Comment les hackers de niveau national infiltrent-ils la DeFi ? Enquête approfondie sur l'incident de piratage de Drift

Le centre des attaques dans les incidents de cybersécurité crypto se déplace brusquement du niveau du code vers la couche de confiance humaine.

Le 1er avril 2026, le protocole décentralisé de dérivés de pointe Drift Protocol de l’écosystème Solana a été la cible d’une attaque, causant une perte d’environ 285 millions de dollars. La valeur totale immobilisée (TVL) de la plateforme a chuté d’environ 550 millions de dollars avant l’incident à environ 230 millions de dollars. L’enquête préliminaire publiée ensuite par Drift confirme que cette action a été planifiée par le groupe de hackers UNC4736, lié au gouvernement nord-coréen, et qu’il s’agit d’une « opération structurée de renseignement sur une durée de 6 mois ».

Ce que révèle cette conclusion va bien au-delà d’un simple incident de sécurité : lorsque des hackers au niveau étatique font passer le centre de gravité des attaques de la découverte de failles de code à une pénétration de confiance humaine s’étalant sur des mois, tout le paradigme de sécurité de l’industrie DeFi est en train d’être réécrit systématiquement. Les attaques n’ont plus besoin de failles complexes de contrats intelligents ni de vol de clés privées — il suffit d’une patience relationnelle, d’une identité soigneusement camouflée, et de suffisamment de temps.

Quel est le mécanisme de fonctionnement de l’attaque ?

Le plan d’action d’UNC4736 fait preuve d’une discipline organisationnelle et d’investissements en ressources bien supérieurs à ceux d’un simple groupe de hackers. À partir de l’automne 2025, des personnes se faisant passer pour des sociétés de trading quantitatif ont pris l’initiative d’entrer en contact avec les contributeurs de Drift lors de plusieurs conférences crypto internationales. Ces personnes sont techniquement très à l’aise, disposent de parcours professionnels vérifiables et connaissent le fonctionnement de Drift. Fait notable : les personnes approchées en personne ne sont pas de nationalité nord-coréenne, mais sont identifiées comme des intermédiaires tiers déployés par des acteurs considérés comme des menaces en provenance de Corée du Nord.

Une fois la confiance établie, le groupe s’est installé, entre décembre 2025 et janvier 2026, dans un coffre-fort (vault) d’un écosystème au sein de l’écosystème Drift, et a effectivement déposé plus de 1 million de dollars de ses propres fonds pour établir sa crédibilité. Au cours de cette période, ils ont mené avec plusieurs contributeurs des discussions détaillées et professionnelles sur les questions produit.

L’intrusion technique a été réalisée via deux voies : d’une part, un contributeur a été compromis lors du clonage d’un dépôt de code malveillant ; ce dépôt exploitait des failles constamment signalées par la communauté de sécurité dans les éditeurs VSCode et Cursor — il suffit d’ouvrir un fichier, un dossier ou un dépôt dans l’éditeur pour exécuter silencieusement du code arbitraire, sans aucun avertissement ou clic de l’utilisateur ; d’autre part, un autre contributeur a été amené à télécharger une application de portefeuille contrefaite via la plateforme Apple TestFlight. Après avoir obtenu les droits internes, les attaquants ont utilisé la fonctionnalité native de Solana Durable Nonce pour signer à l’avance des transactions, puis ont exécuté instantanément des opérations de vidage après l’approbation d’un multisig.

Quel coût cette forme d’attaque entraîne-t-elle ?

Le coût révélé par l’incident Drift est multidimensionnel, bien au-delà de la perte comptable de 285 millions de dollars.

Le coût le plus direct se manifeste par la perte de fonds et l’impact sur le marché. Cette attaque est, à ce jour en 2026, le plus grand incident de sécurité DeFi, et le deuxième plus grand incident de sécurité de l’histoire de l’écosystème Solana. Après l’incident, le prix du token DRIFT a chuté, à un moment donné, de plus de 90% par rapport à son plus haut historique.

Ce qui est encore plus inquiétant, c’est l’effet de contagion de l’attaque. Les protocoles touchés par l’incident de faille de Drift sont passés des 11 initiaux à plus de 20 ; de nouveaux protocoles ont été ajoutés, notamment PiggyBank, Perena, Vectis, Prime Numbers Fi, etc. Certaines opérations de plusieurs protocoles ont été suspendues, comme l’émission (minting), le rachat (redeeming) ou les dépôts/retraits. Après la suspension des opérations du protocole de prêt décentralisé Project 0, il a lancé un processus de deleveraging, avec une décote moyenne des actifs des prêteurs de 2,61%.

