#DriftProtocolHacked

#DriftProtocolHacked

Le $285 Casse du Million Qui a Pris 10 Secondes à Exécuter et Huit Jours à Planifier

Le jeton DRIFT se négocie actuellement à 0,0407 $, en baisse de 27,88 % au cours des dernières 24 heures. En baisse de 40,35 % sur la semaine. En baisse de 75,57 % sur les 90 derniers jours. SOL est à 81,38 $, conservant une modeste rebond quotidien de 2,37 %, ce qui signifie peu dans le contexte de ce qui s’est passé le 1er avril 2026. Parce que ce jour-là, Drift Protocol — l’une des plateformes décentralisées de dérivés les plus en vue sur Solana, une plateforme traitant des milliards de volume d’échange et détenant des centaines de millions en dépôts utilisateur — a été vidée de quelque part entre $270 et $285 millions en moins de 10 secondes. Non pas par une attaque par force brute. Non pas par une vulnérabilité du code au sens traditionnel. Mais par l’une des exploitations les plus méthodiquement préméditées de l’histoire de la DeFi : un braquage qui a commencé huit jours avant qu’un seul dollar ne soit volé, exploitant une fonctionnalité légitime de Solana d’une manière que ses concepteurs n’avaient jamais anticipée, et exécutée avec une précision militaire par ce que la société de sécurité blockchain Elliptic a estimé être probablement un acteur de menace nord-coréen. Voici l’histoire complète de ce qui s’est passé, comment cela a fonctionné, ce que cela signifie pour la DeFi sur Solana, et ce que chaque participant aux protocoles en chaîne doit comprendre avant de mettre un autre dollar dans un contrat intelligent qu’il ne comprend pas entièrement.

L’attaque représente plus de 50 % de la valeur totale verrouillée de Drift Protocol au moment de l’exploitation. Elle se classe comme la deuxième plus grande exploitation de toute l’histoire de Solana. Au moment où l’équipe de Drift a confirmé publiquement la brèche et suspendu les dépôts et retraits, les fonds — jetons JLP, USDC, Bitcoin wrapped, et SOL natif — avaient déjà été drainés de cinq coffres-forts distincts. Les actifs volés ont commencé à circuler à travers plusieurs portefeuilles presque immédiatement, avec $232 millions en USDC transférés via le protocole cross-chain de Circle malgré des appels publics à geler les fonds. Le reste a été acheminé via Wormhole et Tornado Cash dans une séquence de blanchiment d’argent qui reflétait le même niveau de planification et de coordination que l’attaque elle-même. Ce n’était pas quelqu’un qui tombait sur une faille à 2h du matin. C’était une opération avec une infrastructure, une reconnaissance, des portefeuilles de secours préparés, et une pipeline de blanchiment prête à exécuter dès que les portes du coffre s’ouvraient.

Pour comprendre comment l’attaque a fonctionné, il faut comprendre les nonces durables — la fonctionnalité spécifique de Solana qui a rendu toute l’exploitation possible. Sur la plupart des blockchains, une transaction inclut une référence à un hachage de bloc récent, ce qui signifie que la transaction expire si elle n’est pas soumise rapidement, généralement en quelques minutes. Solana a introduit les nonces durables comme une fonctionnalité pratique pour les situations où une transaction doit être pré-signée et conservée pour une soumission ultérieure — par exemple, lorsqu’un portefeuille matériel est hors ligne, ou lorsque des processus institutionnels nécessitent une approbation humaine avant l’exécution mais que la soumission réelle se fait plus tard. Une transaction avec nonce durable n’expire pas. Une fois signée, elle reste valide indéfiniment, en attente d’être soumise à tout moment futur. C’est une fonctionnalité légitime et utile. Elle est aussi, comme l’a démontré l’exploitation de Drift de la manière la plus coûteuse possible, une fonctionnalité qui modifie fondamentalement le modèle de sécurité de tout système de gouvernance multisig qui n’en tient pas compte.

