Drift « Poisson d’avril » : plus de 280 millions de dollars volés, piratage ou détournement interne ?

Shaw，Finances au format “Jinse”

Le 2 avril, un incident de sécurité a touché la plateforme de trading de dérivés Drift Protocol, et les données on-chain indiquent des pertes dépassant 285 millions de dollars. La partie du projet déclare avoir détecté une activité anormale et procéder à une enquête, invite les utilisateurs à ne pas déposer de fonds dans le protocole pour l’instant, et souligne que « ce n’est pas une blague de poisson d’avril ».

Cette attaque a impliqué plusieurs pools de fonds, notamment JLP Delta Neutral, SOL Super Staking et BTC Super Staking, etc. Pour une seule opération, le transfert d’environ 41,7 millions d’unités de jetons JLP représente une valeur d’environ 155 millions de dollars ; en plus, des actifs tels que SOL, USDC, cbBTC et wBTC ont également été retirés.

D’après les statistiques, l’incident pourrait devenir l’une des plus grandes attaques DeFi de l’écosystème Solana, après l’exploit du Wormhole bridge.

1. Dernières avancées concernant l’incident d’attaque contre Drift Protocol

Le 1er avril 2026, heure de la côte Est des États-Unis, le protocole décentralisé de dérivés de l’écosystème Solana Drift Protocol a subi une importante attaque informatique. Les actifs dérobés s’élèvent à environ 285 millions de dollars. Les principaux actifs volés incluent notamment : environ 41,7 millions de jetons JLP, d’une valeur de 155,6 millions de dollars ; ainsi que plusieurs autres actifs tels que USDC, SOL, cbBTC et wBTC. Cet incident de vol figure parmi les plus grandes attaques de l’histoire de Solana et parmi les attaques les plus importantes en termes d’ampleur dans DeFi.

Par la suite, Drift Protocol a publié une confirmation sur une plateforme sociale : « Drift Protocol subit une attaque. Les fonctions de dépôt et de retrait sont suspendues. Nous travaillons avec plusieurs organismes de sécurité, des ponts inter-chaînes et des exchanges pour maîtriser la situation de toutes nos forces. Ce n’est pas une blague de poisson d’avril. De plus amples informations seront publiées en premier sur ce compte. »

L’attaque a commencé dans la nuit du 2 avril. La plateforme de surveillance on-chain PeckShield a envoyé une alerte : l’adresse du “main vault” de Drift a commencé à effectuer de gros virements vers un nouveau portefeuille, créé récemment, HkGz4K. Les premiers actifs transférés étaient principalement des jetons JLP (Jito Liquidity Provider), d’une valeur d’environ 155 millions de dollars ; ensuite sont venus USDC, SOL, cbBTC, wBTC, WETH et certains meme coins. Les données de PeckShield indiquent qu’en très peu de temps, le total des actifs sortis s’élève à 285 millions de dollars.

Selon la surveillance d’Yu Jin, les actifs de 285 millions de dollars dérobés à Drift ont désormais été convertis en 12,9 ETH (2,78 millions de dollars). Au cours des dernières heures, le hacker, par divers moyens, a vendu ces actifs et les a transférés via des ponts inter-chaînes vers la chaîne Ethereum, puis sur la chaîne Ethereum, les a convertis en ETH. À l’heure actuelle, les actifs de 285 millions de dollars dérobés sur Solana ont été convertis et transformés en 129 066 ETH sur la chaîne Ethereum.

Par ailleurs, l’équipe de sécurité SlowMist a publié sur les réseaux sociaux que, pour le moment, les fonds volés ont été essentiellement regroupés sur les adresses Ethereum suivantes : 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674、0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7、0xaa843ed65c1f061f111b5289169731351c5e57c1, total : 105 969 ETH (environ 226 millions de dollars).

Cluster d’adresses du hacker :

2. Analyse de l’attaque contre Drift Protocol : le projet « se volerait lui-même » ?

Cette attaque est une combinaison minutieusement planifiée d’une intrusion par exploitation des permissions + d’une attaque de manipulation des prix. Le cœur du mécanisme : après que le hacker a volé les privilèges d’administrateur, il a franchi instantanément les limites de fonds en fabriquant des jetons et en manipulant l’oracle, puis a pillé le coffre-fort du protocole. En obtenant la clé privée d’administrateur, le hacker a désactivé la sécurité centrale de contrôle des risques du protocole (limite de retrait). Ensuite, il a utilisé de faux collatéraux pour effectuer des retraits en masse depuis le pool de fonds, et enfin, via des transferts inter-chaînes, a complété le blanchiment.

