🗓️ Contexte

Source : The Record Media, publié le 20 avril 2026. L’article couvre un incident majeur survenu le week-end précédent, impliquant le vol de près de 290 millions de dollars en cryptomonnaies sur la plateforme Kelp, attribué au groupe nord-coréen TraderTraitor, une composante de l’opération Lazarus.

🎯 Déroulement de l’attaque

L’attaque a débuté un samedi après-midi, détectée par des sociétés de sécurité blockchain. La chaîne d’attaque est la suivante :

  • Les attaquants ont compromis les systèmes de LayerZero, un développeur d’infrastructure crypto fournissant un outil de messagerie inter-blockchains.
  • LayerZero opère des Decentralized Verifier Networks (DVNs), entités indépendantes vérifiant les messages entre blockchains.
  • Kelp utilisait LayerZero comme seul vérificateur (single DVN) pour l’application rsETH (token permettant de déposer de l’Ether et générer des rendements), contrairement aux recommandations de LayerZero.
  • Les attaquants ont forgé de grandes quantités de rsETH sans collatéral réel, créant de la monnaie fictive.
  • Le rsETH fictif a été utilisé comme collatéral sur d’autres plateformes (dont Aave) pour emprunter de l’Ether réel et des stablecoins indexés sur le dollar.
  • Une attaque DDoS a été lancée contre les systèmes de sauvegarde susceptibles d’interrompre le vol.
  • Les outils utilisés étaient conçus pour s’autodétruire après l’opération.
  • Les tactiques sophistiquées ont empêché les outils de monitoring de détecter les anomalies.

💥 Impact

  • ~290 millions de dollars dérobés à la plateforme Kelp.
  • La plateforme Aave est affectée indirectement ; des milliers d’utilisateurs tentent de retirer leurs fonds, parfois sans succès.
  • Kelp a suspendu son activité le temps de l’investigation.
  • Les forces de l’ordre sont impliquées dans la réponse à l’incident.

⚔️ Attribution et contexte géopolitique

LayerZero attribue l’attaque à TraderTraitor, groupe rattaché à l’opération Lazarus de Corée du Nord. Cette attribution reste préliminaire selon le post-mortem de LayerZero. Un incident similaire impliquant 290 millions de dollars volés sur la plateforme Drift avait eu lieu trois semaines auparavant, également attribué à des groupes nord-coréens. La Corée du Nord aurait volé plus de 2 milliards de dollars en 2025 et 3 milliards entre 2017 et 2023 selon des enquêteurs de l’ONU.

🔍 Controverse sur la responsabilité

Une source chez Kelp conteste l’analyse de LayerZero, soulignant que le post-mortem reconnaît lui-même la compromission des serveurs de LayerZero et non ceux de Kelp. Elle note également qu’environ 40% des clients de LayerZero utilisent la configuration single DVN sans que LayerZero ne les en ait avertis.

📄 Nature de l’article

Article de presse spécialisée relatant un incident en cours, s’appuyant sur le post-mortem publié par LayerZero et des déclarations de sources impliquées, dans le but d’informer sur l’étendue de l’attaque, son mécanisme technique et les responsabilités en jeu.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)
  • T1499 — Endpoint Denial of Service (Impact)
  • T1485 — Data Destruction (Impact)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1588.005 — Obtain Capabilities: Exploits (Resource Development)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ therecord.media — source reconnue (liste interne) (20pts)
  • ✅ 5100 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : TraderTraitor, Lazarus Group (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://therecord.media/crypto-north-korea-theft-kelp

🖴 Archive : https://web.archive.org/web/20260423081142/https://therecord.media/crypto-north-korea-theft-kelp