Le groupe nord-coréen Lazarus (TraderTraitor) est à l'origine du piratage du protocole DeFi Drift, d'une valeur de 280 millions de dollars, selon les experts de Diverg, TRM Labs et Elliptic. Cette même équipe avait déjà attaqué Bybit (1,5 milliard de dollars) et Ronin (625 millions de dollars).
1/10
Nous enquêtons sur l'exploit @DriftProtocol (285 millions de dollars) depuis le 1er avril.
Nous pouvons confirmer auprès de TRM Labs et d'Elliptic que le groupe nord-coréen Lazarus (TraderTraitor), la même équipe derrière Bybit (1,5 milliard de dollars) et Ronin (625 millions de dollars), était impliqué.
Voici ce que notre système de vérification indépendant sur la blockchain a révélé…
— Diverg (@DivergSec) 3 avril 2026
L'attaquant n'a pas simplement compromis la signature multiple une seule fois, comme les développeurs du projet concerné l'avaient initialement supposé.
Le 27 mars, Drift a mis à jour les règles de son Conseil de sécurité pour exiger deux signatures sur cinq afin de confirmer une transaction, et l'exécution était instantanée. Cependant, en trois jours, un attaquant a compromis à nouveau le nouveau système de signature multiple et utilisé un mécanisme de signature différée .
Préparation à l'attaque
Le pirate a commencé à préparer l'attaque le 11 mars. Il a ensuite retiré 10 ETH via Tornado Cash à 15h24, heure de Pyongyang. Les fonds ont été transférés par l'intermédiaire d'une chaîne de portefeuilles éphémères et de ponts inter-chaînes.
Le 12 mars, l'adresse d'émission des jetons a reçu 50 SOL et, à 9 h 58 KST, l'attaquant avait créé 750 millions de faux jetons CVT. Cette même adresse a également été utilisée sur le réseau BSC. Elle a été créditée de 31 125 BNB via une transaction signée avec MetaWallet, après quoi les fonds ont suivi le même circuit que sur Ethereum.
Des rapports antérieurs affirmaient à tort que 30 ETH provenant de trois retraits via Tornado Cash avaient servi à financer l'attaque. Les experts ont précisé qu'une seule transaction, d'un montant de 10 ETH, était imputable à l'attaquant. Les deux autres étaient liées à un service d'empoisonnement d'adresse.
Retirer des fonds
Après le piratage, Diverg a rétabli l'intégralité de sa stratégie de retrait via l'API publique du protocole CoW. En 30 minutes, l'attaquant a passé 10 ordres via l'interface web de CoW Swap, convertissant 14,6 millions de dollars USDC et 99,8 WBTC en environ 13 150 ETH. Les 10 transactions sont confirmées sur la blockchain.
Le portefeuille de stockage secondaire a reçu des fonds de deux sources : 390,86 ETH de Chainflip Vault et 846 000 USDC via Circle CCTP (convertis ultérieurement en 397 ETH via le protocole CoW). Un total de 788 ETH a été transféré vers l’adresse de stockage.
Profil comportemental
Toutes les actions confirmées du pirate informatique sont liées aux heures de travail de Pyongyang et ont été menées uniquement en semaine.
Les méthodes du groupe correspondent parfaitement au profil connu de Lazarus : préparation via Tornado Cash, ingénierie sociale (fausses offres d’emploi, comme dans le cas de Bybit SafeWallet), transfert rapide de fonds à travers plusieurs blockchains Ethereum et conservation des actifs volés.
Cependant, cette fois-ci, les attaquants ont utilisé une nouvelle tactique : ils ont émis de faux jetons CVT et modifié les données de l’oracle pour gonfler artificiellement la valeur des garanties.
Selon Elliptic, le piratage de Drift était la 18e attaque de Lazarus depuis début 2026.
Pour rappel, en mars, un groupe nord-coréen était soupçonné d'avoir attaqué la plateforme de vente de cryptomonnaies en ligne Bitrefill.