#DriftProtocolHacked DriftProtocolHacked : Une analyse complète du vol DeFi lié à la Corée du Nord

La version courte : Le 1er avril 2026 #DriftProtocolHacked oui, une vraie attaque, pas une blague$285M , le plus grand échange perpétuel de Solana, Drift Protocol, a perdu environ (million) dans ce qui est désormais considéré comme la cyberattaque d'ingénierie sociale la plus sophistiquée de l'histoire de la DeFi. Les attaquants ont passé $285 six mois$1 à gagner la confiance, à rencontrer l'équipe en personne, à déposer plus de (million) de leur propre argent, puis à compromettre des machines de signature pour vider le protocole en seulement 12 minutes.

---

1. La chronologie : comment cela s’est déroulé

L’exécution de l’attaque $285 1er avril 2026(

· Total volé : environ )million( répartis sur plusieurs pools : JLP )~155,6 M$(, USDC, SOL, cbBTC, wBTC, WETH, et memecoins
· Méthode : Les attaquants ont activé des transactions pré-signées avec "nonce durable", listé de faux tokens CVT comme collatéral valide, augmenté les limites de retrait au maximum, et tout drainé
· Vitesse : 31 transactions de retrait validées en environ 12 minutes
· Conversion immédiate : actifs volés échangés contre environ 129 000 ETH )~278 M$( via Jupiter, puis bridgés vers Ethereum

Réponse immédiate

· Dépôts/retraits immédiatement gelés
· Drift confirmé : "Ce n’est pas une blague du 1er avril"
· Toutes les fonctions du protocole suspendues ; portefeuilles compromis retirés du multisig

---

2. L'infiltration sur six mois : une opération de renseignement structurée

Ce n’était pas une erreur de code ou un hack aléatoire. C’était une opération d’espionnage à grande échelle.

Phase 1 : Premier contact )Automne 2025$1

Des individus se faisant passer pour une société de trading quantitatif ont approché des contributeurs de Drift lors d’une grande conférence crypto. Ils étaient techniquement sophistiqués, crédibles, et ont créé immédiatement un groupe Telegram.

Phase 2 : Construction de la confiance (Déc 2025 - Jan 2026)

· Mise en place d’un coffre-fort d’écosystème légitime sur Drift
· Dépôt de plus de (million) de leur propre capital pour établir leur crédibilité
· Plusieurs sessions de travail sur stratégies de trading et intégrations
· Rencontre en personne avec des contributeurs de Drift lors de conférences dans plusieurs pays

Phase 3 : Compromission technique (Fév - Mar 2026)

Deux vecteurs d’attaque probables identifiés :

| Vecteur | Méthode |
|---|---|
| Dépôt malveillant | L’attaquant a partagé un dépôt de code sous prétexte de déployer une interface de coffre-fort. Une vulnérabilité connue de VSCode/Cursor (signalée en déc 2025 - fév 2026) a permis une exécution silencieuse de code arbitraire simplement en ouvrant le dossier — sans clics, sans avertissements. |
| Application TestFlight | Un contributeur a été persuadé d’installer une bêta d’"application de portefeuille" via Apple TestFlight (qui contourne la revue de sécurité de l’App Store). |

Une fois les machines compromises, les attaquants ont obtenu des approbations multisig via une fausse représentation de transactions.

Phase 4 : Le piège est tendu (27 mars 2026)

Drift a migré son Conseil de sécurité vers un multisig 2-sur-5 avec un délai de 0 seconde — ce qui permettait d’exécuter instantanément des actions administratives. Les transactions pré-signées étaient déjà en attente.

Phase 5 : Exécution (1er avril 2026)

· Les attaquants ont activé les transactions dormantes
· Les chats Telegram et logiciels malveillants ont été complètement effacés dès que l’attaque a été lancée
· Fonds drainés en 12 minutes

---

3. Attribution : UNC4736 $50M Groupe Lazarus( de la Corée du Nord

Avec une confiance moyenne-haute, Drift et l’équipe SEAL 911 attribuent cela à UNC4736 )alias AppleJeus, Citrine Sleet, Gleaming Pisces( — le même groupe derrière le hack de Radiant Capital en octobre 2024.

