Une chercheuse en cybersécurité, Taylor Monahan, affirme que des travailleurs informatiques liés à la Corée du Nord ont réussi à s’insérer dans l’écosystème DeFi depuis environ sept ans. Dans une série de signalements publics, elle dit avoir recensé au moins 40 plateformes de finance décentralisée qui auraient, à un moment de leur histoire, employé ou côtoyé ces profils. L’alerte met l’accent sur des méthodes d’infiltration plus discrètes que le piratage classique, fondées sur le recrutement, la sous-traitance et l’accès légitime aux outils de développement.
Taylor Monahan recense 40 plateformes DeFi concernées
Dans ses publications, Taylor Monahan explique avoir identifié des traces d’activité et de présence de travailleurs IT nord-coréens dans au moins 40 plateformes liées à la DeFi. L’élément central de son propos tient à la durée, elle évoque une infiltration étalée sur sept ans, ce qui suggère une continuité et une capacité d’adaptation face aux évolutions rapides du secteur. Les plateformes citées ne sont pas toutes décrites comme victimes d’un vol avéré, l’accusation porte d’abord sur la présence de profils infiltrés au sein d’équipes techniques, parfois sur une période courte, parfois sur des missions plus longues.
Le chiffre de 40 doit être compris comme un minimum selon sa formulation, car il s’appuie sur des recoupements qu’elle dit avoir menés au fil du temps, via des identités, des pseudonymes, des portefeuilles, des historiques de contributions et des signaux de recrutement. Dans la DeFi, les projets s’appuient sur des équipes distribuées, des contributeurs open source et des prestataires, ce qui complique la frontière entre un employé direct, un freelance, un auditeur externe ou un développeur intervenant ponctuellement. Cette structure favorise une circulation des acteurs entre protocoles, et rend plausible le fait qu’un même profil apparaisse dans plusieurs organisations.
La chercheuse insiste sur un point, l’infiltration ne signifie pas automatiquement compromission immédiate. Le risque principal réside dans l’accumulation d’accès légitimes, au code, aux dépôts, aux clés d’API, aux environnements de déploiement, ou aux outils de communication interne. Dans un protocole DeFi, un changement de code minime peut avoir des conséquences majeures, et la maîtrise de la chaîne de déploiement peut ouvrir la voie à des manipulations difficiles à détecter. Le signalement vise donc aussi la gouvernance technique, la séparation des rôles et la traçabilité.
Son travail s’inscrit dans un contexte où les acteurs de la sécurité crypto multiplient les alertes sur les opérations attribuées à Pyongyang, que ce soit via des piratages, des escroqueries ou des emplois sous fausse identité. Ici, l’angle est différent, il s’agit d’une menace interne potentielle, construite par le recrutement. Pour des projets souvent en compétition sur la vitesse d’exécution et la réduction des coûts, la tentation de recruter rapidement, à distance, peut créer des angles morts.
Des informaticiens nord-coréens ciblent l’emploi remote Web3
Le scénario décrit repose sur l’insertion de travailleurs IT dans des équipes Web3 via des emplois remote, du freelancing ou de la sous-traitance. Dans la DeFi, les projets fonctionnent fréquemment avec des équipes internationales, des processus de recrutement allégés et des cycles de livraison rapides. Cette réalité opérationnelle, combinée à la difficulté de vérifier une identité à l’échelle mondiale, crée un terrain favorable aux candidatures sous alias, à l’usage de profils professionnels fabriqués et à des références difficiles à authentifier.
Les méthodes attribuées à ces réseaux reposent souvent sur des identités multiples, des CV crédibles, des comptes GitHub actifs, et des entretiens techniques maîtrisés. Un développeur compétent peut gagner la confiance en livrant des correctifs, en améliorant des performances ou en contribuant à des bibliothèques open source. Dans une organisation décentralisée, la notion de périmètre est mouvante, un contributeur peut obtenir progressivement plus de responsabilités, participer à des discussions de sécurité, ou être sollicité pour intervenir sur des modules sensibles.
Le risque ne se limite pas aux smart contracts. Les applications DeFi reposent sur des front-ends web, des serveurs d’indexation, des scripts d’automatisation, des intégrations avec des oracles, des ponts inter-chaînes et des outils d’analyse. Un accès à la chaîne de compilation, à un pipeline CI/CD ou à une configuration cloud peut suffire à introduire une porte dérobée, à détourner des flux, ou à exfiltrer des secrets. Les attaques les plus coûteuses dans l’industrie crypto ont souvent combiné failles techniques et erreurs humaines, ce qui rend la menace interne particulièrement sensible.
Les entreprises et collectifs Web3 ont déjà renforcé certaines pratiques, audits externes, bug bounties, multi-signatures, revues de code. Mais ces mesures ne couvrent pas toujours le risque lié à l’identité réelle des intervenants. Pour des équipes réduites, mettre en place des contrôles approfondis, vérification documentaire, entretiens croisés, tests d’intégrité des environnements, peut paraître lourd. Néanmoins, la valeur sous gestion, parfois des centaines de millions de dollars en TVL, rend ces investissements comparables à ceux de la fintech traditionnelle.
