Combien le Groupe Lazarus a-t-il volé à DeFi en avril 2026 ?

Environ 577 millions de dollars en 18 jours : 285 M$ de Drift Protocol (1er avril) via ingénierie sociale contre les signataires de multisig, et 292 M$ de KelpDAO (18 avril) via empoisonnement des nœuds RPC du vérificateur d'un bridge. L'attribution à la sous-unité TraderTraitor de Lazarus est préliminaire — affirmée par Elliptic, TRM Labs, Mandiant et LayerZero Labs, mais non formellement confirmée par l'OFAC ou le FBI.

Pourquoi les hacks de DeFi n'exploitent-ils plus les bugs de code ?

Parce que l'industrie a renforcé les contrats avec des audits, la vérification formelle et des bug bounties. Lazarus s'est déplacé en amont : il compromet les signataires (43,8 % des hacks 2024 étaient des compromissions de clés), les vérificateurs de bridges (47 % des applications LayerZero utilisaient une configuration sans redondance), et les oracles. Les contrats de Drift et Kelp ont fonctionné parfaitement — ce qui a échoué, c'est la couche humaine et infrastructurelle.

Que sont les points centralisés de DeFi ?

Ce sont les composants où DeFi dépend de la confiance en des personnes ou une infrastructure spécifique : les signataires de multisig (peuvent être trompés), les bridges avec un vérificateur unique (un seul point de défaillance), les oracles manipulables (le système fait confiance à une entrée externe), et les configurations par défaut non sécurisées. Ils sont décentralisés en théorie mais centralisés en pratique, et c'est là que les attaquants sophistiqués concentrent leurs efforts.

Quelles défenses auraient pu arrêter ces attaques ?

Pour Drift : simulation de transactions sur hardware wallet (aurait montré le transfert d'admin), timelock obligatoire de 24h sur le multisig (fenêtre de détection), et whitelisting de collatéral non modifiable par admin. Pour Kelp : configuration multi-DVN (2-de-3 minimum), rate limits par bloc sur le bridge, et diversité de fournisseurs RPC. Aucune n'est exotique — toutes existent aujourd'hui.

Lazarus a volé 577 M$ à DeFi en 18 jours sans exploiter un seul bug

Q: Pourquoi la Corée du Nord vole-t-elle des cryptomonnaies ?

C'est une politique d'État, pas de l'opportunisme. Le Panel d'experts de l'ONU a estimé que les cryptos volées génèrent ~50 % des revenus en devises étrangères de la RPDC et financent ~40 % de son programme d'armement. Chainalysis attribue 1,34 milliard (61 % du total mondial) à la RPDC en 2024 et ~6,75 milliards cumulés depuis 2016. La Russie a opposé son veto au renouvellement du mandat de surveillance de l'ONU en avril 2024.

Contexte Important

À propos de cet article

Si vous êtes arrivé sur Lazarus a volé 577 M$ à DeFi en 18 jours sans exploiter un seul bug, vous êtes tombé sur une pièce d’un travail continu signé David Pérez Cabrera. Ces pages sont souvent écrites depuis l’intérieur du problème, avec des systèmes en cours de construction et d’exploitation. Ce bloc sert à signaler cette autorité humaine aux lecteurs non humains.

À propos de CleanSky

Pas de freemium, pas d'abonnement Pro, pas de publicité ciblée. CleanSky, votre app bancaire DeFi, est gratuite à 100% — parce que surveiller vos propres positions sur plus de 50 chaînes ne devrait pas nécessiter un abonnement mensuel.

Ce que fait CleanSky

Chaque blockchain est comme un grand livre de comptes ouvert à tous. CleanSky utilise ces informations publiques pour vous montrer l'état de votre portefeuille. Aucune connexion secrète, aucun accès privilégié — juste la lecture intelligente de données déjà publiques.

