Message de BlockBeats, le 5 avril, selon des informations officielles, Drift indique être en collaboration avec des organismes d’application de la loi, des partenaires d’investigation médico-légale et des équipes de l’écosystème afin de mener une enquête complète sur l’incident de piratage survenu le 1er avril 2026. Pour le moment, toutes les fonctionnalités des protocoles ont été suspendues ; les portefeuilles concernés ont été retirés des multisigs, et l’adresse de l’attaquant a également été signalée sur les plateformes d’échange et les ponts inter-chaînes. La société de sécurité Mandiant est intervenue pour mener l’enquête. Les résultats préliminaires montrent que cette attaque n’est pas un acte à court terme, mais une action d’infiltration de renseignement menée sur environ 6 mois, avec un contexte organisé et un soutien en ressources suffisantes. Dès l’automne 2025, un groupe de personnes se présentant comme issues d’entreprises de trading quantitatif a pris contact avec des membres de l’équipe Drift lors de plusieurs conférences internationales sur la crypto, et a ensuite poursuivi, pendant des mois, l’établissement de relations, le développement de collaborations, voire l’investissement de plus de 1 million de dollars sur la plateforme pour établir sa crédibilité.
L’enquête a révélé que ces personnes disposent d’un bagage professionnel et de capacités techniques : elles ont communiqué pendant longtemps, via des groupes Telegram, des stratégies de trading et l’intégration de produits avec l’équipe, et ont rencontré à plusieurs reprises, lors de réunions en présentiel, des contributeurs clés. Après la survenue de l’attaque du 1er avril 2026, les historiques de discussion concernés et les logiciels malveillants ont été effacés rapidement. Drift estime que cette intrusion pourrait avoir été réalisée par plusieurs voies, notamment en incitant des membres de l’équipe à cloner des dépôts contenant du code malveillant, ou en téléchargeant des applications de test déguisées en produits de portefeuille. En outre, l’attaque aurait pu exploiter à cette époque des vulnérabilités de VSCode et de Cursor, déjà signalées par la communauté de sécurité, afin d’exécuter du code malveillant sans que les utilisateurs ne s’en aperçoivent.
Sur la base de l’analyse des flux de fonds on-chain et des schémas de comportement, l’équipe de sécurité estime, à titre préliminaire, que cette action serait liée à l’organisation menaçante se cachant derrière l’attaque contre Radiant Capital en 2024 ; cette organisation est attribuée à un groupe de pirates ayant des liens avec la Corée du Nord (par exemple UNC4736 / AppleJeus). Il est à noter que les personnes contactées en présentiel ne sont pas d’origine nord-coréenne, mais des intermédiaires tiers. Drift indique que les attaquants ont construit un système d’identité complet et crédible, incluant un historique professionnel et un parcours public, afin d’obtenir la confiance grâce à un contact prolongé. À l’heure actuelle, l’enquête est toujours en cours, et l’équipe appelle le secteur à renforcer l’audit de la sécurité des équipements et la gestion des autorisations.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
