Le protocole Drift piraté pour 285 millions de dollars : que s’est-il passé et quelles sont les prochaines étapes ?

Le 1er avril 2026, le protocole Drift, basé sur Solana, a été victime d'une cyberattaque ayant entraîné un détournement d'environ 285 millions de dollars, ce qui en fait, à ce jour, le plus important piratage de la finance décentralisée (DeFi) de l'année. L'attaquant a mis en place un dispositif sur plusieurs semaines, impliquant un faux jeton, des flux de prix manipulés et des transactions pré-signées, afin de prendre le contrôle administratif du protocole, puis de vider les comptes des utilisateurs en moins de 12 minutes.

Qu’est-il arrivé au protocole Drift le 1er avril ?

L'attaque n'est pas survenue par hasard. Selon l'équipe de Drift Protocol, elle était le fruit de plusieurs jours de préparation, dont les détails ne sont apparus qu'une fois les dégâts causés.

La valeur totale bloquée (TVL) de Drift est passée d'environ 550 millions de dollars à moins de 300 millions de dollars En moins d'une heure, le token DRIFT a chuté de plus de 40 % durant l'incident. La société de sécurité PeckShield confirmé La perte a dépassé 285 millions de dollars, représentant plus de 50 % de la valeur transactionnelle du protocole à l'époque.

Le moment choisi a immédiatement semé la confusion. L'équipe de Drift a publié un message sur X pour clarifier la situation : « Ceci n'est pas un poisson d'avril. Soyez prudents jusqu'à nouvel ordre. »

Le protocole a suspendu tous les dépôts et retraits dès le début de l'enquête.

Comment l'attaquant a-t-il préparé l'exploitation de la faille plusieurs jours à l'avance ?

D'après les informations disponibles, l'attaquant a passé au moins 9 jours à préparer le vol avant de le passer à l'acte.

Le faux jeton et le piège de l'oracle

L'attaquant a créé un jeton appelé Jeton CarbonVote (CVT)Ils ont émis environ 750 millions d'unités. Ils ont initialisé un pool de liquidités sur Raydium avec seulement 500 $ et ont utilisé le wash trading, en achetant et en vendant le token entre leurs propres portefeuilles, pour créer un historique de prix artificiel proche de 1 $. Au fil du temps, les oracles de prix de la blockchain ont détecté ce prix artificiel et ont considéré le CVT comme un actif légitime d'une valeur d'environ 1 $ par token.

Un oracle est un service qui fournit des données de prix externes à un contrat intelligent. Lorsqu'un oracle reçoit des données manipulées, le contrat intelligent est incapable de détecter que le prix est falsifié.

L'attaque durable des nonces

Par ailleurs, l'attaquant a utilisé une fonctionnalité de Solana appelée « nonces durables » pour pré-signer des transactions et en retarder l'exécution. Un nonce durable remplace le mécanisme d'expiration normal des transactions, permettant ainsi de conserver une transaction signée et de la soumettre ultérieurement.

Découvrez des projets prometteurs...

Des projets prometteurs...

(Publicité)

L'article continue...

La chronologie :

• 23 mars: Quatre comptes nonce durables ont été créés. Deux étaient liés à de véritables membres multisignatures du Conseil de sécurité de Drift. Deux étaient contrôlés par l'attaquant.
• 27 mars: Drift a migré son Conseil de sécurité suite à un changement de membre prévu. L'attaquant a également obtenu l'accès à deux signataires dans la nouvelle configuration multisignature.
• 30 mars: Un nouveau compte nonce durable a été créé pour un membre du groupe multisignature mis à jour.
• Avril 1: L'attaquant a exécuté deux transactions de nonce durable pré-signées, espacées de quatre emplacements, complétant un transfert d'administrateur qui lui a donné le contrôle des permissions au niveau du protocole.

Une fois l'accès administrateur sécurisé, l'attaquant a listé CVT comme un marché valide sur Drift, a supprimé toutes les limites de retrait, a déposé des centaines de millions de jetons CVT en garantie, puis a exécuté 31 retraits rapides drainant des actifs réels, notamment USDC, JLP, SOL, wrap BTC, Jito (JTO) et le memecoin Fartcoin (FRT), en environ 12 minutes.

