Le piratage du protocole Drift en 2026 : ce qui s'est passé, qui a perdu de l'argent et quelle est la suite ?

Le groupe nord-coréen Lazarus soupçonné d'un vol de 286 millions de dollars sur Solana via le protocole Drift

Drift Protocol, la plus grande bourse décentralisée de contrats à terme perpétuels sur le réseau Solana, a confirmé l'attaque après avoir vu sa valeur totale verrouillée (TVL) s'effondrer d'environ 550 millions de dollars à moins de 250 millions de dollars en une seule matinée, s'établissant désormais à 232 millions de dollars. Bitcoin.com News a été le premier à rapporter cette information. Le token DRIFT a chuté de 37 % à 42 % dans les heures qui ont suivi, touchant un plancher entre 0,04 et 0,05 $.

Selon les rapports, l'attaque n'a pas commencé par un bug de code, mais par un retrait sur Tornado Cash. Le 11 mars, l'attaquant a retiré des ETH du protocole de confidentialité basé sur Ethereum et a utilisé ces fonds pour déployer le token carbonvote, ou CVT, le 12 mars. Les analystes de la blockchain ont noté que l'horodatage du déploiement correspondait à environ 09h00, heure de Pyongyang, un détail qui a immédiatement éveillé les soupçons.

Plusieurs rapports indiquent qu'au cours des trois semaines suivantes, l'attaquant a injecté un minimum de liquidités pour le CVT sur l'échange décentralisé Raydium et a utilisé des opérations de wash trading pour maintenir un prix proche de 1,00 $. Les oracles de Drift ont interprété ce prix comme légitime. L'attaquant avait créé de fausses garanties qui semblaient réelles à tous les systèmes automatisés qui les surveillaient.

« Plus tôt dans la journée, un acteur malveillant a obtenu un accès non autorisé au protocole Drift par le biais d’une attaque novatrice impliquant des nonces durables, ce qui a entraîné une prise de contrôle rapide des pouvoirs administratifs du Conseil de sécurité de Drift », a écrit l’équipe de Drift. Le compte X du projet a ajouté :

« Il s’agissait d’une opération hautement sophistiquée qui semble avoir nécessité plusieurs semaines de préparation et une exécution en plusieurs étapes, notamment l’utilisation de comptes à nonces durables pour pré-signer des transactions dont l’exécution a été retardée. »

Apparemment, entre le 23 et le 30 mars, l'attaquant de Drift est passé à la couche humaine. En utilisant une fonctionnalité légitime de Solana appelée « nonces durables », l'attaquant aurait incité les membres du multisig du Conseil de sécurité de Drift à pré-signer des transactions qui semblaient routinières. Ces signatures sont devenues des clés d'accès pré-approuvées, conservées en réserve jusqu'à ce que l'attaquant soit prêt.

La brèche s’est refermée le 27 mars, lorsque Drift a fait passer son Conseil de sécurité à un seuil de signature de 2 sur 5 et a supprimé complètement son délai de verrouillage. Un délai de verrouillage impose généralement un délai de 24 à 72 heures pour les actions administratives, donnant à la communauté le temps de repérer et d’annuler toute opération suspecte. Sans cela, l’attaquant disposait d’un pouvoir d’exécution sans délai. Les transactions pré-signées ont été activées dès la suppression du délai de verrouillage.

Le 1er avril, l'attaquant a activé ces transactions, a répertorié le CVT comme garantie valide, a relevé les limites de retrait et a déposé des centaines de millions de jetons CVT contre lesquels le moteur de risque de Drift a émis des actifs réels. Le protocole a remis des millions de jetons JLP, des millions d'USDC, des millions de SOL et des montants plus modestes de bitcoin et d'ethereum « wrapped ». Trente et une transactions de retrait ont été traitées en environ 12 minutes.

L'attaquant a converti les tokens volés en USDC à l'aide de Jupiter, les a transférés vers Ethereum, puis les a échangés contre des dizaines de milliers d'ETH. Une partie des fonds a été acheminée via Hyperliquid, et une autre partie a été transférée directement vers Binance. Le 3 avril, Drift a envoyé un message sur la blockchain depuis une adresse Ethereum vers quatre portefeuilles contrôlés par le pirate. Le site cryptonomist.ch rapporte que le message disait :

« Nous sommes prêts à discuter. »

Les sociétés de sécurité Elliptic et TRM Labs ont attribué l'attaque à des acteurs malveillants liés à la RPDC, citant l'origine Tornado Cash, la signature de déploiement à l'heure de Pyongyang, l'accent mis sur l'ingénierie sociale et la rapidité du blanchiment après le piratage. Le groupe Lazarus a utilisé la même patience et la même approche ciblant les personnes lors du piratage du pont Ronin en 2022. Le gouvernement américain a établi un lien entre ces vols et le financement du programme d'armement de la Corée du Nord, et Elliptic a recensé plus de 300 millions de dollars volés rien qu'au premier trimestre 2026. La contagion s'est propagée à plus de 20 protocoles. Prime Numbers Fi a fait état de pertes se chiffrant en millions. Carrot Protocol a suspendu ses fonctions d'émission et de rachat après que 50 % de sa TVL a été affectée. Pyra Protocol a complètement désactivé les retraits, rendant tous les fonds des utilisateurs inaccessibles. Piggybank a perdu 106 000 dollars et a remboursé les utilisateurs à partir de la trésorerie de sa propre équipe. DeFi Development Corp., une société cotée au Nasdaq ayant une stratégie de trésorerie axée sur Solana, a confirmé le 1er avril qu'elle n'avait aucune exposition à Drift. Son cadre de gestion des risques excluait totalement ce protocole. Ce fait a attiré davantage d'attention que la société ne l'aurait probablement souhaité.

L'incident Drift a tiré une leçon claire que la plupart des acteurs du secteur connaissaient déjà mais n'avaient pas pleinement appliquée : un délai de blocage n'est pas facultatif. La suppression de cette seule mesure de sécurité le 27 mars a transformé une attaque complexe, prévue sur plusieurs semaines, en un retrait de fonds en 12 minutes. Une gouvernance de protocole sans mécanisme de délai est une gouvernance aux portes ouvertes.

Les 48 heures qui ont suivi l'attaque DeFi ont été décrites comme cruciales pour la capacité de Drift à conserver la confiance des utilisateurs et à tracer une voie de rétablissement. Au 3 avril, aucun plan de remboursement complet n'avait été annoncé.

FAQ 🔎

• Que s'est-il passé avec le protocole Drift ? Des pirates ont détourné 286 millions de dollars du protocole Drift le 1er avril 2026, en utilisant de fausses garanties et des transactions administratives pré-signées pour vider les coffres principaux du protocole en 12 minutes.
• Qui est responsable du piratage de Drift Protocol ? Des sociétés de sécurité, notamment Elliptic et TRM Labs, ont attribué l'attaque à des acteurs malveillants liés à la RPDC, en citant des schémas de blanchiment et des horodatages sur la blockchain correspondant aux méthodes du groupe Lazarus.
• Mon argent est-il en sécurité sur Drift Protocol ? Drift a suspendu tous les dépôts et retraits à la suite de l'attaque ; les utilisateurs des protocoles touchés, tels que Pyra et Carrot, ne peuvent toujours pas accéder à leurs fonds à la date du 3 avril 2026.
• Qu'est-ce qu'une attaque par nonce durable dans la DeFi Solana ? Une attaque par nonce durable utilise une fonctionnalité légitime de Solana pour pré-signer des transactions d'apparence banale, les conservant comme clés d'autorisation actives jusqu'à ce que l'attaquant décide de les exécuter.