Preuves liant la DPRK :

· Surcroisement on-chain : les flux de fonds utilisés pour orchestrer l’opération Drift remontent aux attaquants de Radiant Capital
· Modèles opérationnels : même approche patiente, ciblant des humains, utilisée lors du hack du pont Ronin en 2022 )$625M$285
· Origine Tornado Cash : l’attaque a commencé par un retrait ETH de Tornado Cash le 11 mars
· Horodatage Pyongyang : le déploiement du CVT aligné avec ~09:00 heure de Pyongyang
· Vitesse de blanchiment : conversion instantanée cross-chain en ETH, sans gel par les CEX

Note critique : Les personnes en face-à-face n’étaient PAS des nationals nord-coréens

« Les individus présents en personne lors des conférences n’étaient pas des ressortissants nord-coréens. Les acteurs de la menace DPRK opérant à ce niveau déploient généralement des intermédiaires tiers pour gérer la relation. »

Ces intermédiaires avaient des identités entièrement construites — antécédents professionnels, références publiques, réseaux professionnels — conçus pour résister à la vérification de la contrepartie.

---

4. Analyse technique : comment l’exploit a fonctionné

L’attaque du "Nonce durable"

Solana possède une fonctionnalité légitime appelée nonce durable, permettant de pré-signer des transactions et de les exécuter plus tard. Les attaquants ont :

1. Obtenu l’approbation des signataires multisig pour des transactions apparemment routinières
2. Ces approbations sont devenues des clés d’autorisation actives en réserve
3. Lors du retrait du délai le 27 mars, les transactions pré-signées se sont activées instantanément

Le schéma de collatéral factice

1. 11 mars : l’attaquant a retiré de l’ETH de Tornado Cash
2. 12 mars : déploiement du token "CVT" (carbonvote)
3. 3 semaines : approvisionnement minimal en liquidités sur Raydium, utilisant du wash trading pour maintenir un prix d’environ 1,00 $
4. 1er avril : les oracles de Drift ont considéré le CVT comme un collatéral légitime → l’attaquant a déposé un CVT sans valeur → le protocole a émis de vrais actifs contre celui-ci

---

5. Les conséquences : qui a été touché

Pertes directes : environ (million)

| Actif | Montant | Valeur (USD) |
|---|---|---|
| Tokens JLP | ~41,7 M | ~$155,6 M |
| USDC | Divers | ~$80-100 M |
| SOL | Divers | Important |
| cbBTC/wBTC/WETH | Divers | Reste |

Protocoles affectés (Contagion)

· Prime Numbers Fi : millions perdus
· Carrot Protocol : fonctions de mint/redeem suspendues après que 50 % du TVL ait été affecté
· Pyra Protocol : retraits totalement désactivés
· Piggybank : perte de 106 000 $ #DriftProtocolHacked remboursés par le trésor$230

Réponse de Jupiter

"Jupiter Lend n’est pas impliqué dans les marchés Drift. Les actifs JLP sont entièrement garantis par des actifs sous-jacents. C’est une journée difficile pour la DeFi sur Solana."

Tokens non affectés

· Unitas Protocol
· Meteora
· Perena (même si leur coffre JLP géré par Neutral Trade a été impacté)

---

6. La controverse sur la stablecoin : Circle vs Tether

Une grande histoire secondaire a émergé : pourquoi Circle n’a-t-il pas gelé l’USDC volé ?

Les chiffres

· (million d’USDC) ont été bridgés de Solana vers Ethereum via le Cross-Chain Transfer Protocol de Circle (CCTP)
· Cela s’est produit en plus de six heures sans intervention

Le contraste

Réponse du protocole
USDT0 (Tether) a suspendu la communication cross-chain sur Solana en 90 minutes
Circle CCTP : aucune intervention documentée ; le protocole a fonctionné sans permission

Les critiques

L’analyste on-chain ZachXBT a critiqué publiquement l’inaction de Circle. Les observateurs de l’industrie ont noté que cela expose un compromis fondamental dans la conception : contrôle centralisé pour réponse d’urgence (USDT0) contre décentralisation permissionless (CCTP).

Pour contextualiser, le fondateur de Curve Finance, Michael Egorov, a déclaré : "Si des hackers nord-coréens sont impliqués, la probabilité de récupération est nulle. Ils ne coopèrent jamais et n’ont pas peur des forces de l’ordre."

