La Corée du Nord représente 76 % des pertes liées aux hacks de Crypto en 2026 avec les exploits de Drift et KelpDAO

Selon un rapport publié par TRM Labs, les groupes de hackers nord-coréens ont été responsables de 76 % de toutes les pertes liées aux hacks crypto en 2026 jusqu'en avril. Ces mêmes incidents ne représentaient que 3 % du total des attaques. La firme attribue environ 577 millions de dollars de fonds volés à deux cas : la faille du Drift Protocol le 1er avril et l'exploit de KelpDAO le 18 avril.

TRM a indiqué que ces deux incidents ne représentent qu'une faible part du total des attaques cette année, mais qu'ils constituent la grande majorité des pertes. Le rapport décrit un schéma dans lequel un nombre limité d'opérations à haute valeur génèrent la plupart des dommages, plutôt qu'une augmentation générale de la fréquence des attaques.

Le total des vols de crypto attribués à la Corée du Nord dépasse désormais 6 milliards de dollars depuis 2017, selon les données de TRM.

La part de la Corée du Nord dans les vols de crypto a augmenté chaque année depuis 2020

Les données de TRM montrent que la part de la Corée du Nord dans les pertes totales liées aux hacks crypto est passée de moins de 10 % en 2020 et 2021 à 22 % en 2022, 37 % en 2023, 39 % en 2024 et 64 % en 2025. Le chiffre de 76 % pour 2026 depuis le début de l'année est la part soutenue la plus élevée que TRM ait jamais enregistrée.

La hausse de 2025 a été presque entièrement provoquée par la faille de Bybit en février de cette année, au cours de laquelle 1,46 milliard de dollars ont été volés depuis un cold wallet via une interface de signature Safe{Wallet} compromise. TRM a indiqué que Bybit reste le plus grand hack crypto unique jamais enregistré.

La cadence des attaques n'a pas changé. TRM a indiqué que les équipes de hackers nord-coréens continuent de mener un petit nombre d'opérations précisément ciblées chaque année, plutôt qu'une campagne à fort volume.

Selon les analystes de TRM, ce qui a changé, c'est la sophistication des opérations. Le rapport indique que les analystes ont commencé à supposer que les opérateurs nord-coréens intègrent des outils d'IA dans leurs flux de travail de reconnaissance et d'ingénierie sociale, ce qui est cohérent avec l'attaque Drift, qui a nécessité des semaines de manipulation ciblée de mécanismes blockchain complexes, plutôt que les simples compromissions de clés privées sur lesquelles la Corée du Nord s'est historiquement appuyée.

Le hack du Drift Protocol a drainé 285 millions de dollars après des mois d'ingénierie sociale

TRM a attribué l'attaque Drift à un groupe nord-coréen qu'il évalue comme distinct de TraderTraitor, un acteur de menace nord-coréen lié à l'État, connu pour cibler les entreprises crypto via l'ingénierie sociale. Le sous-groupe spécifique est toujours en cours d'investigation.

La campagne a débuté des mois avant le vol et a impliqué des réunions en personne entre des représentants nord-coréens et des employés de Drift, ce que TRM a qualifié de potentiellement sans précédent dans l'histoire du hacking crypto de la Corée du Nord. La mise en scène on-chain a débuté le 11 mars avec un retrait de 10 ETH depuis Tornado Cash.

L'attaque a exploité une fonctionnalité de Solana appelée durable nonce, qui étend la fenêtre de validité d'une transaction pré-signée d'environ 90 secondes à une durée indéfinie. Entre le 23 et le 30 mars, l'attaquant a incité les signataires multisig du Security Council de Drift à pré-autoriser des transactions à l'aide de durable nonces. Le 27 mars, Drift a migré son Security Council vers une configuration à seuil 2/5 avec un timelock zéro, que l'attaquant a ensuite exploitée.

En parallèle, l'attaquant a créé un token appelé CarbonVote Token (CVT), l'a alimenté en liquidités et en a gonflé le prix via du Wash Trading. Les oracles de Drift ont traité le CVT comme une garantie légitime.

Le 1er avril, les transactions pré-signées ont été diffusées. TRM a indiqué que 31 retraits ont été exécutés en environ 12 minutes, drainant des USDC, des JLP (le token de fournisseur de liquidité Jupiter) et d'autres actifs. La plupart des fonds ont été bridgés vers Ethereum en quelques heures et n'ont pas bougé depuis.

KelpDAO a perdu 292 millions de dollars via une faille LayerZero à vérificateur unique

La faille de KelpDAO le 18 avril a ciblé le bridge LayerZero rsETH du projet sur Ethereum. rsETH est le token de liquid restaking de KelpDAO, qui représente de l'ETH restaké sur plusieurs protocoles.

Selon TRM, les attaquants ont compromis deux nœuds RPC internes et ont remplacé le logiciel de ces nœuds pour leur faire rapporter de fausses données Blockchain. Ils ont ensuite lancé une attaque DDoS contre des nœuds RPC externes non compromis, forçant le vérificateur du bridge à basculer vers les deux nœuds internes empoisonnés.