La DeFi expose des accès sensibles, dépôts Git et clés privées
Dans un protocole DeFi, l’actif le plus précieux n’est pas seulement la trésorerie, c’est la capacité à modifier le système. Les accès aux dépôts Git, aux environnements de déploiement et aux outils de signature sont des points critiques. Un développeur qui peut fusionner du code, déclencher un déploiement ou influencer une mise à jour de contrat détient un pouvoir opérationnel majeur. Même sans accès direct à une clé privée, la possibilité de modifier un front-end peut conduire les utilisateurs à signer des transactions malveillantes.
Les dépôts de code open source créent une transparence utile, mais ils ne suppriment pas les risques. Une modification peut être subtile, noyée dans une refactorisation, ou introduite dans une dépendance. Les attaques par chaîne d’approvisionnement logicielle, déjà connues dans le monde traditionnel, peuvent se transposer au Web3 via des packages, des scripts d’infrastructure ou des bibliothèques cryptographiques. Dans ce cadre, une infiltration par l’emploi permet d’agir sans déclencher les alarmes liées à une intrusion externe.
Les systèmes de gouvernance peuvent aussi être une surface d’attaque. Dans certains protocoles, des changements majeurs passent par des votes, mais la préparation technique, la rédaction des propositions, la communication et l’implémentation restent souvent concentrées entre quelques mainteneurs. La présence d’un acteur dissimulé dans ce noyau technique peut influencer les priorités, retarder des correctifs ou minimiser des alertes. Le danger, pour un projet, est de croire que la décentralisation institutionnelle équivaut à une décentralisation des compétences et des accès.
Les pratiques de sécurité recommandées, multi-signature, séparation des environnements, revue de code à deux paires d’yeux, rotation des secrets, journaux d’audit, réduisent la probabilité d’un abus. Mais elles exigent une discipline constante et une culture de l’examen contradictoire. Dans un marché où la rapidité de lancement conditionne l’adoption, la pression peut conduire à des raccourcis. C’est dans ces zones grises que l’infiltration décrite par la chercheuse prend son sens, elle cible la sociologie des équipes autant que la technologie.
Les plateformes renforcent KYC employeurs, audits et contrôles internes
Face à ce type d’alerte, plusieurs leviers existent pour réduire l’exposition, sans renoncer au modèle distribué du Web3. D’abord, les processus d’embauche et d’onboarding peuvent être durcis, vérifications d’identité, cohérence des parcours, validation des références, entretiens menés par plusieurs interlocuteurs. Certaines structures ajoutent un contrôle du poste de travail, environnement dédié, gestion des accès par rôle, interdiction de stocker des secrets en local. Ces mesures relèvent davantage de la gouvernance interne que de la cryptographie, mais elles répondent à la logique de menace interne.
Ensuite, la sécurité du code doit être pensée comme une chaîne complète. Les audits de smart contracts, souvent mis en avant, gagnent à être complétés par des audits d’infrastructure, de front-end et de dépendances. Des contrôles automatiques peuvent détecter des changements anormaux, vérifier l’intégrité des builds, et imposer des signatures reproductibles. L’objectif est de rendre plus difficile l’introduction d’un comportement malveillant, même par un contributeur disposant d’un accès légitime.
La gestion des clés et des droits reste un point central. Les portefeuilles multi-signatures, la segmentation des permissions et la limitation des droits d’écriture réduisent l’impact d’un compte compromis ou d’un acteur malveillant. Dans les équipes matures, la règle est de ne jamais dépendre d’une seule personne pour un déploiement critique. L’ajout d’un contrôle croisé, même minimal, peut stopper une modification suspecte et créer un historique exploitable en cas d’incident.
Enfin, les projets peuvent améliorer le partage d’information entre équipes de sécurité, protocoles et plateformes de recrutement. Les listes de signaux faibles, adresses, schémas de CV, habitudes de communication, peuvent aider à repérer plus tôt des profils récurrents. Ce type de coopération se heurte à des contraintes juridiques et au risque de fausses accusations, mais il progresse dans l’industrie crypto à mesure que les montants en jeu augmentent. Pour les utilisateurs, l’enjeu est indirect mais réel, une sécurité organisationnelle plus robuste réduit la probabilité d’un incident qui se répercute sur les dépôts, les pools de liquidité et la confiance globale dans la DeFi.
Questions fréquentes
- Qu’implique l’infiltration de la DeFi par des travailleurs IT nord-coréens ?
- Selon la chercheuse Taylor Monahan, il s’agit surtout d’une insertion via l’emploi ou la sous-traitance, donnant des accès légitimes au code, aux outils et aux processus. Le risque porte sur la menace interne potentielle, modification de code, exfiltration de secrets, manipulation de déploiements, même sans piratage externe visible.
- La difficulté de minage du Bitcoin recule, mais les données pointent une hausse au prochain ajustement - 19 avril 2026
- SIREN bondit de 102% après 64,7 M$ d’achats de baleines: niveaux clés et scénarios - 18 avril 2026
- Bitcoin à 95 000 $, dominance BTC à 58%, DeFi sous surveillance, ce que les données on-chain révèlent aux traders - 18 avril 2026
