La Corée du Nord a dérobé 577 millions de dollars sur les 651 millions de pertes totales liées aux hacks crypto entre janvier et avril 2026, selon les données de TRM Labs publiées en mai 2026. Soit 76% de l'ensemble des pertes du secteur, concentrées sur deux opérations attribuées au sous-groupe TraderTraitor du Lazarus Group.
Données clés
- Pertes DPRK janv.-avr. 2026 577 000 000 $
- Total pertes hacks crypto (avr. 2026) 651 000 000 $
- Part DPRK sur le total 76%
- Drift Protocol (1er avr., TraderTraitor) 285 000 000 $
- Kelp DAO (18 avr., TraderTraitor) 292 000 000 $
- Avril 2026: pire mois depuis févr. 2025 651 M$ au total
Source: TRM Labs, Chainalysis, Elliptic · Mai 2026
Source: TRM Labs, Chainalysis, Elliptic · Mai 2026
Deux attaques. Deux protocoles radicalement différents. Le même acteur, le même mois. Drift Protocol a perdu 285 millions de dollars sur Solana le 1er avril, une opération attribuée au sous-groupe TraderTraitor du Lazarus Group par Elliptic et TRM Labs. Kelp DAO a perdu 292 millions le 18 avril: même unité, vecteur complètement différent (compromission du bridge LayerZero plutôt que social engineering côté Solana). La Coreée du Nord n'improvvisait pas. TraderTraitor menait plusieurs opérations en parallèle.
Security Incident Report
- Protocole Drift Protocol (Solana)
- Montant volé 285 000 000 $
- Date 1er avril 2026
- Vecteur d'attaque Infiltration long terme: création du CarbonVote Token (CVT) le 11 mars, wash trading systématique, puis exploit des vaults Drift en 12 minutes. Fonds transférés via Circle CCTP de Solana vers Ethereum en 6 heures pendant les heures de bureau américaines.
- Attribution Lazarus Group / TraderTraitor (Elliptic, TRM Labs). Horodatages compatibles avec les horaires de Pyongyang. Pré-financement depuis Tornado Cash: 10 ETH.
Source: Elliptic, TRM Labs, ZachXBT · Avril 2026
Source: Elliptic, TRM Labs, ZachXBT · Avril 2026
Security Incident Report
- Protocole Kelp DAO (rsETH/LayerZero)
- Montant volé 292 000 000 $
- Date 18-19 avril 2026
- Vecteur d'attaque Compromission RPC du DVN LayerZero et DDoS sur les nœuds non compromis. Drainage de 116 500 rsETH. Aave V3 touchée par des créances douteuses liées aux rsETH utilisés comme garantie.
- Attribution Lazarus Group / TraderTraitor (post-mortem officiel LayerZero, 20 avril 2026). Environ 175 M$ blanchi via THORChain en 36 heures.
Source: LayerZero Labs, Chainalysis, ZachXBT · Avril 2026
Source: LayerZero Labs, Chainalysis, ZachXBT · Avril 2026
Pour l'analyse complète de l'exploit Kelp DAO et du cas Drift Protocol, dont la résolution de la crise Aave post-exploit, consultez notre analyse sur Aave et la récupération des 95% de rsETH.
Comment la Corée du Nord vole-t-elle les cryptomonnaies?
En réalité, le modèle a évolué bien au-delà du hacker solitaire scrutant le code des smart contracts. La structure nord-coréenne, identifiée par Chainalysis, TRM Labs et les enquêteurs du FBI sous le nom TraderTraitor, fonctionne comme une entreprise. Elle recrute des développeurs via de fausses offres d'emploi (les opérations GhostHire documentées par Cisco Talos), les place comme prestataires au sein de sociétés crypto, où ils travaillent pendant des mois comme employés ordinaires. Puis, au moment choisi, ils exploitent cet accès interne pour compromettre des clés privées, modifier des configurations ou vider des wallets.
#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.
, PeckShieldAlert (@PeckShieldAlert) May 15, 2026
The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK
Le cas Drift est le plus documenté. Les attaquants avaient créé des comptes développeur sur Solana le 23 mars, trois semaines avant le passage à l'acte. Ils avaient effectué du wash trading pour crédibiliser le CarbonVote Token. Ils avaient attendu. Le 1er avril, en 12 minutes, ils ont vidé les vaults. Puis ils ont utilisé Circle CCTP, le protocole cross-chain d'USDC, pour déplacer 232 millions de dollars de Solana vers Ethereum en 6 heures, pendant les heures de bureau américaines. Circle n'est pas intervenue. Le rôle du Lazarus Group dans l'exploit Kelp a suivi la même logique de planification à long terme.
L'IA s'intègre désormais au processus. Les campagnes GhostCall et GhostHire documentées par Cisco Talos utilisent des voix clonées et des deepfakes pour usurper l'identité de dirigeants Web3 lors des entretiens vidéo, augmentant le taux de réussite des infiltrations. Ce n'est pas encore le modèle «l'IA attaque les smart contracts» du benchmark EVMbench, mais c'en est le précurseur: l'IA comme outil de préparation et de couverture, avant l'exploit.
THORChain et le vide réglementaire européen
TRM Labs n'a pas encore attribué l'exploit THORChain du 15 mai à la Corée du Nord. Si une implication de TraderTraitor était confirmée dans cette opération de 10,8 millions de dollars, les pertes DPRK en 2026 atteindraient 588 millions avant la mi-année. La réponse réglementaire européenne s'est concentrée sur la Russie, alors que le dossier nord-coréen reste le problème de sécurité le plus concret et le moins traité du secteur. L'OFAC a sanctionné des dizaines de facilitateurs nord-coréens en 2026, le dernier cycle en mars. Sans effet suffisant.
La communauté THORChain vote sa propre remédiation d'ici le 22-23 mai. Si l'attribution change pour inclure TraderTraitor, la pression s'intensifiera sur le secteur pour adopter des mécanismes de filtrage des transactions: des dispositifs que, selon les estimations de Chainalysis, environ 99% des bridges et protocoles cross-chain ne possèdent pas aujourd'hui. Dans le cadre de MiCA, l'AMF et les autres régulateurs européens disposent d'outils pour imposer ce filtrage aux CASPs agréés opérant dans l'UE. La vraie question est de savoir si ces outils seront déployés face aux menaces étatiques, et pas seulement pour la conformité des utilisateurs. Retrouvez tous les développements dans la section Hack de SpazioCrypto.
