Le 1er avril 2026 à 16h00 (UTC), le total des actifs du trésor du Drift Protocol s’élevait à 309 millions de dollars. Une heure plus tard, il n’en restait plus que 41 millions. Ce n’était pas un poisson d’avril : l’équipe Drift a dû préciser sur X que « ce n’est pas une blague du 1er avril ». Des attaquants ont détourné près de 285 millions de dollars d’actifs crypto du protocole, faisant de cet incident la plus grande exploitation DeFi de l’année 2026 à ce jour, et le plus grave incident de sécurité dans l’écosystème Solana depuis le piratage du pont Wormhole (325 millions de dollars) en 2022.
Il ne s’agissait ni d’une attaque par prêt éclair, ni d’une faille dans le code du smart contract. L’attaquant a combiné un vecteur d’attaque rarement évoqué — les pré-signatures de nonce durable — avec une vulnérabilité de gouvernance multisig, mobilisant seulement 500 dollars pour débloquer 285 millions d’actifs. Cet article propose une analyse systématique de l’incident : chronologie, analyse technique, décomposition des données, controverses et impact sur l’industrie.
De 309 millions à 41 millions en une heure
Le 1er avril 2026, les sociétés de surveillance blockchain Lookonchain et PeckShield ont simultanément détecté une activité anormale : une adresse de portefeuille « HkGz4K », créée seulement huit jours auparavant, a commencé à transférer rapidement des actifs depuis plusieurs trésors principaux de Drift. La première transaction portait sur 41,7 millions de jetons JLP, soit environ 155,6 millions de dollars. En à peine 12 minutes et 31 transactions, l’attaquant a vidé les actifs, incluant USDC, SOL, cbBTC, wBTC, WETH, des jetons de pools de liquidité, et même le meme coin Fartcoin.
Dans l’heure qui a suivi l’attaque, les actifs du trésor de Drift ont chuté de 309 millions à 41 millions de dollars. PeckShield et Arkham Intelligence ont confirmé indépendamment des pertes avoisinant 285 millions de dollars. Cosine, fondateur de SlowMist, a estimé les pertes à plus de 200 millions. Parmi les actifs dérobés, les jetons JLP représentaient environ 155,6 millions, l’USDC près de 60 millions, le reste étant réparti entre SOL, cbBTC, wBTC et divers jetons de liquidité.
Une opération minutieusement orchestrée sur trois semaines
Cette attaque n’a pas été improvisée, mais planifiée avec soin, en plusieurs étapes. L’attaquant a commencé ses préparatifs à la mi-mars, selon la chronologie suivante :
| Étape | Date | Actions clés |
|---|---|---|
| Préparation | ~11 mars | Création du jeton CVT, supply totale ~750 millions, l’attaquant contrôle plus de 80 % |
| Préparation | ~11 mars | Lancement d’un pool de liquidité de 500 $ sur Raydium, manipulation du prix via wash trading |
| Migration multisig | ~23 mars | Drift adopte un modèle multisig 2/5, ajoute 4 nouveaux signataires, pas de timelock |
| Phase de pré-signature | Dès le 23 mars | L’attaquant crée des comptes de nonce durable pour deux signataires multisig, obtient des pré-signatures |
| Migration multisig légitime | 27 mars | Drift effectue une migration multisig légitime, mais l’attaquant récupère l’accès aux nouveaux signataires |
| Exécution de l’attaque | 1er avril, 16h05 (UTC) | L’attaquant utilise les nonces durables pour exécuter en lot des transactions pré-signées et s’empare des privilèges administrateur |
| Vidange d’actifs | 1er avril, 16h05-17h05 (UTC) | Lancement du marché spot CVT → désactivation des protections de retrait → retrait d’actifs réels avec collatéral factice |
| Transfert d’actifs | Quelques heures après | Conversion des actifs en USDC, pont vers Ethereum via CCTP, achat d’ETH |
Le communiqué officiel de Drift décrit l’attaque comme « extrêmement sophistiquée, préparée sur plusieurs semaines et exécutée par étapes ». L’attaquant a déployé des transactions pré-signées en continu entre le 23 mars et le 1er avril, illustrant une organisation poussée.
De 500 $ à 285 millions : la chaîne de l’attaque
Étape 1 : Pré-signatures de nonce durable — une bombe à retardement contournant le timelock
La fonctionnalité de nonce durable sur Solana permet aux utilisateurs de pré-signer des transactions et de les stocker on-chain pour une exécution ultérieure. Conçue à l’origine pour améliorer l’expérience utilisateur — signature hors ligne puis soumission différée — ce mécanisme est devenu une arme dans l’exploitation de Drift.
L’attaquant a utilisé des comptes de nonce durable pour obtenir des pré-signatures de deux signataires multisig. Ces transactions ont été pré-signées entre le 23 et le 27 mars, mais exécutées en masse le 1er avril.
