Des hackers nord-coréens ont orchestré le plus grand vol de cryptomonnaies de 2026, dérobant 293 millions de dollars à KelpDAO. Cette cyberattaque du groupe Lazarus révèle les vulnérabilités persistantes de la finance décentralisée face aux capacités cybercriminelles croissantes de la Corée du Nord.
Corée du Nord : le plus grand vol de crypto de l’année
By
Published on 21 avril 2026 14h45
La Corée du Nord derrière le plus grand braquage numérique de 2026
Le 18 avril 2026 demeurera gravé dans l'histoire de la finance décentralisée comme l'orchestration du plus spectaculaire détournement de cryptomonnaies de l'année. Des hackers nord-coréens du redoutable groupe Lazarus ont exécuté une cyberattaque d'une envergure sans précédent, s'appropriant 293 millions de dollars de la plateforme KelpDAO. Cette offensive, menée avec une technique remarquable, témoigne de l'ascension fulgurante des capacités cybercriminelles du régime de Pyongyang au cœur de l'écosystème des actifs numériques.
L'assaut s'est déployé selon une chorégraphie désormais emblématique des pirates informatiques mandatés par la Corée du Nord. À 17h35 UTC précisément, les assaillants ont exploité une vulnérabilité critique du bridge LayerZero de KelpDAO, injectant un message falsifié au sein du système. Cette manœuvre chirurgicale leur a permis de libérer 116 500 rsETH, soit l'équivalent de 293 millions de dollars, littéralement matérialisés par cette faille sécuritaire béante.
Rompant avec leurs stratégies conventionnelles de liquidation immédiate, les cybercriminels ont déployé une approche d'un raffinement inédit. Ils ont directement déposé les tokens dérobés sur les protocoles de prêt Aave V3 et V4, empruntant ensuite des WETH authentiques avant de s'évanouir dans les méandres du cyberespace. Cette tactique révèle une maîtrise approfondie des rouages de la finance décentralisée.
Un système de sécurité défaillant au cœur de la polémique
La vélocité de l'opération trahit une préparation d'une minutie exemplaire. En seulement 46 minutes, avant que KelpDAO ne parvienne à paralyser son bridge, les fonds avaient déjà basculé de propriétaire. Cette fenêtre temporelle étriquée soulève des interrogations majeures concernant l'efficacité des dispositifs de surveillance en temps réel des protocoles de finance décentralisée.
L'incident a immédiatement déclenché une guerre de communiqués entre LayerZero et KelpDAO. LayerZero a pointé du doigt la configuration sécuritaire « single-DVN » de KelpDAO, soutenant qu'elle contredisait frontalement le modèle de redondance multi-DVN qu'ils préconisaient ardemment. Selon leur diagnostic, l'attaque était « circonscrite exclusivement à la configuration rsETH de KelpDAO ».
KelpDAO a riposté avec vigueur à ces accusations dans une réponse publiée sur CoinDesk. La plateforme a dévoilé que le guide de démarrage officiel de LayerZero, ainsi que la configuration par défaut sur GitHub, orientaient invariablement vers un setup DVN 1/1. « Kelp n'a pas opté pour une configuration occulte exotique, elle s'est conformée scrupuleusement à la documentation publique », ont-ils rétorqué.
Cette controverse sur les vulnérabilités technologiques n'est pas sans rappeler d'autres cyberattaques d'envergure qui ont secoué l'écosystème numérique cette année.
Les empreintes digitales du groupe Lazarus
L'enquête préliminaire menée par LayerZero a rapidement identifié les signatures caractéristiques du groupe Lazarus, l'organisation cybercriminelle la plus redoutable au service de la Corée du Nord. Les indicateurs techniques convergent spécifiquement vers l'unité TraderTraitor, spécialisée dans le détournement de cryptomonnaies. Cette attribution repose sur l'analyse des tactiques opérationnelles et des empreintes blockchain cohérentes avec leurs campagnes antérieures.