Et le coût le plus profond, aussi le plus difficile à quantifier, est l’ébranlement de la base de confiance en matière de sécurité dans l’industrie DeFi. Après l’incident, Drift a souligné que tous les membres du multisig utilisaient des cold wallets, mais que cela n’a pourtant pas empêché l’attaque, ce qui indique qu’au moment où l’attaque cible le niveau humain, même un contrôle matériel strict peut être contourné. Si l’attaquant agit pendant six mois comme une organisation réelle, investit des fonds, et participe à l’écosystème, il est presque impossible que les systèmes de sécurité existants les détectent.

Que signifie cela pour la configuration de l’industrie DeFi ?

L’incident Drift force l’ensemble du secteur à réévaluer une question fondamentale : les hypothèses de sécurité de la finance décentralisée sont-elles toujours valables ?

Une réflexion importante du secteur se concentre sur la vulnérabilité structurelle du système de confiance envers des intermédiaires tiers. Le chemin d’attaque d’UNC4736 révèle que l’écosystème DeFi actuel ne dispose pas de mécanismes de revue de sécurité systématique et de surveillance continue pour les nouveaux partenaires. Les comportements considérés comme des activités commerciales normales au sein de l’industrie — contacts lors de conférences, communications via messagerie instantanée, intégration dans un coffre d’écosystème — constituent précisément la meilleure couverture pour la pénétration par des hackers au niveau étatique.

Un autre sujet de controverse qu’il ne faut pas ignorer provient des fissures de conformité dans la phase de récupération des fonds. Des enquêteurs on-chain indiquent que les attaquants, via des protocoles de transfert cross-chain, ont fait passer environ 232 millions de dollars de USDC depuis le pont Solana vers Ethereum, et que les émetteurs de stablecoins disposent d’une fenêtre d’environ 6 heures pour geler ces fonds, mais n’ont pris aucune mesure. Cette controverse touche un problème institutionnel plus profond : lorsque les défenses de sécurité du protocole DeFi lui-même échouent, s’en remettre à la réponse de conformité d’un émetteur de stablecoins centralisé pour compenser, ce modèle hybride est-il durable ? Et où se situe la limite d’action des entités de conformité lorsque de flux de capitaux à grande échelle entrent en jeu ?

Comment cela pourrait-il évoluer à l’avenir ?

D’après l’avancement des enquêtes actuelles et les réactions de l’industrie, plusieurs tendances se dessinent déjà.

Les budgets de sécurité seront réévalués de manière systémique. En 2025, les pertes de cybersécurité globales liées à la crypto ont dépassé 3,4 milliards de dollars ; dans le domaine Web3, 89 incidents de sécurité confirmés ont été enregistrés en 2025, avec des pertes totales de 2,54 milliards de dollars. Dans un contexte où les attaques au niveau étatique deviennent de plus en plus courantes, les stratégies de défense reposant uniquement sur l’audit du code et les tests de sécurité s’avèrent insuffisantes. On s’attend à ce que davantage de protocoles investissent des ressources supplémentaires dans la formation à la sécurité opérationnelle, les simulations de défense contre l’ingénierie sociale et les processus de vérification des antécédents.

La propagation des risques entre protocoles deviendra une nouvelle dimension de l’attention sécurité. L’effet en cascade de l’événement Drift touchant plus de 20 protocoles montre que la composabilité de DeFi est une arme à double tranchant sur le plan de la sécurité. À l’avenir, deux types de solutions pourraient émerger : d’une part, une isolation des dépendances et une hiérarchisation de la sécurité au niveau des protocoles ; d’autre part, la mise en place, à l’échelle de l’industrie, de mécanismes unifiés de réponse aux incidents et de partage d’informations.

Les frontières entre réglementation et conformité feront l’objet de davantage de débats. Les standards d’action des émetteurs de stablecoins dans des événements similaires deviendront un sujet central de discussion réglementaire et pourraient donner naissance à des cadres de réponse d’urgence pour les flux transfrontaliers d’actifs crypto.

Quels risques potentiels restent dans la zone d’alerte ?

Bien que Drift ait gelé toutes les fonctions des protocoles et ait retiré les portefeuilles endommagés des multisigs, plusieurs dimensions de risque méritent encore une attention continue.