En réponse à l’incident d’attaque contre Drift Protocol ayant entraîné le vol d’actifs, le fondateur de SlowMist Yu Xuan a publié une analyse, indiquant que une semaine avant l’attaque, Drift a modifié le mécanisme multi-signature en “2/5” (1 ancien signataire + 4 nouveaux signataires), et n’a mis en place aucun time lock (timelock). L’attaquant a ensuite obtenu les droits d’administrateur, a falsifié les jetons CVT, a manipulé l’oracle, a désactivé les mécanismes de sécurité, puis a transféré des actifs de grande valeur depuis le pool de fonds.

Le cofondateur de Chaos Labs Omer Goldberg a également publié sur les réseaux sociaux : il y a une semaine, Drift a migré vers un nouveau portefeuille multi-signature, créé par un signataire faisant partie de l’ancien portefeuille multi-signature. Or, ce signataire n’a pas ajouté sa propre adresse à la nouvelle liste de signataires. L’attaquant a également lancé une proposition au sein de l’ancien multi-signature afin de transférer les droits d’administrateur vers ce nouveau portefeuille. Le nouveau multi-signature compte 5 signataires : seulement 1 provient de l’équipe d’origine, les 4 autres sont entièrement de nouvelles adresses. Ce portefeuille est configuré avec un seuil de multi-signature de 2/5, et ne dispose d’aucun time lock (délai de 0 seconde). Dans la nuit du 2 avril, ce seul signataire d’origine a initié une proposition via le nouveau multi-signature, modifiant les droits d’administrateur de Drift. Un nouveau signataire a cosigné en une seconde, satisfaisant instantanément le seuil 2/5. En l’absence de time lock, la transaction est exécutée immédiatement.

En outre, il circule dans la communauté que des membres clés de l’équipe Drift auraient quitté leurs fonctions il y a un mois, mais ce n’est pas une affirmation confirmée officiellement ; faute de preuves, il s’agit pour l’instant seulement de suppositions/rumeurs diffusées sur X (Twitter), sans noms précis, et sans confirmation par des médias grand public ni par Drift. Dans les informations grand public et les déclarations officielles de Drift, il n’est aucunement question du départ d’un membre d’équipe un mois auparavant.

Quoi qu’il en soit, la possibilité de « se voler soi-même » est bien la direction qui concentre actuellement le plus de discussions dans le secteur et qui soulève le plus de doutes, voire plus logique que « une intrusion par des hackers externes ». Auparavant, l’équipe officielle avait ajusté le mécanisme multi-signature, rendant la structure de permissions trop « pratique pour être attaquée », ce qui n’a pas l’air d’un accident ; la méthode d’attaque « montre une compréhension trop approfondie des logiques internes », ce qui ne ressemble absolument pas au style d’un hacker externe ; et la réaction officielle face au vol d’une somme aussi énorme est anormalement calme. Après le vol, les flux de fonds sont très propres et clairs : conversion rapide en ETH et opérations inter-chaînes, sans transfert vers des exchanges centralisés susceptibles d’être gelés. L’ensemble de cette séquence d’événements et de cette logique d’opération. a fait monter en flèche les soupçons de la communauté envers un « se voler soi-même » de la part de Drift.

3. Parties concernées et réactions de la communauté crypto

Après l’incident de vol d’actifs du Drift Protocol, les différentes parties concernées et la communauté crypto ont réagi de façons diverses :

• Lors de l’incident de vol du protocole DeFi Drift, la perte liée aux positions JLP s’élève à environ 155,6 millions de dollars. À ce sujet, Jupiter officiel a déclaré que la plateforme n’était pas affectée par cet événement : son produit de prêt Jupiter Lend ne concerne pas le marché Drift, et les actifs JLP « sont entièrement adossés aux actifs sous-jacents ». Jupiter a également indiqué que cet incident constitue pour l’écosystème Solana DeFi « une journée difficile », et a exprimé sa préoccupation envers l’équipe Drift ainsi que les utilisateurs touchés.

