Elliptic a déclaré jeudi que l'exploit de Drift Protocol de 285 millions de dollars, le plus important de cette année, comporte « plusieurs indicateurs » de l'implication du groupe de hackers RPDC parrainé par l'État nord-coréen.
La société de recherche a souligné spécifiquement le comportement onchain, les méthodologies de blanchiment et les signaux au niveau du réseau, qui correspondent tous aux attaques précédentes liées à l'État.
Drift Protocol, dont le jeton a chuté de plus de 40 % à environ 0,06 $ depuis le piratage, est la plus grande bourse décentralisée de contrats à terme perpétuels sur la blockchain Solana.
« Si cela est confirmé, cet incident représenterait le dix-huitième acte de la RPDC qu'Elliptic a suivi cette année, avec plus de 300 millions de dollars volés jusqu'à présent », indique le rapport.
« C'est la continuation de la campagne soutenue de la RPDC de vol de crypto-actifs à grande échelle, que le gouvernement américain a liée au financement de ses programmes d'armement. Les acteurs liés à la RPDC sont considérés comme responsables de milliards de dollars de vol de crypto-actifs ces dernières années », a ajouté Elliptic.
Quelques heures plus tôt, les données d'Arkham ont montré que plus de 250 millions de dollars avaient été transférés de Drift vers un portefeuille intermédiaire, puis vers diverses autres adresses.
En décembre, un rapport de Chainalysis a révélé que les hackers de la RPDC ont volé un record de 2 milliards de dollars de crypto en 2025, y compris la violation de Bybit de 1,4 milliard de dollars, ce qui représente une augmentation de 51 % par rapport à l'année précédente. Le département du Trésor américain a déclaré le mois dernier que la Corée du Nord utilise les actifs volés pour financer le programme d'armes de destruction massive du pays.
Plutôt que de se concentrer sur l'exploit lui-même, l'analyse d'Elliptic met en évidence un schéma opérationnel familier. L'activité semble « préméditée et soigneusement orchestrée », avec des transactions de test précoces et des portefeuilles prépositionnés précédant l'événement principal.
Le rapport explique qu'une fois exécutés, les fonds ont été rapidement consolidés et échangés, transférés entre les chaînes et convertis en actifs plus liquides, reflétant un flux de blanchiment structuré et reproductible conçu pour obscurcir l'origine tout en maintenant le contrôle.
Un défi central, note Elliptic, est le modèle de compte de Solana. Parce que chaque actif est détenu dans un compte de jeton séparé, l'activité liée à un seul acteur peut apparaître fragmentée sur plusieurs adresses. Sans les relier, les enquêteurs risquent de voir « des fragments de l'activité de l'attaquant, et non l'image complète ».
C'est là que le rapport d'Elliptic met en évidence l'approche de regroupement, qui relie les comptes de jetons à une seule entité, permettant d'identifier l'exposition quelle que soit l'adresse contrôlée. Dans un incident impliquant plus d'une douzaine de types d'actifs, cette vue au niveau de l'entité devient critique.
Le cas souligne également, ajoute Elliptic dans son rapport, comment le blanchiment est devenu intrinsèquement cross-chain. Les fonds se sont déplacés de Solana vers Ethereum et au-delà, démontrant le besoin de ce qu'Elliptic a décrit comme « des capacités de traçage cross-chain holistiques ».
Source : https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
