#DriftProtocolHacked

$286 million disparu en 12 minutes. Non pas parce que les contrats intelligents étaient bogués. Non pas parce que quelqu’un a oublié de patcher une dépendance. Mais parce que des humains ont fait confiance à d’autres humains, et que l’un de ces humains jouait à un jeu complètement différent.

Le 1er avril 2026, Drift Protocol, une plateforme d’échange de contrats à terme perpétuels basée sur Solana qui, à son apogée, détenait plus de 1,5 milliard de dollars en valeur totale verrouillée, a été vidée. L’attaque n’a pas commencé ce jour-là. Elle a débuté trois semaines plus tôt, le 23 mars, lorsque l’attaquant a discrètement créé un ensemble de comptes nonce durables sur Solana. Ce détail est extrêmement important, car les nonces durables sont une fonctionnalité légitime et intentionnelle de Solana qui permet de pré-signer des transactions pour une exécution ultérieure, sans expiration. L’attaquant a utilisé cette fonctionnalité comme une arme.

La mécanique de ce qui s’est passé ensuite était méthodique et froide. Le Conseil de sécurité de Drift fonctionne en multisig, ce qui signifie que plusieurs signataires doivent approuver les changements administratifs avant qu’ils ne prennent effet. C’est une pratique standard en DeFi et cela vise à être une sauvegarde. L’attaquant a ingénieusement fait en sorte que au moins deux des cinq membres du conseil pré-signent des transactions qui semblaient routinières. Les signataires pensaient probablement qu’ils autorisaient quelque chose d’ordinaire, peut-être dans le cadre de la migration multisig prévue le 27 mars. Ce n’était pas le cas. Ils pré-signaient en réalité le mandat de mort du protocole, prêt à s’exécuter à une heure programmée.

Le 1er avril, la séquence a été déclenchée. Un petit retrait de test a d’abord été effectué, confirmant que les transactions administratives pré-signées allaient s’exécuter. Quatre emplacements Solana plus tard, environ 1,6 seconde en temps réel, le contrôle administratif a été saisi. Ce qui a suivi était systématique : des jetons CVT, que l’attaquant avait fabriqués et listés comme collatéral valide dans le moteur de risque du protocole, ont été déposés. Le moteur, suivant ses propres règles, a émis de vrais actifs contre ce faux collatéral. Plus de 20 coffres ont été vidés en environ 12 minutes. USDC, Bitcoin wrapped, jetons JLP, et SOL ont été transférés.

Les fonds volés ont été transférés vers Ethereum. Le 3 avril, Drift a publié des messages on-chain vers quatre adresses de portefeuilles Ethereum recevant les fonds, invitant à la négociation. La société d’analyse blockchain Elliptic a noté des liens suspects avec la DPRK, un schéma cohérent avec les opérations du groupe Lazarus qui ont permis à la Corée du Nord de voler environ $2 milliards ou plus en crypto au cours des dernières années, des fonds que les agences de renseignement pensent financer des programmes d’armement et contourner les sanctions.

Au moment de l’attaque, la TVL de Drift est passée de 1,5 milliard de dollars à $247 millions. Le jeton de gouvernance DRIFT est tombé à un plus bas historique de 0,040 $, en baisse de plus de 41 % en 24 heures. Les utilisateurs de protocoles dépendants, comme Pyra et Carrot, se sont retrouvés bloqués avec leurs fonds, sans calendrier de résolution.

Plusieurs choses méritent d’être dites clairement sur ce que cet événement révèle.

Premièrement, le maillon faible en sécurité DeFi reste toujours humain. Les audits de contrats intelligents, la vérification formelle, les programmes de bug bounty, tout cela devient secondaire lorsque les personnes détenant les clés de signature peuvent être trompées pour les utiliser. Le social engineering n’est pas exotique ; c’est la plus ancienne méthode d’attaque existante. L’industrie continue de sous-investir dans la formation à la sécurité opérationnelle pour les humains qui détiennent réellement l’accès administratif.

Deuxièmement, les structures de gouvernance multisig ne sont pas aussi sûres que la communauté le suppose lorsque le processus de signature se fait à distance et de manière asynchrone. Un signataire qui examine une transaction sur son propre écran, sans coordination en temps réel avec les autres signataires, sans vérification indépendante de ce que chaque transaction fait réellement sur la blockchain, constitue une vulnérabilité, pas une sauvegarde. Le mécanisme de nonce durable a amplifié cela car il dissociait le moment de la signature de celui de l’exécution. Les signataires n’avaient aucune raison de croire que leurs transactions approuvées s’exécuteraient des semaines plus tard dans un contexte différent.

Troisièmement, l’utilisation de faux collatéraux pour vider un protocole de prêt n’est pas une technique nouvelle. Ce qui a rendu cette version sophistiquée, c’est l’accès nécessaire pour lister le collatéral en premier lieu. Ce n’était pas une manipulation d’oracle de prix. Ce n’était pas une attaque par prêt flash. Cela nécessitait des identifiants administratifs que l’attaquant a patiemment construits sur plusieurs semaines. Cette patience est en soi un signal pointant vers des acteurs d’État, qui opèrent selon des calendriers et avec des ressources que des groupes criminels motivés uniquement par le profit ne soutiennent généralement pas.

Quatrièmement, la rapidité du drain, $286 millions en 12 minutes sur plus de 20 coffres, met en évidence à quel point le modèle d’exécution de Solana est irréversible une fois qu’une séquence commence. Il n’y avait pas de coupe-circuit qui se déclenche assez vite. Il n’y avait pas le temps pour qu’un humain intervienne. La vitesse propre du protocole, l’un de ses avantages marketés, est devenue l’avantage opérationnel de l’attaquant.

Ce qui se passe à partir de maintenant tend à suivre un scénario de traumatisme DeFi prévisible. Un rapport post-mortem est publié. La compensation est discutée et débattue. Certains utilisateurs récupèrent partiellement leurs fonds. Le jeton DRIFT se stabilise à un nouveau niveau inférieur. Les protocoles concurrents absorbent la liquidité déplacée. L’industrie prend note, met à jour ses procédures multisig pendant quelques mois, puis l’urgence s’estompe.

La question la plus difficile est de savoir si la gouvernance décentralisée à cette échelle d’actifs est structurellement compatible avec les pratiques de sécurité nécessaires pour protéger les déposants particuliers. Quand $285 millions de fonds utilisateur peuvent être vidés parce que deux humains sur cinq ont fait une erreur sous pression sociale, la décentralisation a toujours été partielle. Le risque n’a jamais été distribué. Il était concentré dans un Conseil de sécurité que la plupart des déposants ne savaient probablement pas exister, dont ils ne pouvaient pas vérifier les membres, et dont ils n’avaient aucune visibilité sur les procédures de signature.

Ce n’est pas une critique spécifique à Drift. C’est la condition de presque tous les protocoles DeFi importants qui opèrent aujourd’hui.