Drift Protocol victime d'une attaque de 285 millions de dollars : Analyse de la faille de sécurité DeFi sur Solana

Le 1er avril 2026, à 16h00 UTC, les actifs totaux du coffre de Drift Protocol s’élevaient à 309 millions de dollars. Une heure plus tard, il ne restait que 41 millions de dollars. Ce n’est pas une blague de poisson d’avril — l’équipe de Drift a été contrainte de préciser spécifiquement sur la plateforme X « ce n’est pas une blague de poisson d’avril ». L’attaquant a extrait environ 285 millions de dollars d’actifs cryptographiques du protocole, faisant de cet incident le plus important de faille DeFi de 2026 à ce jour, et aussi le plus grave incident de sécurité dans l’écosystème Solana depuis le vol de 325 millions de dollars du pont Wormhole en 2022.

Ce n’est ni une attaque par prêt flash, ni une exploitation de vulnérabilité dans le code d’un contrat intelligent. En utilisant une voie d’attaque jusque-là presque jamais discutée dans la littérature publique — la combinaison d’une pré-signature via un durable nonce (durable nonce) et d’une faille dans la gouvernance multi-sig — l’attaquant, pour un coût de 500 dollars, a pu déstabiliser 285 millions de dollars d’actifs. Cet article propose une analyse systématique de l’événement, allant de la reconstitution des faits, à l’analyse technique, au découpage des données, à l’examen des controverses, jusqu’à l’impact dans l’industrie.

De 309 millions de dollars à 41 millions de dollars en une heure

Le 1er avril 2026, les organismes de surveillance blockchain Lookonchain et PeckShield ont presque simultanément détecté des signaux anormaux : une adresse de portefeuille créée il y a seulement 8 jours, « HkGz4K », a commencé à transférer massivement des actifs depuis plusieurs coffres (treasuries) centraux de Drift. La première transaction portait sur 41,7 millions de jetons JLP, d’une valeur d’environ 155,6 millions de dollars. En environ 12 minutes, l’attaquant a vidé les actifs via 31 transactions, impliquant USDC, SOL, cbBTC, wBTC, WETH, des jetons de pools de liquidité, et même la monnaie mème Fartcoin.

Une heure après l’attaque, les actifs du coffre de Drift sont passés d’environ 309 millions de dollars à environ 41 millions de dollars. PeckShield et Arkham Intelligence ont confirmé indépendamment une perte d’environ 285 millions de dollars. Yu Cosinus, fondateur de SlowMist, indique que la perte dépasse 200 millions de dollars. Parmi les actifs volés, la perte de jetons JLP s’élève à environ 155,6 millions de dollars, USDC à environ 60 millions de dollars ; le reste concerne SOL, cbBTC, wBTC et divers jetons de liquidité.

Un montage ingénieux s’étendant sur trois semaines

Cette attaque n’a pas été improvisée : c’était une opération planifiée en plusieurs étapes. L’attaquant a commencé à préparer le terrain dès la mi-mars ; la chronologie complète est la suivante :

La déclaration officielle de Drift indique que l’attaque « est très complexe, préparée sur plusieurs semaines, avec une exécution par étapes ». Entre le 23 mars et le 1er avril, l’attaquant a poursuivi le déploiement de transactions de pré-signature ; l’ensemble du processus témoigne d’une organisation très structurée.

De 500 dollars à 285 millions de dollars : la chaîne d’attaque

Première étape : pré-signature via un durable nonce — la « bombe à retardement » qui contourne le time lock

Le mécanisme de durable nonce de la blockchain Solana permet aux utilisateurs de pré-signer des transactions et de les stocker on-chain, puis de les exécuter à un moment futur. Cette fonctionnalité vise à améliorer l’expérience utilisateur — par exemple, signer hors ligne une transaction, puis la soumettre une fois connecté. Mais dans l’événement Drift, ce mécanisme a été détourné par l’attaquant.

L’attaquant a utilisé des comptes durable nonce pour obtenir des autorisations de pré-signature pour deux signataires multi-sig. Ces transactions pré-signées ont été signées progressivement entre le 23 et le 27 mars, mais n’ont été exécutées en masse qu’au 1er avril.

Autour du 23 mars, Drift a modifié la gouvernance multi-sig en mode « 2/5 » (c’est-à-dire : parmi 5 signataires, 2 suffisent pour approuver une opération à haut niveau de privilège), en introduisant 4 nouveaux signataires, et sans définir de time lock.

Le time lock est une sécurité essentielle dans la gouvernance multi-sig. En l’absence de time lock, dès que l’attaquant obtient suffisamment d’autorisations de signature, il peut exécuter immédiatement des opérations de niveau administrateur, sans période tampon. Yu Cosinus, fondateur de SlowMist, souligne que c’est précisément cette absence de time lock qui a permis à l’attaque de réussir.

