Faux développeurs, vrais hackers – Comment infiltrent-ils les projets crypto ?

Six mois d'infiltration pour 270 millions de dollars

Le 1er avril 2026, le protocole de trading décentralisé Drift a perdu 270 millions de dollars en quelques minutes. Mais l'attaque, elle, avait commencé bien plus tôt. Selon le rapport publié par les équipes du protocole, tout a débuté à l'automne 2025, lors d'une grande conférence crypto.

Un groupe se présentant comme une société de trading quantitatif prend contact avec des contributeurs de Drift. Leur profil est irréprochable. Une vraie maîtrise technique, un parcours professionnel vérifiable et une compréhension fine du protocole. Un groupe Telegram est créé, des mois de discussions s'ensuivent autour de stratégies de trading et d'intégrations de vaults. Exactement ce que ferait n'importe quelle vraie société.

👉 Quelles sont les meilleures plateformes de trading de crypto décentralisées ?

Entre décembre 2025 et janvier 2026, le groupe dépose plus d'un million de dollars dans l'écosystème Drift, rencontre physiquement des membres de l'équipe lors de plusieurs conférences à travers le monde, et intègre un Ecosystem Vault. La relation dure presque six mois avant que l'attaque ne soit déclenchée.

L'attribution pointe vers UNC4736, aussi connu sous les noms AppleJeus ou Citrine Sleet, un groupe affilié à l'État nord-coréen. Les individus qui se sont présentés en personne aux conférences n'étaient pas des ressortissants nord-coréens. Ces groupes affiliés à la Corée du Nord utilisent des intermédiaires dotés d'identités entièrement construites, avec historiques d'emploi et réseaux professionnels conçus pour résister aux vérifications.

Une menace systémique dans les pipelines de recrutement

Le cas Drift n'est pas isolé. Il révèle une stratégie d'infiltration massive et organisée qui touche l'ensemble de l'industrie, et particulièrement la finance décentralisée (DeFi).

En décembre 2024, Paul Frambot, cofondateur du protocole Morpho, alertait déjà sur X : 6 des 30 candidats interviewés par son équipe en une semaine étaient vraisemblablement des hackers nord-coréens utilisant des deepfakes pour masquer leur accent et leurs expressions faciales.

Côté Dfns, une infrastructure de sécurité crypto, le constat est similaire. Lors d'un podcast, Clarisse Hagège, cofondatrice de la startup révélait que 3 candidats avaient été identifiés comme liés aux réseaux nord-coréens.

« La façon la plus directe d'attaquer une infrastructure qui va te permettre d'accéder à des fonds, c'est en rentrant dans l'entreprise »

Elle décrit des agents capables d'injecter du code malveillant dans le front-end ou le back-end des systèmes.

Mike Silagadze, fondateur d'ether.fi, protocole de restaking gérant plus de 5 milliards de dollars de valeur totale verrouillée, a de son côté partagé une mésaventure révélatrice. Un candidat avait passé tous les tests techniques et comportementaux, obtenu des références élogieuses, et Mike était proche de lui faire une offre. Des vérifications auprès de Google et Figma, d'anciens employeurs supposés, n'ont retourné aucun résultat.

👉 Découvrir tous nos podcasts sur notre chaîne Cryptoast Podcast

Pourquoi la DeFi est une cible privilégiée ?

Les protocoles DeFi manipulent des milliards de dollars, fonctionnent avec des équipes réduites, et s'appuient sur des modèles de gouvernance décentralisés et souvent des signatures multiples (multisig), un système qui requiert plusieurs approbations pour valider une transaction. En théorie, c'est plus sûr. En pratique, si plusieurs signataires ont des appareils compromis, le verrou saute.

C'est exactement ce qui s'est produit chez Drift. Les attaquants ont compromis des machines via deux vecteurs : une application TestFlight malveillante (la plateforme d'Apple pour distribuer des apps en phase de test, qui échappe à la révision de l'App Store) et une vulnérabilité connue dans les éditeurs de code VSCode et Cursor, où l'ouverture d'un simple fichier suffit à exécuter du code arbitraire en silence.

Une fois les appareils infectés, les attaquants ont obtenu les deux approbations multisig nécessaires pour pré-signer des transactions qui sont restées dormantes plus d'une semaine, avant d'être exécutées le 1er avril. La question que pose Drift dans son rapport est inconfortable : quel modèle de sécurité est conçu pour détecter un adversaire prêt à investir 6 mois et 1 million de dollars pour construire une présence légitime dans un écosystème ?

Les structures décentralisées, avec leurs processus de recrutement moins formalisés et leur culture de la confiance entre pairs, sont particulièrement exposées. Comme le souligne la cofondatrice de Dfns : « Ce sont des structures plus décentralisées, avec moins de contrôle sur les process de recrutement. Ça ne m'étonne pas que le ratio soit plus élevé ».

Comment se défendre ? Les bonnes pratiques qui émergent

Face à cette menace, une forme de solidarité s'organise dans l'industrie. Dfns indique avoir été alerté par un confrère ayant déployé un système sophistiqué de scan et de suivi des profils de candidats, capable de détecter les agents malveillants en amont.

Quelques signaux d'alerte identifiés :

• un faible nombre de connexions LinkedIn (avec un profil qui disparaît après quelques mois) ;
• l'incapacité à fournir le numéro et l'adresse email professionnelle d'anciens collègues encore en poste ;
• une disponibilité totale à toute heure sans aucune contrainte ;
• peu de questions sur le poste ou l'entreprise lors des premiers entretiens.

Du côté des process, Dfns a mis en place des parcours de recrutement longs et exigeants : appel introductif, tests de personnalité et cognitifs, panel d'entretiens avec plusieurs ingénieurs, un minimum 3 références vérifiées, et background vérifié de manière systématique.

« Les gens oublient de les faire, mais les références fonctionnent vraiment très bien »

Drift, de son côté, appelle tous les protocoles à auditer leurs contrôles d'accès et à traiter chaque appareil touchant un multisig comme une cible potentielle. Un appel à la vigilance qui sonne désormais comme une évidence.

Co-fondateur de Cryptoast, j'aime analyser les changements que peuvent apporter Bitcoin et les cryptos dans notre vie et nos sociétés, d’un point de vue social et économique.

Robin Berné

169 articles

Tous ses articles