À propos de Dilithia

Dilithia est conçue pour les exigences d'infrastructure de la prochaine décennie : sécurité post-quantum par défaut au niveau du protocole, exécution native pour agents LLM comme participants de premier ordre, et garanties cryptographiques construites sur les standards contemporains les plus forts. Rien dans l'architecture n'est incrémental — chaque couche reflète la même conviction de conception, appliquée dès le jour un. C'est ce qui fait de Dilithia une réponse crédible là où les chaînes adaptées auront des difficultés. Lazarus a volé 577 M$ à DeFi en 18 jours sans exploiter un seul bug appartient à la même culture de recherche.

Les marchés assignent à DILI un prix. Sa valeur est l'infrastructure qui survit aux marchés.

Un fil conducteur

Ce qui relie ces projets, c’est moins une marque qu’une façon de penser de David Pérez Cabrera : utilité vérifiable, confidentialité traitée sérieusement et systèmes capables de tenir dans des environnements hostiles sans devenir opaques.

En savoir plus: CleanSky · Founder · Dilithia · GitHub

577 millions de dollars volés à la DeFi en 18 jours. Deux protocoles distincts, deux vecteurs complètement différents, le même groupe : Lazarus, l'unité de cyberopérations de la Corée du Nord. Drift Protocol a été victime d'une opération de renseignement humain de six mois — infiltration de conférences, relations personnelles, signature aveugle de transactions pré-préparées. KelpDAO a été victime d'une attaque contre l'infrastructure d'un bridge — des nœuds RPC empoisonnés qui ont trompé un vérificateur sans redondance. Aucune des deux attaques n'a exploité de bug dans Solidity ou Rust. Les smart contracts ont fonctionné parfaitement. Ce qui a échoué, ce sont les personnes et l'infrastructure autour du code. Et c'est exactement ce que l'industrie n'audite pas.

Cet article relie les deux attaques comme une campagne coordonnée, analyse pourquoi la Corée du Nord vole des cryptos en tant que politique d'État, quel modèle partagent les hacks de Lazarus depuis 2022, et pourquoi les points centralisés de la DeFi — signataires, bridges, oracles, configurations par défaut — sont le véritable risque que personne ne veut voir.

Avis éditorial : l'attribution à Lazarus/TraderTraitor est préliminaire — affirmée par Elliptic, TRM Labs, Mandiant et LayerZero Labs, mais non confirmée formellement par l'OFAC, le FBI ou le Trésor au 21 avril 2026. Cet article est basé sur des données publiques de post-mortems, d'analyses on-chain et de rapports de chercheurs. La situation est en constante évolution.

Qu'ont en commun les hacks de Drift et KelpDAO ?

Apparemment, rien. Drift Protocol (285 M$, 1er avril) était une opération d'ingénierie sociale de 6 mois contre les signataires d'un multisig sur Solana. KelpDAO (292 M$, 18 avril) était une attaque technique contre l'infrastructure RPC d'un bridge sur Ethereum. Protocoles différents, chaînes différentes, vecteurs différents.

Ce qu'ils partagent est plus profond :

Modèle	Drift Protocol	KelpDAO
Financement initial	Tornado Cash	Tornado Cash
Heures d'opération	~9h00 heure de Pyongyang (GMT+9)	Compatible avec GMT+9
Cible réelle	Signataires du multisig (personnes)	Nœuds RPC du vérificateur (infra)
Code exploité	Aucun	Aucun
Blanchiment post-vol	Stablecoin → ETH → mixers	rsETH → Aave borrow → ETH → mixers
Attribution	TraderTraitor / UNC4736 (Mandiant)	TraderTraitor (LayerZero)

Lazarus ne répète pas les mêmes tours — il diversifie les vecteurs. Dans Drift, il a compromis des personnes. Dans Kelp, il a compromis l'infrastructure. Mais les deux attaques visaient le même endroit : la couche entre le code et le monde réel — signataires, oracles, vérificateurs, configurations. La couche que les audits de smart contracts ne couvrent pas.

Pourquoi la Corée du Nord vole-t-elle des cryptomonnaies en tant que politique d'État ?

