L’attention portée aux incidents de sécurité dans le secteur crypto se déplace rapidement des vulnérabilités au niveau du code vers la couche humaine de la confiance.
Le 1er avril 2026, Drift Protocol—une plateforme de produits dérivés décentralisée de premier plan dans l’écosystème Solana—a subi une attaque ayant entraîné des pertes d’environ 285 millions de dollars. La valeur totale verrouillée (TVL) de la plateforme est passée d’environ 550 millions de dollars avant l’incident à près de 230 millions de dollars après. L’enquête préliminaire menée par Drift a confirmé que l’opération avait été orchestrée par UNC4736, un groupe de hackers lié au gouvernement nord-coréen, qualifiant l’événement d’« opération structurée de renseignement sur six mois ».
Cette conclusion marque une transformation qui dépasse largement le cadre d’une simple faille de sécurité. Lorsque des hackers soutenus par des États délaissent l’exploitation de vulnérabilités de code au profit d’une infiltration de la confiance interpersonnelle sur plusieurs mois, c’est tout le paradigme de sécurité de l’industrie DeFi qui est systématiquement réécrit. Les attaques ne nécessitent plus des exploits complexes de smart contracts ou le vol de clés privées—il suffit désormais d’une relation patiente, d’une identité soigneusement élaborée et de suffisamment de temps.
Comment l’attaque a-t-elle été menée ?
L’opération menée par UNC4736 a démontré un niveau d’organisation et d’engagement de ressources bien supérieur à celui des groupes de hackers classiques. Dès l’automne 2025, des individus se faisant passer pour des représentants d’une société de trading quantitatif ont approché proactivement des contributeurs de Drift lors de plusieurs conférences internationales sur la crypto. Ces personnes étaient techniquement compétentes, disposaient de références professionnelles vérifiables et maîtrisaient parfaitement les opérations de Drift. Il est à noter que les contacts en personne n’étaient pas des ressortissants nord-coréens, mais des intermédiaires tiers déployés par des acteurs malveillants nord-coréens.
Après avoir établi la confiance, le groupe a rejoint la trésorerie de l’écosystème Drift entre décembre 2025 et janvier 2026, déposant plus d’un million de dollars de leurs propres fonds pour renforcer leur crédibilité. Durant cette période, ils ont mené des discussions détaillées et professionnelles sur des problématiques produits avec plusieurs contributeurs.
La compromission technique s’est produite via deux vecteurs. Un contributeur a été ciblé après avoir cloné un dépôt de code malveillant exploitant des vulnérabilités connues dans les éditeurs VSCode et Cursor—des vulnérabilités dont la communauté sécurité avait à plusieurs reprises signalé les risques. Il suffisait d’ouvrir un fichier, un dossier ou un dépôt dans l’éditeur pour exécuter silencieusement du code arbitraire sans aucune sollicitation ou clic de l’utilisateur. Un autre contributeur a été incité à télécharger une fausse application de portefeuille via la plateforme TestFlight d’Apple. Une fois l’accès interne obtenu, les attaquants ont utilisé la fonctionnalité Durable Nonce native de Solana pour pré-signer des transactions, puis ont instantanément vidé les fonds après l’approbation multisig.
Quels sont les coûts de ce nouveau paradigme d’attaque ?
L’incident Drift a révélé des coûts sur plusieurs plans, bien au-delà des 285 millions de dollars de pertes directes.
L’impact le plus immédiat fut la perte financière et le choc sur le marché. Il s’agit du plus important incident de sécurité DeFi de 2026 à ce jour et du second plus important de l’histoire de Solana. Après l’attaque, le prix du token DRIFT a chuté de plus de 90 % par rapport à son sommet historique.
Plus inquiétant encore, l’effet de contagion. Le nombre de protocoles affectés par l’exploit Drift est passé de 11 initialement à plus de 20, incluant de nouvelles victimes telles que PiggyBank, Perena, Vectis et Prime Numbers Fi. Certains protocoles ont suspendu les fonctions de mint, de rachat ou de dépôt/retrait. Le protocole de prêt décentralisé Project 0 a interrompu ses opérations et entamé un processus de réduction de levier, entraînant une dépréciation moyenne de 2,61 % pour les prêteurs.