Voici exactement ce que l’attaquant a fait, reconstitué à partir de l’analyse forensique de CoinDesk et des déclarations de Drift. Environ 20 jours avant l’attaque, l’attaquant a créé le CVT — un jeton totalement sans valeur qu’il a lui-même créé, sans valeur de marché, sans utilité, et sans intégration de protocole existante. Le jeton n’était listé nulle part. Il existait uniquement comme un composant dans l’infrastructure de l’attaque. Huit jours avant le piratage, l’attaquant a mis en place une nouvelle infrastructure de support — nouveaux portefeuilles, nouvelles pipelines de transactions — et a commencé à préparer un ensemble de transactions avec nonce durable qui, une fois signées par les bonnes parties, leur donneraient un contrôle administratif sur le protocole Drift. La geniusité de l’approche du nonce durable est que l’attaquant n’avait besoin de convaincre que deux des cinq membres du Conseil de Sécurité de Drift pour signer ce qui semblait être des transactions administratives routinières. Les signataires ont examiné ce qu’ils croyaient être des actions de gouvernance standard. Ils ont signé. Leurs signatures étaient valides — des approbations légitimes, cryptographiquement correctes, de membres autorisés du conseil de sécurité. Mais parce que ces signatures étaient intégrées dans des transactions avec nonce durable, l’attaquant détenait désormais des autorisations pré-signées qui resteraient valides pour toujours, en attente d’être utilisées à un moment de son choix, dans un contexte complètement différent de celui dans lequel les signatures ont été obtenues.

Vingt-cinq secondes avant que les fonds ne soient drainés, l’attaquant a soumis les transactions avec nonce durable pré-signées et a obtenu un contrôle administratif complet du protocole. Dans cette même fenêtre de 25 secondes, il a utilisé cet accès administratif pour créer un faux marché de collatéral pour le CVT — le jeton sans valeur qu’il avait créé 20 jours plus tôt — et a désactivé le coupe-circuit de Drift, le mécanisme de sécurité conçu spécifiquement pour empêcher de grands drains rapides d’actifs. Avec le coupe-circuit désactivé et un faux marché de collatéral en place, l’attaquant a ensuite vidé systématiquement cinq coffres en quelques secondes. Toute la phase d’exécution, du contrôle administratif au drainage des coffres, a duré environ 10 secondes. Huit jours de préparation. Dix secondes d’exécution. $285 millions partis.

L’implication forensique que la plupart des rapports ont enterrée mais qui mérite une place proéminente est la question de comment deux membres du Conseil de Sécurité ont signé des transactions qu’ils ne comprenaient pas. La post-mortem détaillée de CoinDesk le formule directement : la question ouverte à laquelle le futur rapport détaillé de Drift devra répondre est comment deux membres distincts du multisig ont approuvé des transactions sans reconnaître ce qu’ils approuvaient, et si des outils ou interfaces auraient pu signaler que les transactions avec nonce durable nécessitaient une vigilance supplémentaire. C’est la défaillance de gouvernance au cœur de l’exploitation. Le code a fonctionné comme prévu. La cryptographie était valide. L’attaque a réussi parce que des opérateurs humains — membres d’un conseil de sécurité doté d’un pouvoir administratif sur des centaines de millions de fonds utilisateur — ont signé des documents qui ont été utilisés ultérieurement dans un contexte qu’ils n’avaient jamais prévu. C’est une vecteur d’ingénierie sociale autant qu’une faille technique, et il est bien plus difficile à corriger qu’une vulnérabilité de code car cela nécessite de changer le comportement humain, d’améliorer les interfaces des outils, et de construire des processus institutionnels capables de faire la distinction entre actions administratives routinières et transactions avec nonce durable utilisées comme armes d’autorisation à exécution différée.