L’incident Resolv (survenu environ 10 jours avant l’attaque Drift) découle aussi de l’absence de multi-sig : Resolv n’avait même pas mis en place de multi-sig. Ces deux événements, espacés de seulement 10 jours, révèlent une faiblesse systémique dans la gouvernance des permissions des protocoles DeFi.

Deuxième étape : faux jetons CVT — le levier de 500 dollars pour déstabiliser 285 millions

L’attaquant a créé un jeton nommé CarbonVote Token (CVT), avec une offre totale d’environ 750 millions, contrôlé à plus de 80 % par le portefeuille de l’attaquant. Sur Raydium, il a créé un pool de liquidité minimal coûtant seulement 500 dollars, puis a effectué des transactions massives pour faire croire à une activité réelle.

La fonction initializeSpotMarket du protocole Drift permet à un administrateur de spécifier directement l’adresse de l’oracle et la source des paramètres. Après avoir obtenu le contrôle administratif, l’attaquant a listé le CVT comme actif spot, puis a manipulé les données de l’oracle pour faire croire que le CVT avait une valeur.

La manipulation de l’oracle est l’un des vecteurs d’attaque les plus destructeurs en DeFi. Quand l’attaquant détient à la fois le contrôle administratif et la capacité de fixer les prix via l’oracle, il peut « revaloriser » n’importe quel actif du système : utiliser un CVT sans valeur comme collatéral pour extraire des actifs réels comme USDC, SOL ou JLP.

Troisième étape : désactiver les garde-fous — transformer les mécanismes de sécurité en outils d’attaque

Le protocole Drift prévoit des mécanismes de gestion des risques, incluant la vérification de la validité de l’oracle, le rognage TWAP, la vérification des bandes de déviation de prix, et des coupures d’urgence en plusieurs intervalles. Mais une fois que l’attaquant a obtenu le contrôle, il a désactivé ces mécanismes.

Au cours de l’attaque, l’attaquant a effectué : la création du faux jeton CVT → manipulation de l’oracle → désactivation des mécanismes de sécurité → suppression des limites de retrait → extraction d’actifs de grande valeur.

L’attaquant a choisi d’exécuter l’attaque le 1er avril à 16h05 UTC, probablement pour deux raisons : d’une part, toutes les transactions pré-signées étaient déployées, et d’autre part, le week-end approchait, ce qui pouvait retarder la réponse de sécurité.

Quatrième étape : évasion cross-chain — transfert des actifs de Solana vers Ethereum

Après l’attaque, l’attaquant a rapidement converti les actifs volés en USDC via l’agrégateur Jupiter, puis a transféré cross-chain via le protocole CCTP de Circle vers Ethereum, achetant des ETH.

En quelques heures, l’attaquant avait acheté 13 000 ETH sur Ethereum. Selon SlowMist, les fonds volés ont été finalement regroupés sur une adresse Ethereum, totalisant environ 105 969 ETH, d’une valeur d’environ 226 millions de dollars. L’attaquant a ensuite accru la taille de ses actifs à environ 130 262 ETH, pour une valeur totale d’environ 267 millions de dollars.

Lors du transfert cross-chain, l’attaquant a intentionnellement évité d’utiliser USDT et a utilisé USDC pour tout le processus. Specter, chercheur en sécurité on-chain, indique que ce choix reflète une confiance forte dans le fait que Circle ne gèlera pas les fonds — et cette confiance s’est révélée justifiée.

Analyse des points de vue dans l’opinion publique

Autour de cet incident, plusieurs controverses majeures et récits divergents ont émergé.

Controverse 1 : le « non-agir » de Circle — de la critique de ZachXBT à la réflexion sur la responsabilité de l’industrie

Le détective on-chain ZachXBT a publié le 2 avril une critique publique de Circle, soulignant qu’après l’attaque sur Drift, durant la session de trading américaine, des dizaines de millions de dollars d’USDC ont été transférés via CCTP de Solana vers Ethereum « pendant plusieurs heures sans intervention ». ZachXBT affirme que Circle disposait d’une fenêtre de réaction d’environ 6 heures, mais n’a pris aucune mesure de gel.

Quelques jours auparavant (le 23 mars), Circle avait gelé au moins 16 portefeuilles chauds d’entreprises dans une procédure civile scellée, impliquant des exchanges et des prestataires de paiement. ZachXBT qualifie cette opération de gel de l’une des moins professionnelles qu’il ait vues en cinq ans. Le 26 mars, Circle a dégelé l’un des portefeuilles liés à Goated.com, mais la majorité des autres restent en cours de dégel.

