traçage transchain » qu’Elliptic a décrites.