Actus Crypto

Le groupe Lazarus a peut-être compromis plusieurs des meilleurs protocoles DeFi : ce que nous savons jusqu’à présent

Par Leo

Publié le

Retour à l'accueil > Actus Crypto > Le groupe Lazarus a peut-être compromis plusieurs des meilleurs protocoles DeFi : ce que nous savons jusqu’à présent


Points clés à retenir

  • Le groupe Lazarus a peut-être contribué à la création de nombreux protocoles DeFi de premier plan grâce à une infiltration à long terme et à des contributions de code.
  • Le groupe a exécuté un piratage sophistiqué du Drift Protocol d’une valeur de 285 millions de dollars en utilisant des mois d’ingénierie sociale et de logiciels malveillants.
  • L’ingénierie sociale reste la tactique principale de Lazarus, comme en témoignent les piratages majeurs comme Ronin et le ciblage DeFi en cours.

Une nouvelle vague d’analyses en chaîne oblige l’industrie de la cryptographie à faire face à une possibilité inconfortable.

L’un de ses adversaires les plus sophistiqués a peut-être toujours été à l’intérieur du système.

Le groupe nord-coréen Lazarus, déjà lié à certains des plus grands vols de cryptomonnaies jamais enregistrés, est désormais soupçonné d’avoir intégré des agents au cœur des projets DeFi, de contribuer au code, d’instaurer la confiance et, dans certains cas, de façonner l’infrastructure même qu’ils exploiteraient plus tard.

Un long jeu caché à la vue de tous

Depuis des années, Lazarus est connu pour ses exploits très médiatisés.

Ce qui émerge aujourd’hui est quelque chose de plus patient et de plus difficile à détecter.

Plutôt que de s’appuyer uniquement sur des vulnérabilités techniques, le groupe semble s’être fortement appuyé sur l’ingénierie sociale et l’accès humain.

Les rapports suggèrent les agents ont utilisé de fausses identités, des plateformes indépendantes et des contacts directs pour obtenir des rôles au sein de projets de cryptographie.

Les canaux Discord, les communautés de développeurs et même les conférences industrielles sont devenus des points d’entrée.

Une fois à l’intérieur, la stratégie change. Au lieu de se précipiter pour exploiter, ces acteurs renforcent leur crédibilité.

Ils contribuent au code, participent aux cycles de développement et se familiarisent avec les systèmes internes.

Au fil du temps, cet accès peut se traduire par une connaissance approfondie de l’architecture du protocole ou, dans le pire des cas, par des vulnérabilités subtiles qui restent latentes.

Tayvano, chercheur en blockchain, a souligné aux contributions liées aux informaticiens nord-coréens dans un large éventail de projets depuis l’expansion rapide de DeFi en 2020.

Cela inclut les principales plateformes telles que SushiSwap, THORChain, Harmony, Ankr et Yearn Finance.

Si elle est exacte, l’implication est claire : une partie de la croissance de DeFi peut s’être produite parallèlement à une couche invisible de participation parrainée par l’État.

Quand l’Open Source devient une surface d’attaque

L’ouverture de DeFi a toujours été l’un de ses atouts déterminants.

N’importe qui peut contribuer, auditer ou construire. Cependant, cette même ouverture crée une exposition.

Les protocoles à un stade précoce manquaient souvent de contrôle rigoureux pour les contributeurs, en particulier pendant la période rapide du « DeFi Summer ».

Cet environnement a permis aux acteurs bien préparés de s’intégrer plus facilement.

Les rapports suggèrent que les agents liés à Lazarus ne s’appuyaient pas uniquement sur l’anonymat.

Certains ont rédigé des CV crédibles, maintenu des identités en ligne cohérentes et ont même rencontré des collaborateurs en personne.

La confiance, une fois établie, donnait accès aux référentiels, aux discussions de développement et aux flux de travail internes.

Le résultat n’est pas nécessairement un compromis immédiat, mais plutôt un point d’ancrage à long terme.

