La « clé de Dieu » de la DeFi : après le vol de 285 millions de dollars chez Drift, découvrez la plus grande faille de la finance décentralisée

Le coup de Drift tranche dans une plaie que le secteur refuse le plus d’affronter.

Auteur : Deep Tide TechFlow

Le 1er avril, jour des farces.

La plus grande plateforme de contrats perpétuels sur la chaîne Solana, Drift Protocol, est en train d’être vidée, et la première réaction de la communauté est : « Bon gag de poisson d’avril. »

Ce n’est pas un gag. Vers 13 h 30, le compte de surveillance on-chain Lookonchain et PeckShield sonnent presque en même temps l’alarme : un portefeuille inconnu commençant par « HkGz4K » est en train de retirer des fonds du coffre de Drift à une vitesse stupéfiante. Le premier coup : 41 millions de jetons JLP, d’une valeur de 155 millions de dollars. Juste après : 51,6 millions de USDC, 125 000 WSOL, 164 000 cbBTC… Une douzaine d’actifs s’écoulent dehors comme l’eau d’une baignoire à laquelle on retire les bouchons.

Une heure. Les actifs du coffre passent de 309 millions de dollars à 41 millions. Plus de la moitié de la TVL s’évapore.

L’équipe Drift publie un tweet sur X : des mots rares, inhabituellement pressés : « Drift Protocol subit une attaque active. Dépôts et retraits suspendus. Nous coordonnons avec plusieurs sociétés de sécurité, des ponts inter-chaînes et des exchanges pour contrôler la situation. »

Puis vient ce complément, promis à être inscrit dans l’histoire des cryptos : « This is not an April Fools joke. »

Une seule clé ouvre toutes les portes

Le montant volé par Drift varie selon les sources. PeckShield l’estime à environ 285 millions de dollars, Arkham donne plus de 250 millions, l’évaluation préliminaire de CertiK tourne autour de 136 millions. Mais quel que soit le chiffre exact, il s’agit de l’incident de sécurité DeFi le plus important à ce jour en 2026.

Ce qui mérite davantage d’attention que les chiffres, c’est la méthode d’attaque.

Le fondateur de PeckShield, Jiang Xuxian, s’exprime sans détour à Decrypt : la clé de l’administrateur derrière Drift « a clairement été divulguée ou a été compromise ». Le scénario reconstitué par des chercheurs on-chain montre que le hacker a obtenu des droits d’accès privilégiés au protocole Drift, puis a contrôlé l’acheminement des fonds du coffre.

En d’autres termes : aucune exploitation subtile d’un bug de contrat intelligent, aucune attaque de flash loan, aucune manipulation d’oracle. C’est l’échec de sécurité le plus primitif, le plus vieux jeu : quelqu’un a perdu sa clé privée.

Le détail qui met encore plus mal à l’aise, c’est que l’attaquant n’a pas agi sur un coup de tête. Les données on-chain indiquent que ce portefeuille avait obtenu des fonds initiaux via Near Intents huit jours avant l’attaque, puis est resté silencieux. Avant l’attaque, la semaine précédente encore, il a reçu du coffre de Drift un minuscule transfert d’une valeur de 2,52 dollars. Un essai, un « coup à la porte ».

Une semaine plus tard, la porte a été enfoncée.

La chute de la version crypto de Robinhood

Pour la cofondatrice de Drift, Cindy Leow, le cauchemar du 1er avril a une teinte particulièrement cruelle.

L’histoire de cette entrepreneure sino-malaisienne était autrefois l’un des meilleurs récits inspirants de Solana DeFi. En 2016, elle a démarré grâce à de l’arbitrage Bitcoin entre la Chine et la Corée, a géré un fonds pour compte propre, puis a contribué à des projets de dérivés sur Ethereum ; en 2021, avec David Lu, elle a créé Drift, pariant sur l’avantage de vitesse de Solana pour les contrats perpétuels on-chain.