Ce débat soulève la question de la responsabilité des émetteurs de stablecoins dans la gestion proactive des incidents de sécurité DeFi. Certains critiquent le fait que Circle a gelé activement des fonds dans une procédure civile, mais est resté inactif face à un vol confirmé à neuf chiffres, révélant une incohérence dans ses standards d’intervention. D’autres soutiennent que les émetteurs de stablecoins ne devraient pas avoir l’obligation de poursuivre les fonds on-chain — leur pouvoir d’intervention doit servir à la procédure légale, pas à la surveillance on-chain.

Si Circle avait gelé l’USDC concerné durant la fenêtre d’attaque, il aurait peut-être été impossible pour l’attaquant de bridge efficacement vers Ethereum, augmentant ainsi la probabilité de récupération des fonds. Mais cela suppose que Circle puisse confirmer la nature des fonds et exécuter un gel dans les quelques heures suivant l’attaque — ce qui, en pratique, pose d’importants défis juridiques et procéduraux.

Controverse 2 : lien avec l’organisation Lazarus de Corée du Nord

La société d’analyse blockchain Elliptic a publié le 2 avril un rapport indiquant que « plusieurs indicateurs » suggèrent que cette attaque pourrait être liée à une organisation de hackers ayant un contexte étatique nord-coréen. Elliptic affirme que le comportement on-chain, la méthodologie de blanchiment et les indicateurs réseau sont fortement cohérents avec des opérations précédemment attribuées à la Corée du Nord. Si cette hypothèse est confirmée, ce serait la 18e attaque liée à la Corée du Nord suivie par Elliptic en 2026.

Le CTO de Ledger, Charles Guillemet, a comparé cette attaque à celle de 2025 où 1,5 milliard de dollars avaient été volés chez Bybit, soulignant que les deux schémas sont presque identiques : compromission des signataires multi-sig, ingénierie sociale, transactions malveillantes déguisées en opérations normales.

Les hackers nord-coréens ont infiltré l’industrie crypto de façon systématique, passant d’attaques sporadiques à une stratégie nationale continue. En 2025, leurs vols cumulés dépassent 2 milliards de dollars. Si cette attaque Drift est bien attribuée à Lazarus, cela indiquerait que cette organisation maîtrise déjà des méthodes avancées contre la gouvernance multi-sig de l’écosystème Solana.

Controverse 3 : défauts structurels de la gouvernance multi-sig

Yu Cosinus, fondateur de SlowMist, indique que le seuil 2/5 de la multi-sig signifie qu’il suffit de compromettre 2 personnes pour contrôler tout le protocole. « Quel est le coût pour compromettre 2 personnes ? Ce n’est pas 285 millions de dollars ; cela pourrait être seulement quelques mois d’ingénierie sociale, plus un peu de phishing ciblé. »

Les meilleures pratiques recommandent généralement une configuration multi-sig 4/7, avec un time lock de 24 à 48 heures. Le time lock impose une période d’attente obligatoire avant l’exécution de changements à haut risque, permettant à la communauté et aux équipes de sécurité d’intervenir en cas d’anomalie. Dans Drift, après la migration multi-sig, le time lock est à 0.

Cet incident montre que le problème ne réside pas dans la sécurité du contrat intelligent, mais dans l’absence de « sécurité de gouvernance ». Même si le code a été audité par des cabinets de renom, tant que l’architecture de gouvernance des permissions comporte des défauts, la surface de risque du protocole est considérablement amplifiée.

Impact dans l’industrie

Choc de confiance dans l’écosystème Solana

Drift est le plus grand DEX décentralisé de l’écosystème Solana pour les contrats perpétuels : avant l’attaque, le volume total des transactions dépassait 55 milliards de dollars, la TVL était supérieure à 1 milliard de dollars, et plus de 200 000 traders actifs. Cet incident constitue la défaillance de sécurité la plus grave dans l’écosystème Solana depuis le vol de 325 millions de dollars du pont Wormhole en 2022.

Le prix de SOL a chuté d’environ 9 % après l’annonce, atteignant brièvement 78,60 dollars ; le volume de transactions sur 24 heures a explosé à environ 5,2 milliards de dollars. La TVL totale de Solana a chuté à environ 6,544 milliards de dollars, avec des sorties continues depuis des protocoles clés comme Jito, Raydium et Sanctum.

La baisse de la TVL et la réduction de l’activité DEX reflètent non seulement une correction de prix, mais aussi une perte de confiance dans l’écosystème. Le retrait des fournisseurs de liquidité réduit la profondeur du marché, amplifiant la volatilité. Lily Liu, présidente de la Solana Foundation, a déclaré que cet incident « a un impact très fort », tout en soulignant que la faille réelle s’est déplacée vers « l’humain : faiblesse en ingénierie sociale et sécurité opérationnelle, plutôt que bug de code ».

Questionnement sur le paradigme de l’audit de sécurité DeFi

Trail of Bits et ClawSecure ont tous deux audité le code de Drift. Mais cette attaque n’a touché aucune ligne de code.