Les chercheurs en sécurité avertissent de plus en plus que les audits traditionnels pourraient ne pas suffire à détecter les risques introduits au niveau des contributeurs.

La menace ne réside pas seulement dans un code défectueux. Il s’agit d’un accès fiable.

Le Drift Hack montre comment cela se déroule

La récente attaque contre Drift Protocol illustre comment cette stratégie peut se traduire par des pertes réelles.

Le 1er avril, les attaquants ont détourné environ 285 millions de dollars de l’échange décentralisé basé à Solana.

Plusieurs sociétés de renseignement blockchain, dont Elliptic et TRM Labs, ont attribué la violation à des acteurs nord-coréens.

L’autopsie de Drift témoigne d’une opération de plusieurs mois construite autour de l’établissement de relations.

Les attaquants se sont fait passer pour des légitimes trading entreprise, a établi des contacts lors de conférences et a maintenu une collaboration continue avec les contributeurs.

Pour instaurer la confiance, la fausse entreprise a déposé 1 million de dollars de son propre capital dans un coffre-fort écosystémique et a participé à des séances de travail régulières.

Une fois que la relation semblait routinière, les attaquants ont partagé des référentiels GitHub contenant du code à réviser, une pratique courante dans le développement collaboratif.

Ils ont exploité une vulnérabilité VSCode et Cursor, signalée par la communauté de la sécurité fin 2025.

Au moment où le code malveillant est entré dans le processus, cela ne semblait pas inhabituel.

L’ouverture d’un fichier apparemment routinier a déclenché une exécution silencieuse, permettant aux attaquants de déployer des logiciels malveillants, d’augmenter l’accès et, finalement, de prendre le contrôle des systèmes clés.

Le vol a été exécuté rapidement. Il ne s’agissait pas d’un e-mail de phishing de type smash-and-grab. C’était un professionnel et il comptait sur l’exploitation de la confiance humaine plutôt que sur les bugs du code.

Drift a prévenu que chaque Protocole DeFi gérant une TVL importante était désormais une cible.

L’ingénierie sociale reste l’arme principale de Lazarus

L’incident de Drift s’inscrit dans un schéma plus large.

Lazarus s’est toujours appuyé sur l’ingénierie sociale pour contourner les défenses techniques.

La violation du réseau Ronin en 2022, qui a entraîné des pertes de 625 millions de dollars, a commencé avec de fausses offres d’emploi ciblant un développeur.

Un ingénieur de l’entreprise a téléchargé un logiciel malveillant qui a compromis les nœuds de validation et permis un vol massif.

L’attaque CoinsPaid de 2023 a suivi un playbook similaire, utilisant un processus de recrutement par étapes pour y accéder.

Des campagnes plus récentes ont impliqué des comptes compromis, de faux appels vidéo et des logiciels malveillants déguisés en logiciels de réunion.

Les victimes reçoivent des liens Calendly pour des appels de « rattrapage », suivis de liens vers de faux logiciels de réunion qui déploient des logiciels malveillants via AppleScript ou des scripts similaires.

Le malware extrait les portefeuilles, les mots de passe, les phrases de départ, les clés SSH et les jetons de session Telegram.

Les attaquants détournent ensuite l’identité de la victime pour cibler différents réseaux. Lazarus a volé plus de 300 millions de dollars grâce à cette seule méthode.

Dans de nombreux cas, le point d’entrée initial semble routinier : une opportunité d’emploi, une demande de collaboration ou un contact familier.

Un risque structurel pour DeFi

Pris ensemble, ces développements révèlent un problème plus profond que les piratages isolés.

Si les acteurs liés à l’État ont contribué à des protocoles largement utilisés, le risque ne se limite pas à une seule plateforme.

Cela devient systémique. Les infrastructures telles que les ponts inter-chaînes, les pools de liquidité et les cadres de jetons pourraient comporter une exposition inconnue.

Cela ne veut pas dire que tous les projets sont compromis. Mais cela complique l’hypothèse selon laquelle une collaboration ouverte conduit automatiquement à des résultats sûrs.