L’attribution nord-coréenne, bien que non confirmée officiellement, ajoute une couche de gravité géopolitique qui positionne cette attaque dans un schéma bien documenté. Elliptic a estimé que l’attaque était probablement attribuée à des hackers soutenus par l’État nord-coréen, conformément à une méthodologie que SecurityWeek a décrite comme correspondant à la précision extrême des opérations du groupe Lazarus : mise en place préalable de l’infrastructure, reconnaissance multi-étapes, pipelines de blanchiment préparés, et vitesse d’exécution suggérant une automatisation préchargée plutôt qu’une opération manuelle. Des hackers nord-coréens auraient été estimés par des sociétés de sécurité blockchain avoir volé au moins $2 milliards en cryptomonnaie en 2025 seulement, avec des fonds volés qui financeraient le programme nucléaire du régime et contourneraient les sanctions internationales. Si l’attribution à Drift se confirme, le chiffre de $285 millions devient non seulement la plus grande attaque DeFi de 2026 mais une contribution significative à une opération de financement à l’échelle de l’État qui a des conséquences directes sur la sécurité internationale. Ce cadre — que les utilisateurs de crypto DeFi financent involontairement le développement du programme nucléaire — est une réalité inconfortable avec laquelle l’industrie doit engager plus sérieusement que le discours habituel de « leçons de sécurité après coup ».

Les conséquences sur le marché ont été immédiates et brutales. Le jeton DRIFT a atteint un plus bas historique dans les jours suivant l’attaque, selon les données de Stocktwits. La performance sur 90 jours de -75,57 % reflète l’effet de levier d’un jeton déjà sous pression à cause de la contraction plus large du marché avant que le piratage n’ajoute un dommage réputationnel catastrophique. L’impact sur l’écosystème Solana était réel mais contenu — SOL a chuté de 40,33 % sur 90 jours, reflétant une pression de marché plus large plutôt qu’un effondrement spécifique à Drift. DeFi Development Corp., une société cotée au Nasdaq avec une stratégie de trésorerie sur Solana, a rapidement confirmé publiquement qu’elle n’avait aucune exposition à l’exploitation du Drift Protocol, signalant que le risque de contagion DeFi était activement géré au niveau institutionnel. Le fait qu’une société cotée ait jugé nécessaire de faire cette clarification quelques heures après l’attaque montre à quel point l’écosystème institutionnel Solana prenait au sérieux les effets potentiels en chaîne.

Les implications pour le modèle de sécurité DeFi vont bien au-delà de Drift. La vecteur de nonce durable n’est pas spécifique à Drift. Tout protocole sur Solana utilisant une gouvernance multisig sans protections explicites contre l’exploitation du nonce durable est potentiellement vulnérable à la même classe d’attaque. Et la leçon plus large — que la sécurité multisig n’est aussi forte que la compréhension, les outils, et les processus des humains qui l’opèrent — s’applique à tous les écosystèmes blockchain, pas seulement Solana. Les systèmes de gouvernance multisig d’Ethereum, les ensembles de validateurs de Cosmos, les structures du conseil de Polkadot — tous dépendent fondamentalement de la capacité des opérateurs humains à examiner et comprendre ce qu’ils signent. L’exploitation de Drift a démontré qu’un attaquant sophistiqué, avec suffisamment de patience, peut trouver l’écart entre ce qu’une signature autorise au moment où elle est donnée et ce que cette même signature permet lorsqu’elle est soumise des semaines plus tard dans un contexte différent. Combler cet écart nécessite non seulement des solutions techniques mais aussi des processus institutionnels qui traitent chaque signature de gouvernance comme une autorisation à haut risque avec des conséquences à long terme — pas une approbation routinière à cliquer.

Pour tous ceux qui détenaient des fonds dans Drift Protocol, la réalité pratique immédiate est sévère. Le protocole a confirmé l’attaque, suspendu ses opérations, et travaille sur ce que pourrait être la récupération, si récupération il y a. L’histoire suggère que les fonds récupérés après des exploits DeFi sont rares, partiels, et lents. L’utilisation par l’attaquant de Tornado Cash et des ponts cross-chain pour blanchir les fonds en quelques minutes après l’attaque démontre une stratégie délibérée pour rendre la traçabilité et la recouvrement aussi difficiles que possible. Le protocole cross-chain de Circle a transféré $232 millions en USDC malgré des appels à geler — un rappel que même l’infrastructure de stablecoins la plus conforme a ses limites lorsque des fonds exploités se déplacent plus vite que le processus de gel peut répondre.

#Gate广场四月发帖挑战 #GateSquare