#Gate广场四月发帖挑战

Drift 2,85 milliards de dollars : le braquage spectaculaire et le “scénario d’infiltration” des hackers nord-coréens

“Le contact lors de la réunion” est le point de bascule clé de ce plus grand braquage de l’histoire de la DeFi. Ce n’est pas simplement une faille technique, mais une guerre d’infiltration d’“ingénierie sociale” hautement précise. Des hackers nord-coréens ont, en se faisant passer pour d’autres personnes, trompé l’équipe et obtenu sa confiance dans le monde réel.

1. La vérité sur l’attaque : ce n’est pas enfoncer une porte, mais “duper pour obtenir la clé”

Le piège du “maillon faible” : les premières constatations montrent que les attaquants n’ont pas compromis directement le code du contrat intelligent. Ils se sont fait passer pour des investisseurs ou des partenaires, et ont pris contact avec des membres de l’équipe Drift lors de conférences du secteur ou de réunions en ligne. Après avoir instauré une confiance de longue date grâce aux échanges sociaux, ils l’ont amenée à signer des transactions en apparence inoffensives, mais qui contenaient en réalité des droits de porte dérobée.

Une combinaison d’actions dévastatrices : les hackers ont exploité la fonction Solana de Durable Nonce (nonce aléatoire durable), afin de permettre à l’équipe de signer à l’avance des transactions “à exécution différée”. En parallèle, avec le récent changement de gouvernance de Drift consistant à passer le multisig à un seuil 2/5 et à supprimer le time lock (Timelock), les hackers ont obtenu instantanément les droits d’administrateur le 1er avril et ont vidé le coffre.

2. Soupçons de la Corée du Nord (DPRK) : le “mode opératoire standard” d’un hacker d’État

Méthode concordante : la société d’analyse blockchain Elliptic et TRM Labs indiquent que, avant l’attaque, des transactions de test sur une longue période, ainsi qu’un mode de blanchiment rapide entre chaînes (en transformant rapidement les fonds volés en ETH), correspondent fortement aux caractéristiques des groupes de hackers d’État nord-coréens comme Lazarus Group.

Montant des fonds : cette perte est d’environ 2,85 milliards de dollars ; il s’agit de la plus grande attaque DeFi à ce jour en 2026, et de la deuxième plus importante de l’histoire de l’écosystème Solana (juste derrière l’événement Wormhole).

3. Derniers développements et impact sur le marché

Appel officiel : l’équipe Drift a tenté d’ouvrir des négociations en lançant, via des messages on-chain, un message au portefeuille du hacker : “We are ready to speak”. Mais, compte tenu du fait que les hackers nord-coréens rendent extrêmement rarement les fonds par le passé, les chances de récupération sont minces.

Choc sur l’écosystème SOL : l’incident a entraîné une chute de plus de 40 % du token DRIFT, et une fuite massive de la TVL hors de l’écosystème Solana. La confiance du marché dans la sécurité de la DeFi, en particulier la gestion des permissions multi-signatures et l’alimentation des prix par les oracles, est tombée à son plus bas niveau.

Leçon essentielle : la frontière de sécurité de la DeFi ne se limite pas au code, mais concerne aussi “les personnes”. En participant à des relations sociales hors ligne et en gérant les permissions multi-signatures, l’équipe est devenue la cible d’attaques APT (Advanced Persistent Threat, menaces persistantes avancées) de haut niveau. Pour les investisseurs, un protocole “sans time lock” est actuellement une zone de très haut risque.