Le coût le plus profond et difficile à quantifier réside dans l’érosion de la confiance, fondement de la sécurité DeFi. Drift a souligné que tous les membres multisig utilisaient des portefeuilles froids, et pourtant l’attaque a réussi. Cela démontre que lorsque les attaquants ciblent la couche humaine, même des contrôles matériels stricts peuvent être contournés. Si des attaquants opèrent comme une organisation légitime pendant des mois—investissant des fonds et participant à l’écosystème—les systèmes de sécurité existants sont quasiment impuissants à les détecter.
Quelles conséquences pour l’écosystème DeFi ?
L’incident Drift pousse l’industrie à réexaminer une question fondamentale : Les hypothèses de sécurité centrales de la finance décentralisée sont-elles toujours valables ?
Un axe majeur de réflexion concerne les vulnérabilités structurelles des systèmes de confiance tiers. Le chemin d’attaque d’UNC4736 a révélé que l’écosystème DeFi actuel manque de procédures systématiques de vérification de sécurité et de suivi continu pour les nouveaux partenaires. Des activités considérées comme des pratiques commerciales standards—réseautage lors de conférences, messagerie instantanée, intégration à la trésorerie de l’écosystème—offrent précisément aux hackers d’État la couverture nécessaire à l’infiltration.
Un autre débat crucial porte sur les lacunes de conformité dans la récupération des fonds. Des enquêteurs on-chain ont constaté que les attaquants ont transféré environ 232 millions de dollars en USDC de Solana vers Ethereum via des protocoles cross-chain. Les émetteurs de stablecoins disposaient d’une fenêtre de six heures pour geler ces fonds, mais n’ont pris aucune mesure. Cela soulève une problématique systémique plus profonde : Lorsque les défenses des protocoles DeFi échouent, est-il viable de compter sur les émetteurs centralisés de stablecoins pour une intervention basée sur la conformité ? Où se situent les limites d’action pour les entités conformes face à des flux de fonds de grande ampleur ?
Quelles sont les prochaines étapes ?
Au vu de l’enquête en cours et des réactions de l’industrie, plusieurs tendances se dessinent.
Les budgets de sécurité vont être systématiquement réévalués. En 2025, les pertes mondiales liées à la sécurité crypto ont dépassé 3,4 milliards de dollars, avec 89 incidents confirmés dans l’espace Web3 totalisant 2,54 milliards de dollars de pertes. À mesure que les attaques d’État deviennent courantes, se reposer uniquement sur les audits de code et les tests de sécurité ne suffit plus. On peut s’attendre à ce que davantage de protocoles investissent dans la formation à la sécurité opérationnelle, des exercices de défense contre l’ingénierie sociale et des vérifications approfondies des antécédents.
La contagion des risques interprotocoles deviendra un nouveau sujet central. L’effet domino de l’incident Drift sur plus de 20 protocoles montre que la composabilité DeFi est une arme à double tranchant pour la sécurité. Les réponses futures pourraient inclure : (1) l’isolation des dépendances au niveau des protocoles et la hiérarchisation des niveaux de sécurité, et (2) des mécanismes de réponse événementielle et de partage d’informations à l’échelle de l’industrie.
Les frontières réglementaires et de conformité feront l’objet de nouvelles négociations. Les standards d’intervention des émetteurs de stablecoins lors de tels incidents deviendront un point focal du débat réglementaire, pouvant conduire à des cadres d’urgence pour les flux transfrontaliers d’actifs crypto.
Quels risques restent à surveiller ?
Bien que Drift ait gelé toutes les fonctions du protocole et retiré les portefeuilles compromis du multisig, plusieurs dimensions de risque méritent une vigilance continue.
