#DriftProtocolHacked #DriftProtocolHacked

Une attaque sophistiquée impliquant de faux collatéraux, des transactions pré-signées et des tactiques du groupe Lazarus de Corée du Nord a anéanti plus de la moitié du TVL de Drift le 1er avril 2026.

L’attaque en résumé

Le 1er avril 2026, le plus grand DEX de contrats à terme perpétuels de Solana, Drift Protocol, a subi une exploitation catastrophique entraînant la perte de $286 millions sur plusieurs coffres d’actifs.

Ce qui rend cette attaque particulièrement alarmante, c’est qu’elle n’a pas impliqué une vulnérabilité de contrat intelligent ni des phrases de récupération compromises. Au lieu de cela, les attaquants ont exécuté une opération méticuleusement planifiée combinant :

· Ingénierie sociale des signataires multisig
· Transactions pré-signées avec nonce durable
· Création de faux collatéraux d’une valeur manipulée à plus de 100 millions de dollars
· Suppression des protections de timelock

Le TVL s’est effondré d’environ $0 millions à moins de $550 millions en une heure. Le jeton DRIFT a chuté de 45 %, atteignant près de 0,04 $.

---

Chronologie : une opération de 3 semaines

Phase 1 : Mise en place de l’infrastructure $250 11-23 mars(

L’opération a commencé le 11 mars lorsque l’attaquant a retiré de l’ETH de Tornado Cash, le protocole de confidentialité. Le 12 mars, ils ont déployé le jeton CarbonVote )CVT( — notamment vers 09:00, heure de Pyongyang, un signal d’alarme qui reliera plus tard l’attaque à la Corée du Nord.

Au cours des semaines suivantes, l’attaquant :

· A créé 750 millions de jetons CVT )d’une valeur essentiellement de 0 $(
· A fourni une liquidité minimale )~500 $( sur Raydium DEX
· A utilisé le wash trading pour maintenir artificiellement le prix du CVT près de 1,00 $
· A créé 4 comptes nonce durables — 2 liés aux signataires du Conseil de sécurité de Drift, 2 sous contrôle de l’attaquant

Phase 2 : Pré-signature & compromission multisig )23-30 mars(

En utilisant la fonction de nonce durable de Solana )qui permet de pré-signer des transactions pour une exécution ultérieure sans expiration(, l’attaquant a incité les membres du Conseil de sécurité de Drift à pré-signer ce qui semblait être des transactions routinières — mais qui étaient en réalité des clés d’autorisation malveillantes en réserve.

Le 27 mars, Drift a effectué une migration multisig programmée, passant à un seuil de 2 sur 5 signatures et — de manière critique — supprimant complètement le timelock. Un timelock impose généralement un délai de 24 à 72 heures sur les actions administratives, permettant aux communautés de réagir. Sans cela, l’attaquant disposait d’un pouvoir d’exécution sans délai.

Le 30 mars, l’attaquant avait rétabli l’accès à 2 des 5 signataires dans la nouvelle structure multisig.

Phase 3 : Exécution — 12 minutes jusqu’au )$286M 1er avril(

Temps )UTC( Action
16:05:39 L’attaquant active les transactions pré-signées, liste CVT comme collatéral valide, augmente les limites de retrait à environ 500 trillions )effectivement infini(
16:05:41 Dépôt de 500 millions de jetons CVT — valeurs manipulées par l’oracle à plus de 100 millions de dollars
16:05:43-16:17 31 transactions de retrait drainent les actifs réels : JLP, USDC, SOL, cbBTC, wETH, et plus

Toute l’armement a pris moins de temps que pour commander un café.

L’attaque a regroupé trois actions critiques en une seule transaction :

1. Initialiser le marché au comptant CVT avec l’oracle Switchboard contrôlé par l’attaquant
2. Définir le poids du collatéral CVT au maximum — des jetons sans valeur traités comme collatéral principal
3. Désactiver les protections de retrait — supprimant toutes les limites sur les sorties d’actifs

)

Ce qui a été volé

L’attaquant a drainé plusieurs coffres à travers le protocole :

Actif Montant volé #DriftProtocolHacked environ.(
Jetons JLP 155,6 millions de dollars
USDC 60,4 millions de dollars
cbBTC 11,3 millions de dollars
USDS 5,3 millions de dollars
FARTCOIN 4,1 millions de dollars
WBTC 4,4 millions de dollars
WETH 4,7 millions de dollars
JitoSOL 3,6 millions de dollars
SYRUPUSDC 3,3 millions de dollars
INF 2,5 millions de dollars
MSOL 2,0 millions de dollars

Source : Données on-chain via @officer_secret

Le coffre JLP a été complètement vidé.
)

Qui est derrière l’attaque ?

Les sociétés de sécurité Elliptic et TRM Labs ont attribué l’attaque à des acteurs de menace liés à la DPRK #DriftProtocolHacked Corée du Nord(, en particulier le groupe Lazarus.

Les preuves d’attribution incluent :

· Origine Tornado Cash pour la phase initiale
· Horodatage du déploiement du CVT correspondant aux heures de bureau de Pyongyang )09:00(
· Tactiques sophistiquées d’ingénierie sociale — identiques à celles du piratage du pont Ronin en 2022
· Vitesse de blanchiment post-hack et modèles cross-chain
· Utilisation de Nonces Durables — conforme aux techniques de la DPRK

« Il s’agit d’une opération très sophistiquée qui semble avoir impliqué une préparation de plusieurs semaines et une exécution scénarisée, y compris l’utilisation de comptes nonce durables pour pré-signer des transactions retardant l’exécution. »
— Déclaration officielle de Drift Protocol

Si cela est confirmé, cela marque le 18e vol de crypto-monnaie lié à la DPRK en 2026, avec plus de ) millions volés** cette année seulement. Les acteurs nord-coréens auraient volé plus de 6,5 milliards de dollars en crypto$300