Drift le 1er avril : plus de 280 millions de dollars volés, piratage ou détournement interne ?

Shaw，Informations économiques Golden

Le 2 avril, un incident de sécurité a frappé la plateforme de trading de dérivés Drift Protocol, selon les données on-chain la perte dépasse 2,85 milliards de dollars. Le projet indique avoir détecté une activité anormale et être en cours d’enquête, en invitant les utilisateurs à ne pas déposer de fonds sur le protocole pour le moment, tout en soulignant que « ce n’est pas une blague de poisson d’avril ».

L’attaque a concerné plusieurs pools de fonds, notamment JLP Delta Neutral, SOL Super Staking et BTC Super Staking, etc. Un seul transfert d’environ 41,70 millions de jetons JLP représente une valeur d’environ 155 millions de dollars ; en outre, des actifs tels que SOL, USDC, cbBTC et wBTC ont également été sortis.

D’après des statistiques, l’incident pourrait devenir l’une des plus grandes attaques DeFi de l’écosystème Solana après l’exploit du Wormhole bridge, et figurer parmi les plus importantes en termes d’ampleur.

I. Dernières avancées concernant l’incident de piratage de Drift Protocol

Le 1er avril 2026, heure de l’Est des États-Unis, le protocole décentralisé de dérivés Drift Protocol de l’écosystème Solana a subi une attaque de pirate majeure : les actifs dérobés s’élèveraient à environ 285 millions de dollars. Les principaux actifs volés sont : environ 41,70 millions de jetons JLP, d’une valeur de 155,6 millions de dollars ; ainsi que plusieurs actifs dont USDC, SOL, cbBTC et wBTC. Cet incident de vol est l’un des événements d’attaque les plus importants de l’histoire de Solana (deuxième) et de l’histoire de DeFi (en termes d’ampleur).

Par la suite, l’équipe officielle de Drift Protocol a publié un message sur un réseau social pour confirmer : « Drift Protocol est actuellement victime d’une attaque. Les fonctions de dépôt et de retrait ont été suspendues. Nous travaillons avec plusieurs organismes de sécurité, des ponts inter-chaînes et des exchanges, en collaboration étroite, afin de contrôler pleinement la situation. Ce n’est pas une blague de poisson d’avril. Pour plus d’informations, elles seront publiées en premier lieu via ce compte. »

L’attaque a commencé au petit matin du 2 avril. La plateforme de surveillance on-chain PeckShield a émis une alerte : l’adresse du principal coffre-fort de Drift a commencé à transférer massivement vers une nouvelle adresse de portefeuille créée récemment, HkGz4K. Les premiers actifs sortis étaient principalement des jetons JLP (Jito Liquidity Provider), d’une valeur d’environ 155 millions de dollars ; puis sont venus USDC, SOL, cbBTC, wBTC, WETH ainsi que certaines pièces meme. Les données de PeckShield montrent qu’en très peu de temps, les actifs sortis cumulés atteignent 285 millions de dollars.

Selon la surveillance d’Yu Jin, les actifs de 285 millions de dollars dérobés par Drift ont déjà été convertis en 129 000 ETH (278 millions de dollars). Au cours des dernières heures, le pirate, via plusieurs méthodes, a vendu ces actifs et les a pontés vers la blockchain Ethereum, puis a racheté de l’ETH sur la blockchain Ethereum. À l’heure actuelle, les actifs de 285 millions de dollars volés sur Solana ont été convertis et achetés en 129 066 ETH sur la blockchain Ethereum.

Par ailleurs, l’équipe de sécurité SlowMist a publié sur les réseaux sociaux que, pour le moment, les fonds dérobés sont essentiellement regroupés sur les adresses Ethereum suivantes : 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674、0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7、0xaa843ed65c1f061f111b5289169731351c5e57c1, total : 105 969 ETH (environ 226 millions de dollars).

Groupe d’adresses du pirate :

II. Interprétation de l’attaque de Drift Protocol : le projet, « voleur de sa propre garde » ?

Cette attaque est une combinaison soigneusement préparée d’une intrusion par usurpation de privilèges et d’une manipulation des prix. Le cœur du problème est que le pirate, une fois les droits d’administrateur obtenus, a franchi instantanément la limite de fonds en falsifiant des jetons et en manipulant les oracles, puis a vidé le coffre du protocole. Le pirate, en obtenant la clé privée d’administrateur, a désactivé le contrôle des risques central du protocole (limite de retrait), puis a utilisé des garanties fictives pour retirer en masse des fonds depuis le pool, et a finalisé le blanchiment via un transfert inter-chaînes des actifs.