À regarder la chronologie, Drift a presque raté chaque « marche ». En 2024, elle a obtenu deux tours de financement menés par Polychain et Multicoin, pour un total de 52,5 millions de dollars. Elle a lancé un marché de prédictions face à Polymarket, avec un levier x50 ; la TVL a dépassé 550 millions de dollars, et le volume cumulé des transactions a dépassé 50 milliards. Dans une interview accordée à Fortune, Leow a employé un positionnement ambitieux : vouloir être « la version crypto de Robinhood ».

La métaphore se lit aujourd’hui avec un goût amer. La promesse centrale de Robinhood est de donner aux gens ordinaires des outils financiers de Wall Street. La promesse centrale de Drift est de donner aux utilisateurs une expérience de trading « non-custodial » on-chain : votre argent ne passe par les mains de personne, il ne fait que dialoguer avec le code.

Mais derrière le code, il y a une clé d’administrateur. Et la sécurité de cette clé dépend finalement de personnes, pas de la cryptographie.

Il y a aussi une coïncidence historique qui pique les nerfs. En 2022, à l’ère Drift v1, le protocole avait déjà vécu un incident où le coffre avait été vidé. L’équipe avait ensuite rédigé un rapport technique extrêmement détaillé, et avait même rendu public un extrait de code de preuve de concept, montrant comment un attaquant peut vider tout le coffre en une seule transaction. Cette fois-là, la perte s’est élevée à 14,5 millions de dollars, et l’équipe a indemnisé intégralement les utilisateurs de sa propre poche.

Quatre ans plus tard, le même cauchemar s’est reproduit, multiplié par 20.

La foi décentralisée, le talon d’Achille centralisé

En élargissant un peu la perspective au-delà de Drift, vous verrez une règle qui commence à prendre forme et qui met mal à l’aise.

Au début de 2025, le service de gestion des clés AWS de Resolv Labs a été compromis. L’attaquant, via une clé privilégiée, a approuvé des opérations massives de frappe de stablecoins USR, provoquant des pertes en chaîne sur plusieurs plateformes. La même année, en 2025, le total des vols de crypto a atteint un nouveau record historique de 3,4 milliards de dollars. Le rapport de Chainalysis souligne particulièrement un changement de tendance : les événements les plus destructeurs ont lieu au niveau des infrastructures. Les machines des développeurs compromises, la clé unique de frappe stockée dans le cloud, les processus de signature appâtés par du social engineering… ce sont là les véritables gouffres qui engloutissent les fonds.

Ajoutez maintenant Drift.

Si vous mettez ces cas bout à bout, une conclusion devient presque impossible à éviter : la sécurité des clés privées a remplacé les failles de smart contracts pour devenir le plus grand risque systémique de DeFi.

Il y a là un fossé cognitif, assez grand pour engloutir des dizaines de milliards.

Le récit que les protocoles DeFi racontent au public, c’est « décentralisé », « non-custodial », « sans confiance ». Vos actifs sont conservés par le code : personne ne peut toucher votre argent. Les utilisateurs ont cru à ce récit. Ils déposent leurs fonds dans ces protocoles en pensant « je traite avec des mathématiques ».

Mais la réalité est que, presque pour chaque protocole DeFi en cours d’exécution, il y a une ou plusieurs « clés du royaume des cieux » : admin key, droits de mise à niveau, contrôle du coffre, interrupteur de pause d’urgence. La présence de ces clés sert parfois la sécurité (frein d’urgence immédiat en cas de problème), parfois la flexibilité (mise à niveau de la logique des contrats) — mais leur essence est la même : un point de confiance centralisé, enveloppé dans un récit décentralisé.

Les utilisateurs pensent interagir avec du code. En réalité, ils font confiance à une personne — ou à un petit groupe — pour qu’elle ne se trompe pas, qu’elle ne se fasse pas phisher, qu’elle ne soit pas contrainte, et qu’elle n’oublie pas un ordinateur portable dans un café en pleine nuit.