L’irréversibilité de la récupération des fonds. Après avoir réalisé le vol, les attaquants ont rapidement effacé les enregistrements de messagerie instantanée et les malwares, et les fonds on-chain ont déjà été transférés via des ponts cross-chain vers le réseau Ethereum. Les organisations de hackers nord-coréennes disposent généralement de réseaux de blanchiment d’argent et de capacités de mixage cross-chain mûrs ; la majeure partie des fonds volés pourrait déjà être entrée dans des canaux difficiles à récupérer.

Une compétition asymétrique des capacités de sécurité dans l’industrie. Les hackers au niveau étatique disposent de ressources organisationnelles, d’un soutien financier continu et d’une division spécialisée du travail, tandis que la grande majorité des protocoles DeFi fonctionnent avec de petites équipes, avec des ressources de sécurité limitées. Cette asymétrie est exploitée de manière systémique par les attaquants. Les identités utilisées par ces attaquants ont été construites avec un historique professionnel complet, des justificatifs d’identité publique et des réseaux sociaux professionnels, leur permettant de résister à un contrôle normal dans le cadre de collaborations commerciales.

La fatigue de confiance qui freine l’innovation du secteur. Si chaque nouveau partenaire doit passer par une revue de sécurité rigoureuse et une surveillance continue, l’avantage central de DeFi — l’ouverture et la composabilité — risque d’être érodé. Trouver l’équilibre entre la défense en matière de sécurité et l’efficacité opérationnelle sera un dilemme auquel l’industrie devra répondre.

Résumé

L’incident de piratage de Drift met en évidence une réalité longtemps négligée : les menaces de sécurité dans l’industrie DeFi ont déjà franchi un saut générationnel. Des failles de contrats intelligents au vol de clés privées, puis à présent à une pénétration d’ingénierie sociale de niveau étatique durant 6 mois, la vitesse d’évolution tactique des attaquants dépasse largement celle de l’itération des systèmes de défense. Lorsque les attaquants n’ont plus besoin de percer le code, mais seulement de percer la confiance d’une personne, l’efficacité des outils de sécurité traditionnels comme les multisigs, les cold wallets et l’isolation matérielle est remise en question.

L’industrie a besoin non seulement d’audits de code plus perfectionnés et de contrôles d’accès plus stricts, mais surtout d’une toute nouvelle manière de penser la sécurité : traiter « la confiance humaine » comme une surface d’attaque aussi importante que « le code de contrat intelligent ». Du contrôle des antécédents à la culture de sécurité opérationnelle, de la surveillance continue des partenaires d’écosystème à la coordination inter-protocoles des mécanismes de réponse d’urgence, chaque maillon doit être redéfini. Dans la nouvelle normalité de la cybersécurité crypto où des puissances au niveau étatique entrent en jeu, aucun protocole ne peut rester à l’écart — toute la chaîne de défense sécuritaire de l’industrie ne peut atteindre que la force de son maillon le plus faible.

FAQ

Q : UNC4736 est-il le même organisme que Lazarus ?

UNC4736 est le nom utilisé par des sociétés de sécurité pour suivre des acteurs menaçants liés au gouvernement nord-coréen, et il existe un recoupement mais pas une équivalence totale avec le Lazarus Group, plus largement connu. On pense qu’UNC4736 exécute dans le secteur des cryptomonnaies des tâches plus persistantes de génération de revenus sur la base, en se concentrant sur une pénétration continue d’objectifs allant des petites aux moyennes cibles.

Q : Pourquoi l’utilisation de multisig par Drift n’a-t-elle pas empêché l’attaque ?

Les attaquants n’ont pas volé directement les clés privées du multisig. Ils ont d’abord obtenu des droits d’approbation du multisig via l’ingénierie sociale, puis ont utilisé la fonctionnalité Durable Nonce de Solana pour signer à l’avance des transactions ; après avoir obtenu suffisamment de droits, ils ont exécuté instantanément l’opération. Cela montre que la prémisse de sécurité du mécanisme multisig est que les signataires ne sont pas manipulés par des méthodes d’ingénierie sociale.

Q : Cette attaque implique-t-elle des failles de contrats intelligents ?

Non. Drift confirme que le cœur de cette attaque est une pénétration via ingénierie sociale et l’abus de la fonctionnalité Durable Nonce, plutôt que des failles de code de contrats intelligents traditionnelles.

Q : Quelles mesures Drift a-t-il prises après l’incident ?

Drift a gelé toutes les fonctions des protocoles, a retiré les portefeuilles affectés des signatures multiples, et a invité des sociétés de sécurité à participer à une enquête approfondie de récupération des preuves (forensic). L’équipe du protocole indique qu’elle travaille avec les autorités chargées de l’application de la loi pour tenter de tracer les fonds volés.