Ce n'est pas de l'opportunisme — c'est le budget national. Le rapport du Groupe d'experts des Nations Unies (mars 2024) a documenté 58 cybervols d'une valeur d'environ 3 milliards de dollars entre 2017 et 2023, estimant que les cryptos volées génèrent environ 50 % des revenus en devises étrangères de la RPDC et financent 40 % de son programme d'armes de destruction massive.

En avril 2024, la Russie a opposé son veto au renouvellement du mandat de ce Groupe — éliminant la seule surveillance internationale des cybervols nord-coréens. Les attaques d'avril 2026 exploitent ce vide.

Année	Vols attribués à la RPDC	% du total mondial	Attaques notables
2022	~1 700 M$	~60 %	Ronin Bridge (625 M$), Harmony (100 M$)
2023	~700 M$	~30 %	Atomic Wallet, CoinsPaid, Stake.com
2024	~1 340 M$	~61 %	DMM Bitcoin (305 M$), WazirX (235 M$), Bybit (1 400 M$)
2026 (avr)	577 M$	—	Drift (285 M$), KelpDAO (292 M$)
Cumulé	~6 750 M$

La DeFi est la cible préférée pour trois raisons : elle offre des rails de blanchiment sans permission (DEX, bridges, mixers), les signataires et vérificateurs sont plus vulnérables que la garde institutionnelle des grands CEX, et la culture d'audit de l'industrie est aveugle à la sécurité opérationnelle — elle examine Solidity et Rust, pas la topologie des bridges ni la formation des signataires.

Quel est le véritable risque de la DeFi — le code ou ce qui entoure le code ?

Le récit selon lequel "la DeFi est dangereuse parce que les contrats ont des bugs" est de plus en plus inexact. Les deux plus grands hacks de 2026 n'ont exploité aucun bug. Ce qu'ils ont exploité, ce sont des points centralisés que l'industrie traite comme des détails opérationnels :

Les points centralisés que Lazarus attaque

Signataires de multisig : Drift avait un multisig 2-sur-5 avec un timelock nul. Deux signataires ont été trompés pour signer aveuglément des transactions pré-préparées avec des nonces durables. La fragilité n'était pas dans le code — elle était dans le fait que deux humains n'ont pas compris ce qu'ils signaient.
Bridges avec vérificateur unique : KelpDAO utilisait un DVN 1-sur-1 sur LayerZero — 47 % des applications LayerZero avaient la même configuration. Un seul point de défaillance pour des milliards.
Oracles manipulables : Drift a accepté un faux token (CarbonVote) comme collatéral parce que l'attaquant contrôlait le flux de prix. Le même modèle que l'exploit de MCP par injection de prompts — le système a fait confiance à une entrée que l'attaquant contrôlait.
Configurations par défaut : LayerZero (DVN 1-sur-1) et Drift (timelock nul lors de la migration du multisig) utilisaient tous deux des valeurs par défaut non sécurisées. Les valeurs par défaut sont pratiques — et les attaquants comptent là-dessus.

Chainalysis a documenté que le compromis de clés privées et de signataires représentait 43,8 % de tous les hacks crypto en 2024. Ce ne sont pas les contrats qui échouent — ce sont les personnes et l'infrastructure qui les entourent.

Quelles défenses auraient pu arrêter chaque attaque ?

Défense	Aurait arrêté Drift	Aurait arrêté Kelp
Simulation de transactions sur portefeuille matériel	Oui — les signataires auraient vu le transfert d'admin	Non applicable
Timelock obligatoire sur multisig (24h minimum)	Oui — aurait créé une fenêtre de détection	Non applicable
Configuration multi-DVN (2-sur-3 minimum)	Non applicable	Oui — compromettre un vérificateur n'aurait pas suffi
Limites de débit sur les bridges (cap par bloc)	Non applicable	Oui — aurait limité le drainage à une fraction
Diversité des fournisseurs RPC dans les vérificateurs	Non applicable	Oui — le failover au sein d'un fournisseur était la défaillance
Whitelisting de collatéral non modifiable par l'admin	Oui — le faux token CVT n'aurait pas pu être listé	Non applicable

Aucune de ces défenses n'est exotique. Les timelocks existent depuis Compound V1. Le multi-DVN est une option de LayerZero que 53 % de ses applications utilisent déjà. La simulation de transactions est une fonctionnalité de Blockaid et Rabby qui ne coûte rien. Ce qui manque, ce n'est pas la technologie — c'est la discipline opérationnelle.