Ce n’est pas un problème propre à Drift : c’est une contradiction structurelle de l’ensemble de l’industrie DeFi.

Où sont passés 285 millions de dollars

Les actions on-chain de l’attaquant sont propres et exécutées avec le calme d’un joueur de haut niveau.

Après avoir extrait les actifs du coffre de Drift, il convertit rapidement la majeure partie des jetons en stablecoins, puis transfère les fonds via le pont inter-chaînes Wormhole vers le réseau Ethereum. Sur Ethereum, il utilise une partie des stablecoins pour acheter environ 19 913 ETH (valeur d’environ 42,6 millions de dollars), le reste étant réparti sur plusieurs adresses de portefeuilles.

Un détail absurde : le portefeuille de l’attaquant détient aussi une grande quantité de Fartcoin, soit environ 2,5 % de l’offre totale de ce token. Un hacker qui vient de finaliser le plus grand vol DeFi de l’année tient entre ses mains un tas de meme coins baptisés d’après des pets.

Au moment de la publication, les dépôts et retraits de Drift restent suspendus ; le token DRIFT est passé d’environ 0,072 dollar avant l’attaque à près de 0,05 dollar, soit une baisse de plus de 28 %. En prenant son plus haut historique à 2,60 dollars, la baisse cumulée dépasse 98 %. Le portefeuille Phantom affiche déjà un avertissement aux utilisateurs qui tentent d’accéder à Drift.

L’équipe Drift indique qu’elle coordonne avec des sociétés de sécurité, les opérateurs des ponts inter-chaînes et des exchanges centralisés pour tenter de geler et de tracer les fonds volés. Mais si l’histoire peut fournir une quelconque référence, les chances de récupérer les fonds transférés via des ponts inter-chaînes et dispersés sur plusieurs portefeuilles ne sont pas optimistes.

Un problème que l’industrie doit affronter honnêtement

Le coup de Drift tranche dans une plaie que le secteur refuse le plus d’affronter.

Dans son rapport de fin 2025, Chainalysis avait fait preuve d’optimisme en affirmant que la sécurité DeFi avait réalisé des progrès « substantiels » : même si la TVL doublait pour atteindre 119 milliards de dollars, les pertes dues aux hackers DeFi étaient en baisse. L’exemple de Venus Protocol a été utilisé comme cas positif : le système de surveillance de sécurité a détecté l’anomalie 18 heures avant l’attaque ; le protocole a rapidement suspendu ses opérations ; les mécanismes de gouvernance ont gelé les fonds de l’attaquant ; l’attaquant a même perdu de l’argent.

Drift a écorné ce récit de « progrès ». Vous pouvez pousser les audits de smart contracts à l’extrême, déployer la surveillance on-chain la plus avancée ; mais tant qu’une admin key est compromise par du social engineering, du phishing ou un piratage par la force, toute l’infrastructure de sécurité ressemble à des forteresses bâties dans le sable.

L’industrie DeFi doit s’arrêter et répondre honnêtement à une question : qu’entendez-vous exactement quand vous dites « non-custodial » aux utilisateurs ?

Si la clé admin peut transférer tous les actifs du coffre à tout moment, en quoi est-ce différent de déposer de l’argent dans le compte bancaire d’une personne que vous ne connaissez pas ? Au moins, une banque a une assurance, une réglementation et un droit de recours légal.

La réponse n’est peut-être pas de supprimer ces droits d’administrateur : dans beaucoup de cas, leur existence est nécessaire. Mais au minimum, le secteur devrait arrêter de faire semblant qu’ils n’existent pas. La gouvernance multi-signatures, les time locks, les modules matériels de sécurité, le renouvellement des clés… ces solutions techniques existent depuis des années, mais trop de protocoles font reposer la sécurité de plusieurs centaines de millions de dollars sur l’alerte de une ou deux personnes.

Le rêve de « la version crypto de Robinhood » est beau. Mais avant de le réaliser, il faut peut-être d’abord répondre à une question plus fondamentale : qui conserve cette clé ?