Concernant l’incident de vol d’actifs causé par le piratage de Drift Protocol, le fondateur de SlowMist, Yu Xian, a analysé l’affaire dans un post : la semaine précédant l’attaque, Drift a modifié le mécanisme multi-signature en « 2/5 » (un ancien signataire + quatre nouveaux signataires), et n’a mis aucun verrou de temps (timelock). L’attaquant a ensuite obtenu les droits d’administrateur, a falsifié des jetons CVT, manipulé les oracles, fermé les mécanismes de sécurité, puis a transféré depuis le pool des actifs à forte valeur.

Le cofondateur de Chaos Labs, Omer Goldberg, a également publié sur les réseaux sociaux que, une semaine auparavant, Drift avait migré vers un nouveau portefeuille multi-signature, lequel avait été créé par l’un des signataires du multi-signature d’origine. Or, ce signataire n’avait pas ajouté son propre compte à la nouvelle liste de signataires multi-signature. L’attaquant a en parallèle lancé une proposition dans l’ancien multi-signature afin de transférer les droits d’administrateur vers ce nouveau portefeuille. Le nouveau multi-signature compte 5 signataires au total : seulement 1 personne provient de l’équipe d’origine, les 4 autres étant de toutes nouvelles adresses. Ce portefeuille est configuré avec un seuil multi-signature de 2/5 et sans aucun verrou de temps (0 seconde de délai). Environ 5 heures plus tôt, ce unique signataire d’origine a initié une proposition via le nouveau multi-signature afin de modifier les droits d’administrateur de Drift. Un nouveau signataire a co-signé en une seconde, atteignant instantanément le seuil de 2/5. En l’absence de verrou de temps, la transaction s’exécute immédiatement.

En combinant les preuves on-chain actuelles, le comportement de l’équipe, les flux de fonds, etc., la possibilité d’un « voleur de sa propre garde » est effectivement l’orientation qui suscite le plus de débats dans le milieu et qui comporte le plus de soupçons à l’heure actuelle, et elle semble même plus logique que « une intrusion par un pirate externe ». Auparavant, les ajustements officiels du mécanisme multi-signature auraient rendu la structure de permissions « trop pratique pour une attaque », ce qui ne ressemble pas à un accident ; la méthode d’attaque « est trop familière de la logique interne », ne ressemble absolument pas au style d’un pirate externe ; et la réaction officielle face au vol d’une somme aussi énorme a été anormalement calme. Après le vol, le flux de fonds était extrêmement propre et clair : conversion rapide en ETH et opérations de pontage, sans flux entrant vers des exchanges centralisées faciles à geler. L’ensemble de ces étapes et cette logique d’exécution. Cela a fait monter d’un cran les soupçons de la communauté envers l’affirmation selon laquelle l’équipe officielle de Drift serait « un voleur de sa propre garde ».

III. Parties concernées et réactions de la communauté crypto

Après l’incident de vol d’actifs de Drift Protocol, les parties concernées et la communauté crypto ont réagi différemment :

• Dans l’incident de vol du protocole DeFi Drift, la perte de position de JLP est d’environ 155,6 millions de dollars. À ce sujet, le site officiel de Jupiter a indiqué que la plateforme n’était pas affectée par cet incident : son produit de prêt Jupiter Lend n’impliquait pas le marché Drift, et les actifs JLP « sont entièrement adossés à des actifs de base ». Jupiter a également déclaré que pour l’écosystème Solana DeFi, « c’est une journée difficile », et a exprimé sa sollicitude envers l’équipe Drift et les utilisateurs affectés.

• Le protocole de génération de rendement Unitas Protocol a publié sur X (via un tweet) indiquant que son protocole n’est pas affecté par l’incident d’attaque de Drift Protocol. Unitas n’a aucune exposition sur Drift. Tous les collatéraux sont sûrs, toutes les stratégies (y compris la stratégie de neutralité JLP Delta) fonctionnent normalement. Les fonds des utilisateurs sont en sécurité. Les collatéraux peuvent être vérifiés en temps réel via les tableaux de bord de preuve de réserves d’Accountable et Primus Labs.