Les nœuds empoisonnés ont faussement signalé que le rsETH avait été brûlé sur la chaîne source, alors qu'aucun burn n'avait eu lieu. Le vérificateur unique a confirmé le message cross-chain frauduleux comme légitime, et l'attaquant a drainé environ 116 500 rsETH d'une valeur d'environ 292 millions de dollars du contrat de bridge.

TRM a indiqué que la configuration DVN unique (Decentralized Verifier Network) est la vulnérabilité déterminante. LayerZero permet de configurer plusieurs vérificateurs indépendants pour la validation cross-chain, mais le déploiement rsETH de KelpDAO n'utilisait que le DVN de LayerZero Labs. Sans qu'un second vérificateur soit requis pour valider, une seule source de données empoisonnée a suffi.

TRM a attribué l'exploit à la Corée du Nord sur la base d'une analyse on-chain du pré-financement et du blanchiment. Une partie du financement initial remontait à un wallet Bitcoin de 2018 contrôlé par Wu Huihui, un courtier crypto chinois mis en examen en 2023 pour blanchiment de vols commis par le Lazarus Group, l'unité de hacking liée à l'État nord-coréen à l'origine de certains des plus grands exploits crypto jamais enregistrés. D'autres fonds provenaient du hack BTCTurk, un autre vol récent de TraderTraitor.

Les hacks de Drift et KelpDAO révèlent différentes stratégies de blanchiment crypto

Drift et KelpDAO illustrent des approches de blanchiment distinctes, façonnées par des conditions opérationnelles différentes.

Pour Drift, les tokens volés ont été convertis en USDC via Jupiter, bridgés vers Ethereum, échangés contre de l'ETH et distribués dans de nouveaux wallets. Les fonds n'ont pas bougé depuis le jour du vol. Le groupe responsable suit un schéma nord-coréen documenté consistant à conserver les produits pendant des mois ou des années avant d'exécuter un retrait structuré.

KelpDAO a suivi une autre voie. Les hackers de TraderTraitor ont laissé environ 30 766 ETH sur Arbitrum, et l'Arbitrum Security Council a utilisé ses pouvoirs d'urgence pour geler environ 75 millions de dollars de ces fonds. Le gel a déclenché une course précipitée au blanchiment.

Environ 175 millions de dollars d'ETH non gelés ont été échangés contre du Bitcoin, principalement via THORChain, un protocole de liquidité cross-chain sans exigence KYC. Umbra, un outil de confidentialité Ethereum, a été utilisé pour masquer certains liens entre wallets avant la conversion. TRM a indiqué que la phase de blanchiment en cours est gérée presque entièrement par des intermédiaires chinois plutôt que par les Nord-Coréens eux-mêmes.

THORChain a traité la majorité des produits issus à la fois de la faille Bybit de 2025 et du hack KelpDAO de 2026, convertissant des centaines de millions d'ETH volés en Bitcoin sans intervention d'un opérateur. En 2025, la plupart des fonds Bybit volés ont été convertis d'ETH en BTC via THORChain entre le 24 février et le 2 mars. KelpDAO a suivi le même schéma en avril 2026.

Les développeurs et validateurs de THORChain ont déclaré que le protocole est décentralisé, sans opérateur central, et qu'il ne peut pas rejeter de transactions. Des déclarations récentes sur X de membres du projet suggèrent que ce n'est pas, ou n'a pas toujours été, le cas.

Ce que TRM recommande aux équipes de conformité de surveiller

Le rapport a listé quatre priorités de surveillance pour les exchanges et les protocoles DeFi.

Les exchanges recevant des entrées de BTC depuis les pools THORChain doivent effectuer un filtrage par rapport aux clusters d'adresses connus de KelpDAO et du Lazarus Group. L'attribution des adresses spécifiques à KelpDAO est en cours, et TRM a recommandé de re-filtrer les dépôts après 30 jours, car l'attribution des adresses liées à KelpDAO est toujours en cours de finalisation.

Les protocoles utilisant le multisig du Solana Security Council avec une autorisation de durable nonce devraient traiter l'incident Drift comme une attaque modèle qui sera répliquée, car elle ciblait l'infrastructure de gouvernance plutôt que la logique applicative.

Le filtrage des adresses au premier saut seul ne permettra pas de détecter les fonds ayant transité par des wallets intermédiaires avant d'atteindre un exchange. KelpDAO et Bybit ont tous deux impliqué une infrastructure de bridge ou cross-chain, et TRM a indiqué qu'une analyse multi-saut est nécessaire.

TRM a également mentionné son Beacon Network, qui compte plus de 30 membres, dont Coinbase, Binance, Kraken, OKX et Crypto.com, et qui trace automatiquement en temps réel les adresses d'attaquants signalées lorsque des fonds liés à la Corée du Nord atteignent une institution participante.