Les audits traditionnels se concentrent sur la « surface d’exécution » — la vérification des vulnérabilités lors de l’exécution du code. Or, cette attaque s’est produite dans la « surface d’autorisation » : l’attaquant a obtenu des signatures valides, et toutes les opérations de la surface d’exécution apparaissent conformes. Cela révèle un angle mort systémique dans l’audit de sécurité DeFi : il peut vérifier si le code contient des bugs, mais pas si les permissions ont été correctement attribuées.

La valeur des audits de sécurité est en train d’être redéfinie. La sécurité du code n’est que le minimum commun de la sécurité DeFi. Des éléments de « sécurité processuelle » — gouvernance multi-sig, sécurité des signatures, défense contre ingénierie sociale, configuration du time lock, redondance des oracles — sont souvent plus critiques que le code lui-même, mais longtemps hors du périmètre d’audit.

Dilemme sur le rôle des émetteurs de stablecoins

Cet incident oblige l’industrie à réfléchir : quel rôle doivent jouer réellement les émetteurs de stablecoins ? USDC et USDT donnent dans leurs conditions le pouvoir unilatéral de geler des adresses. Ce pouvoir vise à faciliter la coopération avec la justice. Mais lorsqu’un vol à neuf chiffres survient, l’émetteur doit-il exercer ce pouvoir ? Selon quels standards ? Si non, comment prouver que ce pouvoir a une utilité concrète ?

Le problème est encore plus complexe avec la « intervention sélective ». Circle a gelé 16 portefeuilles d’entreprises dans une procédure civile, mais n’a pas agi face à un vol confirmé. Cette incohérence peut nuire davantage à la confiance qu’un simple « non-intervention » total.

Prédictions selon différents scénarios

Sur la base des informations disponibles, l’évolution future pourrait suivre plusieurs trajectoires :

Scénario 1 : fonds difficiles à récupérer, déploiement d’une assurance partielle

Raisonnement : l’attaquant a converti environ 267 millions de dollars en ETH, puis a procédé à un blanchiment via des services cross-chain et de mixage. Historiquement, la récupération de fonds dans de grands incidents de faille DeFi est rarement couronnée de succès. Le fonds d’assurance de Drift n’a pas été directement impacté, il pourrait servir à compenser partiellement certains utilisateurs.

Variables clés : efficacité des actions policières, techniques de traçage on-chain, coopération des ponts cross-chain et exchanges centralisés.

Scénario 2 : montée en standards de sécurité systémiques dans l’écosystème Solana

Raisonnement : cet incident révèle des faiblesses systémiques en gouvernance multi-sig, configuration de time lock, et défense contre ingénierie sociale. L’industrie pourrait imposer des standards plus stricts : time lock obligatoire, seuils minimum de multi-sig, audits côté signature, configurations multi-oracle.

Variables clés : volonté d’investissement en sécurité, rapidité d’expansion des audits, efficacité de la réponse communautaire.

Scénario 3 : cadre réglementaire des stablecoins clarifié rapidement

Raisonnement : le rôle controversé de Circle pourrait accélérer la réglementation sur la responsabilité proactive des émetteurs. Questions clés : obligation de surveillance, conditions de gel, nécessité d’autorisation judiciaire.

Variables clés : avancée législative, auto-régulation, évolution du marché des stablecoins.

Scénario 4 : reproduction des méthodes d’attaque, risques accrus pour d’autres protocoles

Raisonnement : la méthode centrale — pré-signature avec durable nonce et fenêtre de migration multi-sig — n’a pas été discutée publiquement jusque-là. D’autres protocoles Solana utilisant des configurations similaires sans time lock pourraient être vulnérables.

Variables clés : réponse aux audits, motivations des attaquants, risques de copie (notamment si liés à Lazarus).

Conclusion

L’incident de 285 millions de dollars du protocole Drift reflète un miroir. Il ne met pas seulement en lumière la fragilité du code des contrats intelligents, mais aussi des failles systémiques dans la gouvernance : seuil 2/5, absence de time lock, sous-estimation de la sécurité côté signature, incertitude sur le pouvoir d’intervention des émetteurs de stablecoins.

Quand l’industrie concentre ses efforts sur l’audit du code, l’attaquant a choisi une voie alternative : attaquer « l’humain ». C’est la problématique centrale que la sécurité DeFi 2026 doit affronter : la sécurité du code ne suffit plus. La sécurité de la gouvernance, la sécurité opérationnelle et la défense contre l’ingénierie sociale doivent être aussi prioritaires que l’audit de code.

Cet incident pourrait durablement affecter la confiance dans l’écosystème Solana, mais il constitue aussi un test systémique tardif pour l’ensemble de la DeFi — un rappel que dans un système financier sans autorité centrale, chaque couche de sécurité est essentielle, et que la chaîne la plus faible détermine la robustesse globale.