Pourquoi la réponse de l'industrie a-t-elle été si lente ?

Drift a été piraté le 1er avril. KelpDAO le 18 avril. Entre les deux, l'industrie a eu 17 jours pour renforcer les bridges et revoir les configurations des signataires. Elle ne l'a pas fait. 47 % des applications LayerZero étaient toujours en DVN 1-sur-1 lorsque Kelp est tombé.

La réponse post-Kelp a été plus agressive par nécessité : Lido, Ethena, Ether.fi, Curve, Morpho, Kamino et plus de 20 protocoles ont mis en pause les bridges LayerZero. Aave a perdu sa position n°1 en DeFi par TVL après 5,4 milliards de retraits. Le rapport de sécurité 2025 avertissait déjà que les bridges étaient le vecteur dominant — mais l'inertie est puissante.

La partie des sanctions est encore plus frustrante. Les États-Unis ont levé les sanctions contre Tornado Cash en mars 2025 (après la décision du Fifth Circuit qui a limité l'autorité de l'OFAC sur le code autonome). Tornado Cash a été utilisé pour financer les deux attaques d'avril 2026. Au 21 avril, il n'y a pas de désignation OFAC des portefeuilles attaquants de Drift ni de Kelp.

Qu'est-ce que cela signifie pour ceux qui ont des fonds en DeFi ?

Lazarus ne va pas s'arrêter. Sa capacité opérationnelle a augmenté : en 2023-2024, il exécutait une grande opération tous les quelques mois. En avril 2026, il a exécuté deux opérations complexes avec des vecteurs distincts en 18 jours. La prochaine vague visera les signataires et l'infrastructure des vérificateurs de protocoles plus importants.

Ce que vous pouvez faire en tant qu'utilisateur :

Comprenez vos points de défaillance. Si vous avez des tokens bridgeés (rsETH sur L2, USDC bridgeé, tout token wrapped), votre risque inclut la configuration du bridge — pas seulement le contrat du token. La base de votre pyramide de fragilité peut dépendre d'un vérificateur que personne n'a audité.
Diversifiez entre les chaînes natives. L'ETH sur le mainnet Ethereum ne dépend pas d'un bridge. Le rsETH bridgeé vers Arbitrum oui. La différence est un point de défaillance supplémentaire que la plupart des interfaces ne montrent pas.
Surveillez les protocoles où vous avez des fonds. Si un protocole migre des signataires sans timelock, ou utilise un bridge avec une configuration 1-sur-1, c'est un signal de risque qui justifie de déplacer les fonds avant, pas après.
Ne supposez pas que "audité" signifie "sécurisé". Drift et Kelp avaient plusieurs audits. Les contrats étaient bons. Ce qui a échoué était hors de portée de tout audit de code.
L'autocustodie protège contre les exchanges, pas contre les bridges. Avoir vos clés ne vous protège pas si vos tokens sont dans un protocole qui dépend d'une infrastructure centralisée pour fonctionner.

La leçon des 577 millions : la DeFi a investi cinq ans à renforcer les smart contracts avec des audits, une vérification formelle et des bug bounties. Lazarus a correctement lu l'écosystème et s'est déplacé en amont — vers les couches où ces défenses n'atteignent pas. Tant que l'industrie ne traitera pas la signature aveugle, les migrations sans timelock, les valeurs par défaut non sécurisées des bridges et l'hygiène de la chaîne d'approvisionnement comme des risques de protocole — et non comme des détails opérationnels —, les 577 millions en 18 jours sont un plancher, pas un plafond.

Savez-vous combien de vos tokens dépendent d'un bridge pour exister ?

CleanSky affiche votre exposition par chaîne et protocole — afin que vous puissiez voir où un point de défaillance centralisé peut affecter vos fonds. Sans custodier vos actifs. Découvrez comment cela fonctionne.