• Le protocole de génération de rendements Unitas Protocol a tweeté indiquant qu’il n’a pas été affecté par l’attaque contre Drift Protocol. Unitas n’a aucune exposition sur Drift. Tous les collatéraux sont en sécurité, toutes les stratégies (y compris la stratégie JLP Delta neutre) fonctionnent normalement. Les fonds des utilisateurs sont en sécurité. Les collatéraux peuvent être vérifiés en temps réel via le tableau de bord des preuves de réserves d’Accountable et Primus Labs.

• Le protocole de liquidité Solana Meteora a tweeté indiquant que tous les fonds de Meteora sont en sécurité, et que toutes les fonctionnalités ainsi que le coffre-fort de la plateforme n’interagissent pas avec le protocole Drift.

• Anna, fondatrice de l’infrastructure de stablecoins Perena a tweeté indiquant que son Perena USD*、USD*-J et USD*-P n’ont pas été affectés par l’incident d’attaque de Drift. En revanche, le coffre-fort JLP associé au tableau de bord de preuves de réserves de Neutral Trade, une plateforme de partage de stratégies de quantification de l’écosystème Solana, a été affecté car il fonctionne sur Drift Protocol ; l’équipe reste en contact avec ses partenaires et continuera à mettre à jour l’avancement.

• Utilisateur de la plateforme X @hzkj99 : le protocole d’actifs de l’écosystème SOL, Drift Protocol, s’est fait voler, et les pertes se chiffrent en centaines de millions ; dès qu’il y a des fonds en jeu, la sécurité est la priorité absolue à tout moment, surtout dans un marché baissier : il y aura absolument de nouveaux protocoles qui se feront voler. Ce monde est vraiment un énorme “théâtre de fortune” ; certains protocoles peuvent même être volés plusieurs fois, et Drift n’est pas non plus le dernier qui se fera voler.

• Utilisateur de la plateforme X @lanhubiji : Drift Protocol a subi une exploitation de vulnérabilité majeure, avec une perte de l’ordre de 270 millions de dollars, ce qui fait partie des plus grands incidents d’attaque DeFi à ce jour en 2026. Certains posts, sur un ton très sérieux, affirment : « La Fondation Solana coordonne avec les serveurs du sous-sol de Toly (cofondateur) pour faire un rollback ». Même si c’est une blague, il faut quand même avouer que c’est un peu exagéré.

• Utilisateur de la plateforme X @EnHeng456 : en marché baissier, il faut vraiment être prudent quand on dépose de l’argent, encore plus qu’avant ; l’environnement devient de moins en moins sûr. On voit partout des nouvelles de vols ; certains anciens protocoles ont aussi des problèmes spécialement en période baissière. Il devient très difficile de distinguer s’il s’agit d’une attaque de hacker ou d’un “se voler soi-même”. Moi récemment, je suis devenu très prudent : je garde tout simplement tout tranquillement dans USD1, sans oser remettre de l’argent ailleurs. Dans ce type de tendance, plus on s’agite, plus on risque d’avoir des problèmes. Parfois, ne rien faire est le meilleur choix : Drift s’est fait voler 200 millions de dollars et l’argent est allé dans la poche du général.

4. L’impact de l’incident de vol de Drift Protocol

L’incident de vol de 285 millions de dollars de Drift Protocol est la deuxième plus grande attaque DeFi de l’histoire de l’écosystème Solana. Son impact dépasse largement le protocole lui-même : il porte un coup dur à la confiance de l’écosystème Solana et accélère la transformation de la sécurité dans DeFi.

Cette attaque a mis en évidence des failles fatales de DeFi : la gestion multi-signature des permissions et la sécurité des oracles. Les permissions, c’est le coffre-fort. Dès lors qu’une clé d’administrateur tombe entre de mauvaises mains, et qu’en l’absence de mécanismes d’arrêt d’urgence comme un time lock, toute logique de code complexe peut s’effondrer instantanément. Pour Drift Protocol, sauf à récupérer d’énormes fonds ou à trouver un “gros” repreneur, il ira vers la liquidation, la faillite et les poursuites. Pour Solana et son écosystème, la réputation est fortement entamée : sortie de capitaux à court terme, ralentissement de la croissance ; à long terme, cela pousse l’écosystème à procéder à des mises à niveau de sécurité. Et pour l’ensemble du secteur DeFi, on peut dire qu’il s’agit d’un véritable tournant : “la sécurité des permissions prime sur la sécurité du code” devient une règle intangible. Les coûts de la confiance augmentent fortement, et DeFi entrera dans une nouvelle phase : plus conforme, plus transparente, et plus centralisée (gouvernance sécurisée).