L’irréversibilité de la récupération des fonds. Les attaquants ont rapidement supprimé les historiques de messagerie instantanée et les logiciels malveillants après le vol, et les fonds dérobés ont déjà été transférés vers Ethereum. Les groupes de hackers nord-coréens disposent de réseaux matures de blanchiment d’argent et de mixage cross-chain, rendant la majeure partie des fonds volés probablement irrécupérable.
L’asymétrie des capacités de sécurité. Les organisations de hackers d’État disposent de ressources organisationnelles, de financements continus et de rôles spécialisés, tandis que la plupart des protocoles DeFi fonctionnent avec de petites équipes et des ressources limitées pour la sécurité. Les attaquants exploitent systématiquement cette asymétrie. Les identités utilisées par ces attaquants présentent des CV professionnels complets, des références publiques et des réseaux sociaux professionnels, leur permettant de passer les vérifications classiques de diligence raisonnable.
La fatigue de la confiance freinant l’innovation sectorielle. Si chaque nouveau partenaire nécessite une vérification de sécurité rigoureuse et un suivi continu, les forces fondamentales de DeFi—l’ouverture et la composabilité—risquent d’être érodées. Trouver un équilibre entre la défense et l’efficacité opérationnelle sera un défi crucial pour l’industrie.
Conclusion
Le piratage de Drift a mis en lumière une réalité longtemps négligée : les menaces de sécurité dans DeFi ont franchi un cap générationnel. Des bugs de smart contracts au vol de clés privées, et désormais à des infiltrations d’ingénierie sociale menées par des États sur six mois, les attaquants évoluent bien plus vite que les systèmes de défense. Lorsque les attaquants n’ont plus besoin de casser du code, mais seulement de briser la confiance, l’efficacité du multisig, des portefeuilles froids et de l’isolation matérielle doit être réévaluée.
L’industrie a besoin de plus que de meilleurs audits de code et de contrôles d’accès renforcés—elle doit adopter un nouveau mode de pensée : considérer la « confiance humaine » comme une surface d’attaque aussi importante que le « code des smart contracts ». Chaque maillon de la chaîne—des vérifications d’antécédents et de la culture de sécurité opérationnelle, à la surveillance continue des partenaires de l’écosystème et à la réponse d’urgence interprotocoles—doit être redéfini. Dans la nouvelle normalité où les acteurs étatiques s’invitent dans la sécurité crypto, aucun protocole ne peut rester isolé—la chaîne de sécurité n’est aussi solide que son maillon le plus faible.
FAQ
Q : UNC4736 est-il le même groupe que Lazarus ?
UNC4736 est un nom de code utilisé par les sociétés de sécurité pour suivre les acteurs malveillants liés à la Corée du Nord. Bien qu’il existe un chevauchement avec le groupe Lazarus, plus largement connu, ils ne sont pas strictement identiques. UNC4736 serait spécialisé dans des opérations visant à générer des revenus réguliers dans le secteur crypto, ciblant des entités de petite à moyenne taille par une infiltration persistante.
Q : Pourquoi le multisig n’a-t-il pas protégé Drift lors de l’attaque ?
Les attaquants n’ont pas directement volé les clés privées multisig. Ils ont obtenu les droits d’approbation multisig via l’ingénierie sociale, puis utilisé la fonctionnalité Durable Nonce de Solana pour pré-signer des transactions et les exécuter instantanément dès qu’ils avaient suffisamment de permissions. Cela montre que la sécurité du multisig dépend du fait que les signataires ne soient pas compromis par l’ingénierie sociale.
Q : Cette attaque impliquait-elle une vulnérabilité de smart contract ?
Non. Drift a confirmé que le cœur de cette attaque était l’ingénierie sociale et l’abus de la fonctionnalité Durable Nonce—il ne s’agissait pas d’un exploit classique de code de smart contract.
Q : Quelles mesures Drift a-t-il prises après l’incident ?
Drift a gelé toutes les fonctions du protocole, retiré les portefeuilles compromis du multisig et invité des sociétés de sécurité à mener une enquête médico-légale approfondie. L’équipe du protocole a déclaré coopérer avec les autorités pour remonter la trace des fonds volés.
