Le groupe Lazarus de la RPDC soupçonné du vol de 286 millions de dollars sur Solana via Drift Protocol
Drift Protocol, la plus grande plateforme d'échange de contrats à terme perpétuels décentralisés sur le réseau Solana, a confirmé l'exploitation après avoir vu sa valeur totale verrouillée (TVL) s'effondrer d'environ 550 millions de dollars à moins de 250 millions de dollars en une seule matinée, s'établissant maintenant à 232 millions de dollars. Bitcoin.com News a été le premier à signaler le problème. Le token DRIFT a chuté de 37 % à 42 % dans les heures qui ont suivi, atteignant un plancher proche de 0,04 à 0,05 dollar.
Les rapports indiquent que l'attaque n'a pas commencé par un bug de code mais par un retrait de Tornado Cash. Le 11 mars, l'attaquant a retiré de l'ETH du protocole de confidentialité basé sur Ethereum et a utilisé ces fonds pour déployer le token carbonvote, ou CVT, le 12 mars. Les analystes de la blockchain ont noté que l'horodatage du déploiement correspondait à environ 9h00, heure de Pyongyang, un détail qui a immédiatement levé des drapeaux rouges.
Token DRIFT le 3 avril 2026.Plusieurs rapports détaillent qu'au cours des trois semaines suivantes, l'attaquant a injecté une liquidité minimale pour le CVT sur l'échange décentralisé Raydium et a utilisé du Wash Trading pour maintenir un prix proche de 1,00 dollar. Les oracles de Drift ont lu ce prix comme légitime. L'attaquant avait construit de fausses garanties qui semblaient réelles pour tous les systèmes automatisés qui les surveillaient.
« Plus tôt dans la journée, un acteur malveillant a obtenu un accès non autorisé à Drift Protocol par le biais d'une attaque inédite impliquant des nonces durables, entraînant une prise de contrôle rapide des pouvoirs administratifs du Conseil de sécurité de Drift », a écrit l'équipe Drift.
Le compte X du projet a ajouté :
Apparemment, entre le 23 et le 30 mars, l'attaquant de Drift s'est tourné vers la couche humaine. En utilisant une fonctionnalité légitime de Solana appelée nonces durables, l'attaquant aurait incité des membres du multisig du Conseil de sécurité de Drift à pré-signer des transactions qui semblaient routinières. Ces signatures sont devenues des clés d'accès pré-approuvées, tenues en réserve jusqu'à ce que l'attaquant soit prêt.
L'ouverture s'est refermée le 27 mars, lorsque Drift a migré son Conseil de sécurité vers un seuil de signature 2 sur 5 et a complètement supprimé son timelock. Un timelock impose généralement un délai de 24 à 72 heures sur les actions administratives, donnant à la communauté le temps de détecter et d'inverser tout élément suspect. Sans lui, l'attaquant avait une autorité d'exécution sans délai. Les transactions pré-signées étaient actives dès la disparition du timelock.
Le 1er avril, l'attaquant a activé ces transactions, a inscrit le CVT comme garantie valide, a augmenté les limites de retrait et a déposé des centaines de millions de tokens CVT contre lesquels le moteur de risque de Drift a émis des actifs réels. Le protocole a remis des millions de tokens JLP, des millions d'USDC, des millions de SOL et de plus petites quantités de bitcoin et d'ethereum enveloppés. Trente et une transactions de retrait ont été effectuées en environ 12 minutes.
L'attaquant a converti les tokens volés en USDC en utilisant Jupiter, a effectué un pont vers Ethereum et les a échangés contre des dizaines de milliers d'ETH. Certains fonds ont été acheminés via Hyperliquid, et une partie s'est déplacée directement vers Binance. Le 3 avril, Drift a envoyé un message onchain depuis une adresse Ethereum vers quatre portefeuilles contrôlés par des pirates. La publication cryptonomist.ch rapporte que le message indiquait :
Les sociétés de sécurité Elliptic et TRM Labs ont attribué l'attaque à des acteurs menaçants liés à la RPDC, citant l'origine de Tornado Cash, la signature de déploiement à l'heure de Pyongyang, l'accent mis sur l'ingénierie sociale et la rapidité du blanchiment post-piratage. Le groupe Lazarus a utilisé la même patience et la même approche ciblant les humains lors du piratage du pont Ronin en 2022. Le gouvernement américain a lié ces vols au financement du programme d'armement de la Corée du Nord, et Elliptic a suivi plus de 300 millions de dollars volés au cours du seul premier trimestre 2026.
La contagion s'est propagée à plus de 20 protocoles. Prime Numbers Fi a signalé des pertes de plusieurs millions. Carrot Protocol a suspendu les fonctions de mint et de rachat après que 50 % de sa TVL ait été affectée. Pyra Protocol a complètement désactivé les retraits, rendant tous les fonds des utilisateurs inaccessibles. Piggybank a perdu 106 000 dollars et a remboursé les utilisateurs à partir de sa propre trésorerie d'équipe.
DeFi Development Corp., une société cotée au Nasdaq avec une stratégie de trésorerie Solana, a confirmé le 1er avril qu'elle n'avait aucune exposition à Drift. Son cadre de risque excluait entièrement le protocole. Ce fait a attiré plus d'attention que la société ne l'avait probablement prévu.
L'incident Drift a produit une leçon claire que la plupart de l'industrie connaissait déjà mais n'avait pas pleinement appliquée : un timelock n'est pas optionnel. La suppression de cette unique protection le 27 mars a converti une attaque complexe de plusieurs semaines en un retrait de 12 minutes. La gouvernance de protocole sans mécanisme de délai est une gouvernance avec une porte ouverte.
Les 48 heures suivant l'attaque DeFi ont été décrites comme critiques pour la capacité de Drift à conserver la confiance des utilisateurs et à tracer une voie de récupération. Au 3 avril, aucun plan de remboursement complet n'avait été annoncé.
FAQ 🔎
- Qu'est-il arrivé à Drift Protocol ? Des attaquants ont drainé 286 millions de dollars de Drift Protocol le 1er avril 2026, en utilisant de fausses garanties et des transactions administratives pré-signées pour vider les coffres principaux du protocole en 12 minutes.
- Qui est responsable du piratage de Drift Protocol ? Des sociétés de sécurité, dont Elliptic et TRM Labs, ont attribué l'attaque à des acteurs menaçants liés à la RPDC, citant des schémas de blanchiment et des horodatages onchain cohérents avec les méthodes du groupe Lazarus.
- Mon argent est-il en sécurité sur Drift Protocol ? Drift a suspendu tous les dépôts et retraits suite à l'attaque ; les utilisateurs des protocoles affectés comme Pyra et Carrot restent incapables d'accéder aux fonds au 3 avril 2026.
- Qu'est-ce qu'une attaque par nonce durable dans Solana DeFi ? Une attaque par nonce durable utilise une fonctionnalité légitime de Solana pour pré-signer des transactions qui semblent routinières, les conservant comme clés d'autorisation actives jusqu'à ce que l'attaquant choisisse de les exécuter.
Source : https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
