Le $285m hack de Drift Protocol révèle la menace d'ingénierie sociale pour la DeFi sur Solana

Drift Protocol, un important échange DeFi basé sur Solana, a subi un exploit motivé par une attaque d’ingénierie sociale de 285 millions de dollars, qui a exploité une clé administrateur compromise plutôt qu’un quelconque défaut de code.

Résumé

• Drift Protocol a subi un exploit de 285 millions de dollars le 1er avril, devenant l’un des plus importants piratages DeFi de l’histoire de Solana, déclenché par une clé administrateur compromise plutôt que par un défaut de contrat intelligent.
• La présidente de la Solana Foundation, Lily Liu, et le CPO Vibhu Norby ont tous deux confirmé via X que le vecteur d’attaque relevait de l’ingénierie sociale et d’échecs de sécurité opérationnelle, et non de vulnérabilités au niveau du code.
• Le SOL a chuté de 9 % jusqu’à un plus bas intrajournalier de 78.60 $ après la brèche, Wormhole avertissant que certaines transactions inter-chaînes Solana pourraient subir des retards à la suite de celle-ci.

Drift Protocol, un échange décentralisé construit sur Solana, a été vidé d’environ 285 millions de dollars d’actifs numériques le 1er avril, dans ce que des chercheurs en sécurité estiment être une attaque d’ingénierie sociale visant l’infrastructure de la clé administrative du protocole, selon Bloomberg. PeckShield Inc. a fait partie des premières entreprises à signaler la brèche, indiquant qu’une part importante des fonds volés a été convertie en USDC, la stablecoin adossée au dollar émise par Circle, d’après des données on-chain. L’attaque s’est déroulée en environ 12 minutes à travers 31 transactions, vidant près de 20 coffres (vaults) et générant, entre autres actifs, 66.4 millions d’USDC, 42.7 millions de JLP, 23.3 millions de MOODENG, 5.6 millions d’USDT, 5.2 millions d’USDS, 2.6 millions de JUP, 583,000 RAY et 477,000 WETH.

Les données blockchain montrent que l’attaquant a exploité une clé administrateur Drift compromise pour lister CVT comme nouveau marché spot sur la plateforme et a, simultanément, augmenté les limites de retrait pour l’USDC et quatre autres marchés à 500 trillions, neutralisant de fait les contrôles de sécurité internes du protocole. En utilisant une garantie (collatéral) frauduleuse, l’attaquant a ensuite pu retirer librement depuis les coffres du marché spot de Drift. L’utilisation de clés de signature différentes sur les 31 transactions suggère que soit l’infrastructure de gestion des clés a été compromise, soit que plusieurs clés d’autorité ont été accédées, pointant vers une opération coordonnée et ciblée plutôt qu’un bug opportuniste de contrat intelligent.

Le jeton natif DRIFT a chuté d’environ 0.072 $ à 0.055 $ dans l’immédiat après-coup, alors que les utilisateurs se sont précipités pour retirer la liquidité et que le protocole a suspendu les dépôts et retraits.

« La vraie cible de l’attaque, ce sont les gens »

Lily Liu, présidente de la Solana Foundation, a abordé l’incident directement sur X, déclarant : « L’incident Drift a des effets considérables, impactant l’ensemble de l’écosystème. L’équipe Drift travaille sans relâche pour enquêter et maîtriser la situation, et nous faisons de notre mieux pour fournir du support. Le contrat intelligent lui-même a résisté à l’épreuve. La vraie cible de l’attaque, ce sont les ‘personnes’ — plus liées à des vulnérabilités d’ingénierie sociale et de sécurité opérationnelle qu’à des exploits au niveau du code. »

Vibhu Norby, Chief Product Officer de la Solana Foundation, a réaffirmé cette analyse, en écrivant sur X que l’incident « n’est pas causé par une vulnérabilité d’un programme ou d’un contrat intelligent, mais est plus probablement lié à des attaques de sécurité opérationnelle ou d’ingénierie sociale. » Norby a ajouté que tout protocole s’appuyant sur un mécanisme de multi-signature sur diverses chaînes pourrait théoriquement faire face à des risques similaires, et a souligné que l’incident de sécurité de Drift « est un cas isolé et n’indique pas de problème systémique avec Solana DeFi ou les produits associés ».

La clarification des deux responsables était sans équivoque : ce n’était pas une défaillance de Solana, c’était une défaillance humaine. Comme crypto.news l’a déjà rapporté, l’ingénierie sociale est devenue le vecteur d’attaque dominant dans l’industrie, avec des campagnes de phishing, d’offres d’emploi frauduleuses et d’usurpation d’identité qui représentent désormais la majorité des brèches de grande valeur — un schéma accéléré par le groupe Lazarus de Corée du Nord et d’autres acteurs liés à des États.

Retombées sur le marché et effets d’entraînement inter-chaînes

Le SOL a chuté de 9 % à un plus bas intrajournalier de 78.60 $ le 2 avril, ramenant sa capitalisation boursière à 45.5 milliards de dollars, d’après les données de crypto.news. Sur les sept jours précédents, le SOL avait déjà abandonné plus de 10 %, enregistrant la plus forte baisse parmi les 10 principales crypto-monnaies. Le piratage de 285 millions de dollars figure parmi les plus gros exploits de l’écosystème Solana sur les cinq dernières années.

