Lazarus, les nouveaux loups de Wall Street : comment la Corée du Nord a mis la DeFi à genoux
Le 1er avril 2026, la communauté Solana a cru à une mauvaise blague. À 14h02, les alertes de PeckShield s’affolent : les coffres de Drift Protocol, l’un des piliers de la finance décentralisée (DeFi), se vident à une vitesse record.
Ce n’était pas un bug d’affichage. En l’espace de 12 minutes, 285 millions de dollars se sont évaporés. Comme le rapporte Bloomberg, ce casse n’est pas l’œuvre d’un « hacker de chambre », mais d’une opération d’État. Ce jour-là, la DeFi a appris une leçon amère : vous pouvez avoir le code le plus audité au monde, si vous laissez les clés sous le paillasson, la porte s’ouvrira.
- Le 1er avril 2026, Drift Protocol a subi une attaque choquante, perdant 285 millions de dollars en 12 minutes, orchestrée par une opération d’État sophistiquée.
- Les hackers ont utilisé des stratégies ingénieuses de manipulation de données et d’ingénierie sociale, démontrant que la confiance humaine reste le maillon faible face aux menaces étatiques.
L’anatomie technique : Créer de la valeur à partir du néant
Comment voler 285 millions sans exploiter une faille dans le code ? C’est là que le génie malfaisant de Lazarus intervient. Les attaquants n’ont pas cassé le protocole, ils l’ont utilisé exactement comme il a été conçu, mais avec des données truquées.
Comprenons bien. Tout d’abord, le jeton « CarbonVote » (CVT) : l’illusion monétaire. Les hackers ont déployé un jeton baptisé CarbonVote (CVT). En manipulant les oracles de prix internes, ils ont fait croire à Drift que le CVT valait une fortune. Selon Elliptic, une fois le prix artificiellement gonflé, les hackers ont déposé du CVT en collatéral pour emprunter des actifs hautement liquides comme de l’USDC et du SOL.
Puis, vint le moment de l’embuscade. Sur Solana, les pirates ont utilisé des Durable Nonces pour préparer des transactions et les garder « au chaud ». Ils ont pré-signé des centaines de sorties de fonds des jours à l’avance. Quand ils ont pressé le bouton « Play », le protocole a été inondé, saturant les systèmes de sécurité automatisés.
Analyse : 17 ans de prédation numérique
Pour comprendre pourquoi Drift est tombé, il faut regarder le « CV » des attaquants. L’infographie ci-dessous illustre parfaitement cette montée en puissance terrifiante.
Comme le montre clairement cette infographie, Lazarus est une unité de cyber-guerre active depuis 2009 qui a déjà volé plus de 7 milliards de dollars. On y voit l’évolution fulgurante : des simples attaques DDoS aux « Mega Heists » de 2024-2026. Voici quelques-uns des principaux protocoles et plateformes DeFi ciblés par le groupe Lazarus ces dernières années :
- Drift Protocol – 285 millions de dollars (2026)
- Coincheck – 530 millions de dollars (2018)
- KuCoin – 280 millions de dollars (2020)
- Ronin Bridge (Axie Infinity) – 625 millions de dollars (2022)
- Harmony Horizon Bridge – 100 millions de dollars (2022)
- Atomic Wallet – 100 millions de dollars (2023)
- Alphapo + CoinsPaid – 97 millions de dollars (2023)
- Stake.com + CoinEx – 95 millions de dollars (2023)
- WazirX – 235 millions de dollars (2024)
- Bybit – 1,5 milliard de dollars (2025)
- Bitrefill – montant non divulgué (2026)
Le cas de Drift Protocol, noté en bas de la timeline, montre que le groupe a passé 3 semaines à préparer l’exécution finale, après avoir infiltré le Security Council.
L’ingénierie sociale : Six mois d’infiltration sous couverture
C’est ici que l’histoire devient digne d’un roman d’espionnage. Comme l’explique l’enquête de The Hacker News, l’attaque a commencé six mois plus tôt. Des agents nord-coréens se sont fait passer pour des développeurs Web3, intégrant la communauté et gagnant la confiance de l’équipe.
Le vecteur final a été une extension malveillante pour VS Code et Cursor. En incitant les ingénieurs de Drift à tester cet outil, Lazarus a pu exfiltrer les clés privées nécessaires pour prendre le contrôle du protocole. Ce n’est pas le code qui a cédé, c’est la confiance humaine.
Ce mode opératoire n’est pas nouveau. L’infographie mentionne le hack du Ronin Bridge (625M$) en 2022. Il avait été alors révélé à l’époque qu’un ingénieur senior avait été piégé par une fausse offre d’emploi sur LinkedIn. La menace est devenue anthropologique : le maillon faible est désormais l’humain.
Le hack de Drift Protocol est un rappel brutal : dans le Web3, nous construisons des banques sans murs de béton. Selon TRM Labs, cet argent finance directement des programmes d’armement étatiques. Pour survivre, les protocoles doivent passer d’une simple sécurité du code à une véritable culture de contre-espionnage.
Magali
Tombée dans le terrier du lapin blanc en 2017, je suis passée de lectrice assidue à Rédactrice en chef du Journal du Coin. J’aime m'investir dans les coulisses de projets pour porter ma vision d'un futur décentralisé. Amoureuse des belles lettres, je coordonne nos équipes pour transformer la complexité technique en une information humaine, précise et sans jargon inutile. Entre entrepreneuriat et rédaction, ma mission est claire : vulgariser demain, mais le faire aujourd'hui.