Vers le 23 mars, Drift a migré vers un modèle multisig « 2/5 » (deux signataires sur cinq suffisent pour autoriser des opérations à privilège élevé), ajoutant quatre nouveaux signataires et, surtout, aucun timelock.
Un timelock est une mesure de sécurité essentielle pour les configurations multisig. Sans timelock, dès qu’un attaquant obtient suffisamment de signatures, il peut exécuter immédiatement des actions administrateur, sans période de latence. Cosine, fondateur de SlowMist, a souligné que cette absence de timelock était une condition clé de la réussite de l’attaque.
L’exploitation de Resolv (environ dix jours avant Drift) provenait également d’un manque de multisig — Resolv n’en avait pas du tout. Ces deux incidents, à dix jours d’intervalle, révèlent une faiblesse structurelle dans la gouvernance des protocoles DeFi.
Étape 2 : Le faux jeton CVT de 500 $ — levier pour 285 millions
L’attaquant a créé un jeton nommé CarbonVote Token (CVT), supply totale d’environ 750 millions, dont plus de 80 % sous son contrôle. Il a lancé un pool de liquidité minimal de 500 $ sur Raydium et procédé à du wash trading pour simuler une activité de marché.
La fonction initializeSpotMarket de Drift permet aux administrateurs de spécifier directement les adresses d’oracle et les sources de prix. Après avoir obtenu les privilèges admin, l’attaquant a listé le CVT comme marché spot et manipulé les données de prix de l’oracle, trompant le système pour considérer le CVT comme un actif de valeur.
La manipulation d’oracle est l’un des vecteurs d’attaque les plus destructeurs en DeFi. Quand un attaquant contrôle à la fois les privilèges admin et le pricing oracle, n’importe quel actif peut être « revalorisé » — permettant d’utiliser un CVT sans valeur comme collatéral pour retirer de l’USDC, du SOL et du JLP bien réels.
Étape 3 : Désactivation des protections — transformer la sécurité en outil d’attaque
Le protocole Drift intègre des contrôles de risque tels que la validation des oracles, le trimming TWAP, la vérification des écarts de prix et des coupe-circuits multi-niveaux. Une fois les privilèges admin acquis, l’attaquant a désactivé ces protections.
La séquence de l’attaquant : mint de faux CVT → manipulation de l’oracle → désactivation des mécanismes de sécurité → suppression des restrictions de retrait → extraction des actifs de valeur.
L’attaque a été lancée à 16h05 (UTC) le 1er avril, probablement pour deux raisons : toutes les transactions pré-signées étaient prêtes, et l’approche du week-end pouvait ralentir la réponse sécuritaire.
Étape 4 : Évasion cross-chain — transfert des actifs de Solana vers Ethereum
Après l’exploitation, l’attaquant a rapidement converti les actifs volés en USDC via Jupiter Aggregator, puis les a transférés de Solana vers Ethereum grâce au Cross-Chain Transfer Protocol (CCTP) de Circle.
En quelques heures, l’attaquant avait acheté 13 000 ETH sur Ethereum. Le suivi de SlowMist a montré que les fonds volés étaient consolidés sur des adresses Ethereum, totalisant environ 105 969 ETH (soit ~226 millions de dollars). L’attaquant a ensuite porté ce total à environ 130 262 ETH, soit ~267 millions de dollars.
À noter, l’attaquant a délibérément évité d’utiliser l’USDT, privilégiant l’USDC pour tout le transfert cross-chain. Le chercheur on-chain Specter a souligné que cela reflétait la confiance de l’attaquant que Circle ne gèlerait pas les fonds — une intuition qui s’est avérée correcte.
Décryptage du débat public
L’incident a alimenté plusieurs controverses et récits majeurs sur le marché.
Controverse 1 : « Inaction » de Circle — de la critique de ZachXBT aux réflexions sur la politique sectorielle
Le 2 avril, le détective on-chain ZachXBT a publiquement critiqué Circle, notant que des dizaines de millions d’USDC avaient été transférés de Solana vers Ethereum via CCTP « pendant plusieurs heures sans intervention », aux heures de trading américaines, après l’attaque Drift. ZachXBT affirme que Circle disposait d’une fenêtre de réaction d’environ six heures, mais n’a pris aucune mesure de gel.
Quelques jours plus tôt (23 mars), Circle avait gelé au moins 16 hot wallets d’entreprise dans le cadre d’une affaire civile sous scellés, impactant des exchanges, processeurs de paiement et autres acteurs légitimes. ZachXBT qualifie cette opération de « gel le plus non professionnel que j’aie vu en cinq ans ». Circle a ensuite dégelé un wallet lié à Goated.com le 26 mars, mais la plupart restent lentement débloqués.