L’infrastructure inter-chaînes a également ressenti la pression. Wormhole a publié sur X en confirmant que les actifs de ses utilisateurs n’étaient pas en danger et que la fonctionnalité de pont restait opérationnelle, mais a averti que des mécanismes de sécurité intégrés à Solana pourraient entraîner des retards sur certaines transferts inter-chaînes. Les contributeurs principaux de Wormhole ont déclaré qu’ils étaient en communication active avec l’écosystème Solana au sens large pour fournir

Drift Protocol touché par une attaque d’ingénierie sociale de 285 millions de dollars sur Solana

• Drift Protocol a perdu 285 millions de dollars dans l’un des plus importants exploits DeFi de l’histoire de Solana, l’attaque ayant été exécutée via une clé administrateur compromise plutôt que via une vulnérabilité de contrat intelligent.
• La direction de Solana Foundation a confirmé que la brèche provenait d’échecs d’ingénierie sociale et de sécurité opérationnelle, soulignant que le code sous-jacent de Solana et ses smart contracts restaient intacts.
• Le SOL a chuté de près de 9 % à un plus bas intrajournalier de 78.60 $ après l’incident, ramenant sa capitalisation boursière à 45.5 milliards de dollars.

Drift Protocol, un échange décentralisé construit sur Solana, a perdu environ 285 millions de dollars d’actifs numériques le 1er avril après qu’un attaquant a exploité une clé administrateur compromise pour vider près de 20 coffres (vaults) du protocole en moins de 12 minutes, selon Bloomberg. La brèche se classe comme l’un des plus importants piratages DeFi de l’histoire de Solana et a déclenché une forte vente de SOL, qui a chuté de 9 % à 78.60 $ le jour même.

PeckShield a fait partie des premières entreprises de sécurité blockchain à signaler l’incident, évaluant les pertes totales à environ 285 millions de dollars. Des données on-chain ont ensuite révélé que 31 transactions avaient été exécutées sur environ 12 minutes. L’attaquant a retiré 66.4 millions d’USDC, 42.7 millions de JLP, 23.3 millions de MOODENG, 5.6 millions d’USDT, 5.2 millions d’USDS, 2.6 millions de JUP, 583,000 RAY et 477,000 WETH. Une partie des jetons JLP a été brûlée, tandis que les actifs restants ont largement été convertis en SOL et répartis sur plusieurs portefeuilles.

Le vecteur d’attaque ne reposait pas sur une faille des smart contracts du protocole. À la place, une clé administrateur Drift compromise a été utilisée pour lister un nouveau marché spot et augmenter les limites de retrait sur l’USDC et quatre autres marchés à 500 trillions — désactivant efficacement les mécanismes de sécurité de la plateforme et permettant à l’attaquant d’utiliser une garantie frauduleuse pour vider les coffres.

Solana défend son infrastructure

Lily Liu, présidente de la Solana Foundation, a abordé l’incident sur X, déclarant : « L’incident Drift a des effets considérables, impactant l’ensemble de l’écosystème. L’équipe Drift travaille sans relâche pour enquêter et maîtriser la situation, et nous faisons de notre mieux pour fournir du support. Le contrat intelligent lui-même a résisté à l’épreuve. La vraie cible de l’attaque, ce sont les ‘personnes’ — plus liées à des vulnérabilités d’ingénierie sociale et de sécurité opérationnelle qu’à des exploits au niveau du code. »

Vibhu Norby, Chief Product Officer de la Solana Foundation, a repris cette analyse, en écrivant sur X que l’incident « n’est pas causé par une vulnérabilité d’un programme ou d’un contrat intelligent, mais est plus probablement lié à des attaques de sécurité opérationnelle ou d’ingénierie sociale. » Il a également pris soin de contextualiser la brèche, notant que « tout protocole s’appuyant sur un mécanisme de multi-signature sur diverses chaînes peut faire face à des risques similaires », et qualifiant l’incident de sécurité de Drift « de cas isolé » n’indiquant pas de problèmes systémiques au sein de Solana DeFi.

Effets d’entraînement inter-chaînes

Le pont inter-chaînes Wormhole a également confirmé sur X que les actifs de ses utilisateurs n’étaient pas en danger et que la fonctionnalité du pont restait opérationnelle. Cependant, le protocole a averti que certains transferts inter-chaînes de Solana pourraient subir des retards en raison de mécanismes de sécurité intégrés déclenchés par l’incident. Wormhole a déclaré que ses contributeurs principaux étaient en communication active avec l’équipe de l’écosystème Solana.

L’attaque s’inscrit dans un contexte plus large de menaces d’ingénierie sociale croissantes dans la crypto. Comme crypto.news l’a rapporté en janvier, la plupart des grandes brèches crypto proviennent désormais du phishing, de l’usurpation d’identité et d’échecs d’accès opérationnel plutôt que de code cassé — un schéma que l’incident Drift renforce. À peine quelques semaines plus tôt, la plateforme de memecoin basée sur Solana Bonk.fun a été compromise de manière similaire via un détournement de domaine qui a déployé un drain de portefeuille malveillant, entraînant des pertes utilisateurs dépassant $273,000.

Le token DRIFT, qui avait déjà perdu plus de 86% de sa valeur au cours de l’année précédente, a chuté fortement d’environ 0.072 $ à 0.055 $ au milieu du chaos. Le protocole avait auparavant levé 25 millions de dollars lors d’un tour Series B mené par Multicoin Capital, portant son financement total à plus de 52.3 millions de dollars, selon crypto.news. Au moment du hack, sa valeur totale verrouillée (TVL) s’élevait à plusieurs centaines de millions de dollars, ce qui en faisait l’une des plateformes DeFi les plus significatives de Solana.

La Solana Foundation a déclaré que la communauté continuera de recevoir des mises à jour à mesure que l’enquête avance, et a noté que des leçons importantes de sécurité opérationnelle devraient émerger pour l’ensemble de l’industrie une fois que l’image complète sera connue.