• La liquidité sur Solana Meteora a publié sur X (via un tweet) indiquant que tous les fonds sur Meteora sont en sécurité, et que toutes les fonctionnalités ainsi que le coffre-fort de la plateforme n’interagissent avec aucun protocole Drift.

• La fondatrice d’infrastructure de stablecoins Perena, Anna a publié sur X (via un tweet) indiquant que son Perena USD*, USD*-J et USD*-P ne sont pas affectés par l’incident d’attaque contre Drift. En revanche, le JLP treasury du gestionnaire de la plateforme de partage de stratégies quantitatives du réseau Solana Neutral Trade est affecté parce qu’il fonctionne sur Drift Protocol ; l’équipe maintient la communication avec ses partenaires et continuera de mettre à jour l’avancement.

• Utilisateur de la plateforme X @hzkj99 : Le protocole d’actifs de l’écosystème SOL Drift Protocol a été piraté, avec une perte de plusieurs centaines de millions : dès lors qu’il y a des fonds impliqués, la sécurité est une priorité absolue à tout moment, surtout dans un marché baissier, où il y aura absolument de nouveaux protocoles qui seront volés. Ce monde est vraiment une gigantesque opération de bricolage ; certains protocoles peuvent même être volés plusieurs fois, et Drift n’est pas le dernier à se faire voler.

• Utilisateur de la plateforme X @lanhubiji : Drift Protocol a subi une exploitation d’une vulnérabilité majeure, avec une perte d’environ 270 millions de dollars ; c’est l’un des plus grands incidents d’attaque DeFi à ce jour en 2026. Certains posts, avec un air très sérieux, disent : « La Fondation Solana coordonne avec les serveurs du sous-sol de Toly (cofondateur) pour faire un rollback ». Même si c’est une blague, comme façon de le dire, ça va un peu trop loin.

• Utilisateur de la plateforme X @EnHeng456 : En période de marché baissier, il faut vraiment faire attention pour stocker de l’argent, c’est de plus en plus instable : il y a des nouvelles de vols partout. Certains vieux protocoles ont aussi spécialement des problèmes en marché baissier ; il est très difficile de distinguer si c’est une attaque de pirate ou un « voleur de sa propre garde ». Récemment, je suis devenu plus prudent : je garde simplement tout en USD1, je n’ose plus déposer partout au hasard. Dans ce type de marché, plus on s’agite, plus on risque d’avoir des problèmes ; parfois, ne rien faire est le meilleur choix. Drift a été volé de 200 millions de dollars, puis l’argent est allé dans la poche du « général ».

IV. Impact de l’incident de vol de Drift Protocol

L’incident de vol de 285 millions de dollars sur Drift Protocol est la deuxième plus grande attaque DeFi de l’histoire de l’écosystème Solana. Son impact dépasse largement le protocole lui-même : il a porté un coup dur à la confiance dans l’écosystème Solana et a accéléré la transformation de la sécurité dans DeFi.

Cette attaque a révélé de graves failles fatales des projets DeFi dans la gestion des permissions multi-signature et la sécurité des oracles. « La permission, c’est le coffre-fort » ; dès qu’une clé d’administrateur tombe entre de mauvaises mains, et en l’absence de mécanismes d’arrêt d’urgence comme un verrou de temps, toute logique de code complexe peut cesser de fonctionner instantanément. Pour Drift Protocol, sauf si l’on récupère le gros des fonds ou qu’un « gros acteur » reprend le dossier, cela mène vers la liquidation, la faillite et des poursuites. Pour Solana et son écosystème, c’est une atteinte majeure à la réputation : à court terme, fuite de capitaux et ralentissement de la croissance ; à long terme, cela force une mise à niveau de la sécurité. Et pour l’ensemble de l’industrie DeFi, on peut dire que c’est une sorte de jalon, une « ligne de partage des eaux » : la « sécurité des permissions > la sécurité du code » devient une règle intangible, le coût de la confiance explose, et DeFi entrera dans une nouvelle phase de fonctionnement plus réglementé, plus transparent, et plus centralisé (gouvernance sécurisée).