L’incident relance le débat sur les responsabilités d’intervention proactive des émetteurs de stablecoins lors d’incidents de sécurité DeFi. Les critiques estiment que Circle agit vite dans les affaires civiles mais n’a rien fait face à un vol confirmé à neuf chiffres, révélant une incohérence dans les standards d’intervention. Les défenseurs rétorquent que les émetteurs ne devraient pas être responsables de la récupération des actifs on-chain — les droits d’intervention doivent servir les procédures légales, non la surveillance on-chain.
Si Circle avait gelé les USDC concernés pendant la fenêtre d’attaque, l’attaquant n’aurait peut-être pas pu transférer les fonds vers Ethereum, et les chances de récupération auraient augmenté. Mais cela suppose que Circle puisse confirmer la nature illicite des fonds et agir en quelques heures — un défi tant légal que procédural.
Controverse 2 : Lien avec le groupe Lazarus de Corée du Nord
La société d’analyse blockchain Elliptic a publié le 2 avril un rapport indiquant que « plusieurs indicateurs » suggèrent un lien possible avec le groupe de hackers soutenu par l’État nord-coréen. Elliptic cite des comportements on-chain, des méthodes de blanchiment et des signaux réseau très similaires aux opérations nord-coréennes précédentes. Si cela se confirme, il s’agirait de la 18e attaque liée à la Corée du Nord suivie par Elliptic en 2026.
Charles Guillemet, CTO de Ledger, a comparé cette attaque à celle de Bybit (1,5 milliard de dollars) en 2025, notant que les deux ont suivi des schémas presque identiques : compromission de signataires multisig, ingénierie sociale et transactions malveillantes déguisées en opérations routinières.
L’infiltration des hackers nord-coréens dans l’industrie crypto est passée de « attaques occasionnelles » à « action étatique persistante et systématique ». En 2025, les hackers liés à la Corée du Nord ont dérobé plus de 2 milliards de dollars en crypto. Si Lazarus est derrière l’attaque Drift, cela montre leur maîtrise des méthodes avancées ciblant la gouvernance multisig sur Solana.
Controverse 3 : Failles structurelles de la gouvernance multisig
Cosine, fondateur de SlowMist, a souligné qu’un seuil multisig 2/5 signifie que la compromission de seulement deux personnes donne le contrôle total du protocole. « Combien coûte de compromettre deux personnes ? Pas 285 millions — quelques mois d’ingénierie sociale et de phishing ciblé suffisent. »
Les meilleures pratiques recommandent généralement un multisig 4/7 avec timelock de 24 à 48 heures. Le timelock impose un délai obligatoire avant l’exécution de changements à risque, donnant à la communauté et aux équipes sécurité le temps de détecter et d’intervenir. Après la migration multisig de Drift, timelock = 0.
L’incident révèle non pas une faille de sécurité du smart contract, mais un « déficit de sécurité de gouvernance ». Même avec des audits de code de haut niveau, si la structure de gouvernance est défaillante, l’exposition au risque du protocole est illimitée.
Analyse de l’impact sur l’industrie
Choc de confiance dans l’écosystème Solana
Drift est la plus grande plateforme décentralisée de perpétuels sur Solana, avec plus de 55 milliards de dollars de volume cumulé, plus d’un milliard de TVL et plus de 200 000 traders actifs avant l’attaque. C’est le pire incident de sécurité sur Solana depuis le piratage Wormhole (325 millions) en 2022.
Le prix du SOL a chuté d’environ 9 % après l’annonce, tombant brièvement à 78,60 $, avec un volume de trading sur 24h grimpant à 5,2 milliards de dollars. Le TVL total de Solana est descendu à 6,544 milliards, avec des sorties de fonds sur des protocoles majeurs comme Jito, Raydium et Sanctum.
La baisse du TVL et l’activité réduite sur les DEX reflètent non seulement une correction de prix, mais une perte de confiance dans l’écosystème. Au fur et à mesure que les fournisseurs de liquidité se retirent, la profondeur de marché diminue, amplifiant la volatilité. Lily Liu, présidente de la Solana Foundation, a déclaré que l’incident était « un coup dur », mais a souligné que les vulnérabilités réelles ciblent désormais « les personnes : ingénierie sociale et failles opérationnelles, pas les bugs de code ».
Repenser les audits de sécurité DeFi
Drift a été audité par Trail of Bits et ClawSecure. Pourtant, cette attaque n’a touché aucune ligne de code.
Les audits traditionnels se concentrent sur la « couche d’exécution » — recherche de bugs dans le code à l’exécution. Cette attaque s’est produite sur la « couche d’autorisation » — l’attaquant a obtenu des signatures valides, rendant toutes les actions exécutées pleinement conformes. Cela révèle un angle mort systémique dans les audits de sécurité DeFi : ils détectent les bugs de code, mais pas la bonne attribution des permissions.
