Ce qu’il faut retenir :
- Le DEX Drift Protocol sur Solana a subi un exploit de 285 millions de dollars le 1er avril 2026, vidant plus de 50 % de sa TVL.
- L’attaque a exploité des transactions pré-signées via des durable nonces et l’ingénierie sociale de signataires multisig, un schéma similaire au hack de Bybit en 2025.
- ZachXBT a critiqué Circle pour ne pas avoir gelé les USDC volés bridgés vers Ethereum pendant les heures ouvrables américaines.
Drift Protocol, la principale plateforme de trading de contrats perpétuels sur Solana, a été victime d’un exploit de 285 millions de dollars ce mardi 1er avril 2026. L’attaque, la plus importante de l’année dans l’écosystème crypto, a vidé plus de la moitié de la valeur totale verrouillée (TVL) du protocole en moins d’une heure.
L’alerte a d’abord été donnée par les firmes de sécurité blockchain PeckShield et par Mert Mumtaz, PDG de Helius (plateforme de développement Solana), qui ont repéré des flux anormaux sortant du protocole. Drift a rapidement confirmé une “attaque active” et suspendu l’ensemble des dépôts et retraits, précisant sur X que ce n’était “pas un poisson d’avril”.
En l’espace de 12 minutes, l’attaquant a exécuté 31 retraits successifs, siphonnant des actifs en USDC, SOL, JLP, cbBTC, USDS et USDT. Le transfert le plus massif portait sur 41,7 millions de jetons JLP, représentant environ 155 millions de dollars à eux seuls. La TVL de Drift est passée de 550 millions à moins de 300 millions de dollars. Le token DRIFT a chuté de plus de 40 %.
Un mode opératoire sophistiqué, proche du hack Bybit
Le post-mortem préliminaire publié par l’équipe Drift révèle une attaque préparée sur plusieurs semaines, avec un degré de sophistication qui rappelle directement le hack de Bybit en février 2025, où 1,5 milliard de dollars avaient été dérobés par le groupe nord-coréen Lazarus via l’ingénierie sociale de signataires multisig.
Comme pour Bybit, il ne s’agit pas d’une faille dans le code du protocole. L’attaquant a exploité le facteur humain et une fonctionnalité spécifique de Solana : les durable nonces, un mécanisme qui permet de pré-signer des transactions pour une exécution différée.
La chronologie est glaçante. Le 23 mars, l’attaquant a créé quatre comptes de durable nonces, dont deux associés à des membres du Security Council multisig de Drift (configuration 2 signatures sur 5 requises). Il a obtenu les approbations nécessaires, probablement par ingénierie sociale ou en faisant signer des transactions dont le contenu réel était masqué.
Le 27 mars, Drift a effectué une migration planifiée de son Security Council suite à un changement de membre. Le 30 mars, un nouveau compte de durable nonce a été créé pour un membre du multisig mis à jour, indiquant que l’attaquant a réussi à compromettre les approbations de deux signataires sur cinq dans la nouvelle configuration également.
L’exécution : 12 minutes pour 285 millions
Le 1er avril, l’attaquant a déclenché sa séquence. Après une transaction test légitime sur le fonds d’assurance de Drift, il a exécuté deux transactions pré-signées via les durable nonces à seulement quatre slots d’intervalle. Ces transactions lui ont transféré les droits administratifs du protocole.
Avec ce contrôle, il a pu introduire un faux actif, le CarbonVote Token (CVT), sur la plateforme. Ce token avait été créé des semaines plus tôt avec un pool de liquidité de seulement 500 dollars sur Raydium, artificiellement manipulé par du wash trading pour établir un historique de prix crédible autour de 1 dollar. Les oracles ont fini par refléter ce prix fictif.
L’attaquant a ensuite déposé des centaines de millions de CVT comme collatéral, relevé les limites de retrait à des niveaux extrêmes, puis procédé aux 31 retraits qui ont drainé les coffres du protocole.
L’onde de choc sur l’écosystème Solana
L’impact a dépassé Drift. Une douzaine de protocoles Solana ayant une exposition directe ou indirecte aux coffres de Drift ont dû suspendre ou limiter leurs opérations. PiggyBank_fi a signalé 106 000 dollars d’exposition couverts par des fonds d’équipe. Ranger Finance a suspendu ses opérations avec une exposition potentielle de plus de 900 000 dollars. Reflect Money a gelé la frappe et les rachats de ses stablecoins USDC+ et USDT+.
Jupiter Exchange, le principal agrégateur DEX de Solana, a en revanche confirmé que son pool JLP restait entièrement adossé, contribuant à limiter la contagion.
ZachXBT pointe l’inaction de Circle
L’enquêteur on-chain ZachXBT a vivement critiqué Circle, émetteur de l’USDC. Après l’exploit, l’attaquant a consolidé ses gains en USDC et SOL, puis bridgé une partie vers Ethereum via le Cross-Chain Transfer Protocol (CCTP) de Circle. Sur Ethereum, il a converti des fonds en ETH, détenant à un moment 19 913 ETH (environ 42 millions de dollars).
ZachXBT a fait remarquer que ces millions en USDC volés ont transité pendant les heures ouvrables américaines sans être gelés, contrastant avec la décision récente de Circle de bloquer 16 wallets d’entreprises dans le cadre d’une affaire civile scellée, une action que l’enquêteur avait déjà qualifiée d’excès de zèle.
Ce qu’il faut surveiller
Drift travaille avec les forces de l’ordre et plusieurs firmes de sécurité pour tracer et geler les fonds volés. Le multisig a été mis à jour pour supprimer le wallet compromis. Un post-mortem détaillé est attendu dans les prochains jours.
L’enjeu dépasse Drift : après Bybit et maintenant cet exploit, la vulnérabilité des configurations multisig face à l’ingénierie sociale devient un problème systémique pour l’industrie crypto. Les protocoles DeFi vont devoir repenser leurs mécanismes de gouvernance, notamment l’introduction de timelocks obligatoires sur les changements administratifs et des vérifications indépendantes pour chaque signature de transaction.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