Le secteur est désormais confronté à un modèle de menace plus complexe, dans lequel les adversaires agissent non seulement comme des attaquants, mais aussi comme des participants.

Quelle est la prochaine étape pour DeFi

La réponse commence déjà à changer.

Les développeurs mettent davantage l’accent sur la sécurité opérationnelle : en séparant les dispositifs de signature, en renforçant le contrôle des contributeurs et en introduisant des processus d’Avis plus stricts.

Certaines équipes explorent des modèles de confiance zéro, dans lesquels l’accès est vérifié en permanence plutôt que supposé.

Pour les utilisateurs, les changements sont peut-être moins visibles mais tout aussi importants.

Les portefeuilles multisignatures, les mécanismes de verrouillage temporel et la vérification minutieuse des interactions deviennent des recommandations standard plutôt que des garanties facultatives.

À un niveau plus large, la conversation s’étend pour inclure la transparence des contributeurs, le partage de renseignements sur les menaces et, dans certains cas, le contrôle réglementaire.

Un tournant pour la confiance

DeFi a été construit sur l’idée que la confiance pouvait être remplacée par du code.

Les révélations de Lazarus suggèrent que la confiance n’a jamais disparu : elle a simplement évolué.

Des protocoles aux contributeurs, des contrats intelligents aux relations humaines, le système dépend toujours d’hypothèses sur qui participe et pourquoi.

À mesure que l’industrie évolue, ces hypothèses sont testées.

La question n’est plus de savoir si DeFi peut rester ouvert. Il s’agit de savoir si elle peut rester ouverte tout en se défendant contre des acteurs qui ont déjà appris à opérer en son sein.

Articles les plus tendances sur les cryptomonnaies

Prashant Jha est un journaliste crypto chevronné basé à Delhi, en Inde, titulaire d’un baccalauréat en ingénierie informatique. Passionné par le monde en évolution de la blockchain et des crypto-monnaies, il est une voix dévouée dans le secteur depuis 2018. L’expertise de Prashant réside dans le reporting réglementaire, où il dévoile les développements juridiques et financiers complexes avec clarté et précision. Avant de rejoindre CCN en 2024, il a perfectionné son métier chez Cointelegraph, s’imposant comme un nom de confiance dans le journalisme crypto.

Sa couverture couvre les événements majeurs du secteur, notamment les effondrements très médiatisés de FTX, Three Arrows Capital (3AC) et LUNA, offrant aux lecteurs des analyses approfondies de leurs implications réglementaires et commerciales. La formation technique de Prashant lui permet de combler le fossé entre la technologie complexe de la blockchain et ses applications réelles, rendant son travail accessible aux novices et aux experts.

Au-delà de ses activités professionnelles, Prashant est un passionné de musique, explorant souvent divers genres pour se détendre. Amoureux du sport, il a une passion particulière pour le cricket et participe fréquemment à des discussions sur ce jeu. Ses intérêts multiformes et son instinct journalistique aiguisé font de lui un contributeur précieux au CCN, où il continue de façonner le récit du paysage crypto.


prashant.jha@ccn.com

Écrit par Leo

Rédacteur en chef sur Cryptopump depuis 2022. Premier pied crypto en 2017.

Dans la même catégorie

Les banques de Dubaï utilisent désormais la blockchain dans la finance réelle : voici ce qui a changé

Peter Schiff a affirmé que Bitcoin était mort plus de 21 fois – Pourquoi recommence-t-il maintenant ?

Contacter CryptoPump

Si vous souhaitez nous envoyer un mail pour une demande de partenariat, netlinking ou simplement nous aide, envoyez nous un mail.

Nous contacter
Cryptopump.fr


Un condensé de l'information dont vous avez besoin pour comprendre et saisir les bonnes opportunités du Web3

Liens utiles

Cours Crypto

Analyses Crypto

Avis Wallet

Comparatif Wallet

Avis Plateformes

Comparatif Plateformes

© 2026 - Tous droits réservés.

Le contenu disponible sur Cryptopump.fr ne constitue pas un conseil financier.