La frontière de valeur des audits de sécurité est en train d’être redéfinie. La sécurité du code n’est que le minimum requis pour la sécurité DeFi. Gouvernance multisig, sécurité des signatures, défense contre l’ingénierie sociale, configuration du timelock, redondance des oracles — ces éléments de « sécurité processuelle » sont souvent plus critiques que les audits de code eux-mêmes, mais généralement hors périmètre d’audit.
Le dilemme du rôle des émetteurs de stablecoins
Cet incident oblige l’industrie à reconsidérer : quel rôle doivent jouer les émetteurs de stablecoins ? USDC et USDT confèrent aux émetteurs le pouvoir unilatéral de geler des adresses, destiné aux forces de l’ordre et décisions de justice. Mais lorsqu’un vol à neuf chiffres survient, les émetteurs doivent-ils utiliser ce pouvoir de façon proactive ? Si oui, selon quel standard ? Sinon, ce pouvoir a-t-il une réelle utilité ?
La question la plus délicate est celle de l’intervention sélective. Circle a gelé 16 wallets d’entreprise dans une affaire civile, mais n’a rien fait lors d’un vol confirmé. Cette incohérence pourrait nuire à la confiance du secteur plus que « ne jamais intervenir » du tout.
Projections de scénarios multiples
D’après les informations actuelles, plusieurs évolutions futures sont envisageables :
Scénario 1 : Récupération difficile des fonds, compensation partielle via le fonds d’assurance
Raison : L’attaquant a converti environ 267 millions de dollars en ETH et les a blanchis via des ponts cross-chain et des mixers. Historiquement, les grandes exploitations DeFi présentent des taux de récupération faibles. Le fonds d’assurance de Drift n’a pas été touché et pourrait servir à indemniser partiellement les utilisateurs.
Variables clés : Implication des forces de l’ordre, efficacité du suivi on-chain, coopération des ponts cross-chain et exchanges centralisés.
Scénario 2 : Rehaussement systémique des standards de sécurité de l’écosystème Solana
Raison : L’incident a révélé des faiblesses structurelles dans la gouvernance multisig, la configuration du timelock et la défense contre l’ingénierie sociale sur Solana. L’industrie pourrait exiger des standards plus stricts : timelocks obligatoires, seuils multisig plus élevés, audits des endpoints de signature, oracles multi-sources.
Variables clés : Volonté des protocoles majeurs d’investir dans la sécurité, extension des services des sociétés d’audit, réactivité de la gouvernance communautaire.
Scénario 3 : Accélération de la clarté réglementaire sur les stablecoins
Raison : Le rôle controversé de Circle pourrait inciter les régulateurs à clarifier les obligations d’intervention des émetteurs de stablecoins. Les questions centrales : jusqu’où les émetteurs doivent-ils surveiller les flux on-chain ? Dans quelles conditions une adresse peut-elle ou doit-elle être gelée ? Quelle autorisation légale est requise pour intervenir ?
Variables clés : Avancées législatives aux États-Unis et dans d’autres juridictions majeures, création d’organismes d’autorégulation sectorielle, évolution de la concurrence sur le marché des stablecoins.
Scénario 4 : Reproduction des tactiques d’attaque, d’autres protocoles à risque
Raison : La technique principale — pré-signatures de nonce durable combinées à une fenêtre de migration multisig — était quasiment inconnue avant cette attaque. D’autres protocoles Solana avec des configurations multisig similaires et sans timelock pourraient être exposés à des risques analogues.
Variables clés : Rapidité des réponses des audits de sécurité, motivations des attaquants et contraintes éthiques (si lien avec la Corée du Nord, risque de réplication nettement accru).
Conclusion
L’exploitation de Drift Protocol (285 millions de dollars) agit comme un miroir, révélant non pas la fragilité du code des smart contracts, mais les fissures longtemps ignorées de la gouvernance DeFi : seuils multisig 2/5, timelocks absents, sécurité des endpoints de signature sous-estimée, et incertitude sur les droits d’intervention des émetteurs de stablecoins.
Alors que l’industrie consacre l’essentiel de son budget sécurité aux audits de code, les attaquants ont choisi une voie plus économique et lucrative — cibler les personnes. C’est le défi central de la sécurité DeFi en 2026 : la sécurité du code ne suffit plus. Gouvernance, sécurité opérationnelle et défense contre l’ingénierie sociale doivent être élevées au même rang que les audits de smart contracts.
Le choc de confiance dans l’écosystème Solana pourrait durer des mois, voire plus. Mais pour l’industrie DeFi au sens large, il s’agit peut-être d’un test de résistance systémique longtemps attendu — un rappel que dans un système financier sans autorité centrale, chaque couche de sécurité est un maillon indispensable de la chaîne. Et la solidité de cette chaîne dépend de son maillon le plus faible.