Drift a confirmé que l'attaque n'était pas due à un bug dans ses contrats intelligents ni à une compromission de ses phrases de récupération. Elle impliquait plutôt des « approbations de transactions non autorisées ou falsifiées obtenues avant leur exécution ».

Les audits de sécurité réalisés par Trail of Bits en 2022 et ClawSecure en février 2026 avaient validé Drift, mais aucun de ces examens n'a détecté l'introduction du CVT sur le marché ni les changements de gouvernance qui ont rendu l'attaque possible.

Où sont passés les fonds volés ?

Après avoir exploité la faille, l'attaquant a rapidement agi pour effacer toute trace.

Les actifs volés ont été convertis en USDC et SOL, puis transférés de Solana vers Ethereum via le protocole de transfert inter-chaînes (CCTP) de Circle. Sur Ethereum, l'attaquant a converti les fonds en ETH. D'après le suivi sur la blockchain, l'attaquant a finalement accumulé 129 066 ETH, d'une valeur approximative de… 273 millions de dollars à l'époque.

L'attaquant a également déposé des SOL sur HyperLiquid et Binance, ce qui complique les efforts de traçage sur plusieurs plateformes et portefeuilles.

Circle a-t-il fait le nécessaire pour empêcher le vol ?

Enquêteur en chaîne ZachXBT critiqué publiquement Après avoir constaté cette faille, il est important de souligner que d'importantes quantités d'USDC volées ont été transférées de Solana vers Ethereum pendant les heures ouvrables américaines sans être bloquées.

ZachXBT a comparé cette réaction à la récente décision de Circle de geler 16 portefeuilles électroniques d'entreprises sans lien entre eux dans le cadre d'une affaire civile américaine sous scellés, faisant valoir que Circle avait à la fois la capacité et le précédent d'intervenir, mais n'a pas agi assez rapidement pour limiter les dégâts.

Quels protocoles ont été affectés au-delà de la dérive ?

Les répercussions se sont étendues à l'ensemble de l'écosystème DeFi de Solana. Plusieurs plateformes connectées à la liquidité de Drift ont suspendu leurs opérations ou ont signalé des pertes.

• PiggyBank_fi a déclaré une exposition d'environ 106 000 $ via des stratégies delta-neutre et a couvert directement les utilisateurs en utilisant les fonds de l'équipe.
• Reflect Money a suspendu l'émission et le rachat de USDC+ et d'USDT+.
• Ranger Finance a suspendu les dépôts et les retraits en RGUSD, avec une exposition estimée à plus de 900 000 $.
• Par précaution, Project0 a cessé d'emprunter sur ses positions Drift.
• TradeNeutral, GetPyra, xPlace, Uselulo et Elemental DeFi ont tous suspendu des fonctionnalités clés ou signalé une exposition limitée.
• Jupiter Exchange a confirmé que son pool JLP reste entièrement approvisionné.

Que va-t-il se passer ensuite pour le drift ?

Drift collabore avec plusieurs sociétés de sécurité, plateformes d'échange, ponts de télécommunications et forces de l'ordre afin de retracer et de récupérer les actifs volés. La signature multiple a été mise à jour pour supprimer le portefeuille compromis. Toutes les autres fonctions du protocole restent bloquées.

Selon Immunefi PDG Mitchell AmadorL'impact sur le prix des jetons persiste souvent bien au-delà de la faille de sécurité elle-même. Les données d'Immunefi montrent que 83 % des jetons natifs des protocoles piratés ne retrouvent jamais leur prix d'avant le piratage.

Une analyse détaillée de l'épave de Drift est attendue dans les prochains jours.

Ressources

1. PeckShield sur XArticles (1er et 2 avril)

2. Lookonchain sur XArticles (1er et 2 avril)

3. Protocole de dérive sur XArticles (1er et 2 avril)

4. Mitchell Amador sur XPublication du 25er mars