Le groupe Lazarus a déjà établi un palmarès criminel impressionnant. Depuis 2017, cette organisation a subtilisé 6,75 milliards de dollars de cryptomonnaies, dont 2 milliards exclusivement en 2025. Parmi leurs exploits les plus retentissants figurent le piratage du Ronin Network, qui avait dérobé 625 millions de dollars en mars 2022, et l'attaque contre Bybit l'année précédente. Plus récemment, ils ont ciblé Bitrefill et Drift Protocol, confirmant leur spécialisation croissante dans l'écosystème crypto.
Selon les Nations Unies et plusieurs analyses blockchain, ces vols massifs alimentent directement le programme d'armement nucléaire et balistique de la Corée du Nord. Les cryptomonnaies offrent au régime un moyen particulièrement efficace de contourner les sanctions internationales tout en finançant ses ambitions militaires. Cette stratégie de financement par la cybercriminalité s'est considérablement intensifiée ces dernières années, faisant de Pyongyang l'un des acteurs les plus destructeurs de l'espace crypto.
Un effet domino sur l'écosystème DeFi
L'impact de l'attaque a largement transcendé les frontières de KelpDAO, propageant ses répercussions à travers l'intégralité de l'écosystème de la finance décentralisée. La valeur totale verrouillée (TVL) d'Aave s'est effondrée brutalement, chutant de 26,4 à 17,9 milliards de dollars, soit une contraction vertigineuse de plus de 30%.
Le token AAVE a essuyé une dépréciation de 18%, tandis que les protocoles de prêt comme Compound et Euler ont été contraints d'adopter des mesures de protection d'urgence. Ces plateformes ont immédiatement gelé leurs réserves WETH et ajusté leurs paramètres de risque pour endiguer la contagion. Au total, 8 milliards de dollars de retraits nets ont été enregistrés, témoignant de la panique généralisée des investisseurs.
La sophistication technique des attaquants nord-coréens
L'analyse technique de l'attaque dévoile un niveau de sophistication qui surpasse largement les capacités de cybercriminels conventionnels. Les pirates ont compromis l'infrastructure RPC utilisée par le DVN de LayerZero Labs, démontrant une compréhension fine des vulnérabilités systémiques de la finance décentralisée.
Immédiatement après le vol, les hackers ont déployé Tornado Cash pour brouiller les pistes, puis ont entamé la conversion de leurs gains en bitcoins via plusieurs protocoles décentralisés. Cette stratégie de blanchiment multi-étapes, mobilisant Thorchain, Umbra Cash et Chainflip, atteste d'une planification d'une minutie exceptionnelle.
Face à la tentative de gel d'urgence de 30 766 ETH par le Conseil de sécurité d'Arbitrum, les attaquants ont riposté avec une agilité remarquable. Ils ont immédiatement transféré les 75 701 ETH restants (175 millions de dollars) vers le réseau principal d'Ethereum, vidant quasi-intégralement leur adresse d'origine.
Des enseignements capitaux pour l'avenir de la DeFi
Cet incident soulève des questions fondamentales concernant la sécurité de la finance décentralisée. Les pertes cumulées du secteur ont dépassé 600 millions de dollars en seulement trois semaines, révélant une vulnérabilité structurelle alarmante. La TVL de l'écosystème DeFi global s'est contractée de 25% pour s'établir à 82,4 milliards de dollars.
L'affrontement entre LayerZero et KelpDAO met également en exergue les zones grises de la responsabilité dans un environnement décentralisé. La controverse autour des configurations sécuritaires suggère un besoin urgent de standardisation des bonnes pratiques. Comme l'a souligné avec pertinence Zach Rynes, community manager chez Chainlink, « reprocher à Kelp d'avoir accordé sa confiance à un setup que LayerZero soutenait elle-même » révèle les contradictions intrinsèques du secteur.
Pour les investisseurs particuliers, cet épisode constitue un rappel brutal des risques inhérents à la finance décentralisée. Les protocoles doivent désormais repenser leurs architectures sécuritaires, privilégiant les configurations multi-signatures et les mécanismes de vérification redondants. L'heure est venue d'une maturité technique qui permettra à la DeFi de résister aux assauts des cybercriminels parrainés par des États comme la Corée du Nord, dont les capacités ne cessent de se sophistiquer dans cette guerre économique souterraine.