---

7. La réponse de Drift & efforts de récupération

Actions immédiates $200 1er-3 avril$10

· Toutes les fonctions du protocole gelées
· Portefeuilles compromis retirés du multisig
· Adresses des attaquants signalées auprès des exchanges et opérateurs de ponts
· Messages on-chain envoyés aux portefeuilles des hackers : "Nous sommes prêts à parler"

Tentative de négociation (3 avril)

Drift a envoyé des messages on-chain à quatre portefeuilles Ethereum détenant des fonds volés, indiquant :

"Des informations critiques concernant les parties impliquées dans l’exploitation ont été identifiées. La communauté, Drift partagera d’autres mises à jour dès que les attributions tierces seront terminées."

La seule réponse ? Un portefeuille aléatoire en ETH a répondu : *"Envoyez-moi $1 million pour faire diversion avec l’équipe Drift."*

Enquête forensique

· Mandiant engagé pour diriger l’enquête forensique
· Équipe SEAL 911 (Taylor Monahan, tanuki42_, pcaversaccio, Nick Bax) crédités pour avoir identifié les acteurs
· Attribution formelle en attente de l’analyse complète des appareils

Ce que dit tanuki42_

"Il s’agit de l’attaque la plus élaborée et ciblée que je pense avoir vue perpétrée par la DPRK dans l’espace crypto. Recruter plusieurs facilitateurs et leur faire cibler des personnes spécifiques en vrai lors de grands événements crypto est une tactique folle."

---

8. Pourquoi cela change tout pour la DeFi

La vérité dure

"Si les attaquants sont prêts à passer six mois, à investir $300M million( dans l’écosystème, à rencontrer des équipes en personne, à déposer du capital réel, et à attendre patiemment — quel modèle de sécurité est conçu pour détecter cela ?"

Leçons apprises

1. Les timelocks ne sont pas optionnels. En supprimant un timelock )comme Drift l’a fait le 27 mars(, on transforme une attaque complexe en un retrait en 12 minutes
2. L’ingénierie sociale > exploits de code. Le plus sophistiqué des audits de code ne peut empêcher un humain d’ouvrir un dossier malveillant VSCode ou d’installer une app TestFlight
3. La sécurité permissionnée vs permissionless a un vrai enjeu. Le contraste USDT0 vs CCTP montre de véritables compromis dans la conception des stablecoins
4. La Corée du Nord est là pour rester. Elliptic a suivi plus de 155.6M de dollars) volés au premier trimestre 2026 seulement, avec des acteurs liés à la DPRK responsables de plus de $6,5 milliards ces dernières années

Et après pour Drift ?

· À moins que les fonds ne soient récupérés ou qu’un grand soutien n’émerge, la voie probable mène à la liquidation, la faillite ou le litige
· Aucun plan global de remboursement n’a été annoncé au 3-5 avril
· Probabilité de récupération si la DPRK est impliquée : 0 % (selon Michael Egorov)

---

9. Portefeuilles clés & données on-chain

Portefeuilles ETH de l’attaquant (Post-bridge)

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

Total détenu : environ 105 969 ETH #DriftProtocolHacked ~226 M$#DriftProtocolHacked

Envoi de message on-chain par Drift :

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

Conclusion finale

Ce n’était pas un simple hack. C’était une opération hostile d’espionnage menée sur six mois par un État-nation contre un protocole DeFi. Les attaquants :

· Ont utilisé des intermédiaires tiers avec des identités fausses mais parfaites
· Ont rencontré leurs cibles en personne lors de conférences dans plusieurs pays
· Ont déposé plus de 1 million de dollars en capital réel en couverture
· Ont exploité des outils de développement de confiance VSCode et TestFlight d’Apple
· Ont réalisé une opération parfaitement chronométrée, drainant en 12 minutes

Si la DeFi veut survivre, l’industrie doit accepter que l’ingénierie sociale et les acteurs étatiques sont désormais le vrai modèle de menace — pas seulement les bugs de contrats intelligents.

"L’enquête a montré que les profils utilisés avaient des identités entièrement construites, comprenant antécédents professionnels, références publiques et réseaux professionnels capables de résister à un examen approfondi lors d’une relation commerciale." — Drift Protocol