Hack Drift Protocol : 285 millions de dollars volés sur Solana en 12 minutes
📋 En bref (TL;DR)
- Drift Protocol hacké : le protocole DeFi sur Solana a perdu 285 millions de dollars le 1er avril 2026
- Technique inédite : les hackers ont exploité les « durable nonces » de Solana pour pré-signer des transactions frauduleuses à l’avance
- Corée du Nord suspectée : Elliptic et TRM Labs attribuent l’attaque au groupe Lazarus, lié au régime nord-coréen
- Circle critiqué : l’émetteur de l’USDC avait 6 heures pour geler les fonds volés et n’a rien fait
- Impact Solana : le SOL a chuté de 4,5% et la TVL DeFi de Solana a perdu 14,5% en 24 heures
- 2ème plus gros hack de l’histoire de Solana, après Wormhole (326M$ en 2022)
Le 1er avril 2026, alors que le monde crypto pensait à des poissons d’avril, des hackers ont réalisé le plus gros braquage DeFi de l’année. Drift Protocol, l’une des plus grandes plateformes de perpétuels décentralisés sur Solana, a été vidée de 285 millions de dollars en seulement 12 minutes. L’attaque, d’une sophistication rare, combine ingénierie sociale, manipulation d’oracle et une fonctionnalité méconnue de Solana : les durable nonces.
Retour sur un hack qui ébranle la confiance dans la sécurité de la DeFi et relance le débat sur la vraie décentralisation des protocoles.
Drift Protocol : un pilier de la DeFi Solana
Fondé en 2021 par Cindy Leow et David Lu, Drift Protocol est un exchange décentralisé spécialisé dans les contrats perpétuels avec effet de levier jusqu’à 10x. Avant l’attaque, le protocole gérait environ 550 millions de dollars de TVL (valeur totale verrouillée) et représentait l’un des piliers de l’écosystème DeFi sur Solana.
Le protocole utilisait un modèle hybride combinant carnet d’ordres et AMM virtuel, avec un conseil de sécurité (Security Council) en multisig 2/5 pour les opérations administratives.
Anatomie d’un hack à 285 millions de dollars
Contrairement à la plupart des exploits DeFi, cette attaque ne ciblait pas une faille dans le code du smart contract. Elle visait la couche de gouvernance — les humains qui contrôlent le protocole.
Phase 1 : préparation (11-30 mars)
Trois semaines avant l’attaque, le hacker a retiré 10 ETH via Tornado Cash (un mixer sanctionné) pour financer l’opération. Il a ensuite créé un faux token appelé « CarbonVote Token » (CVT), y a injecté 500 dollars de liquidité sur Raydium, puis a utilisé du wash trading pour construire un historique de prix artificiel autour de 1 dollar. Les oracles on-chain ont fini par enregistrer ce prix comme légitime.
En parallèle, entre le 23 et le 30 mars, l’attaquant a créé 4 comptes de durable nonces liés aux membres du multisig de Drift. Les durable nonces sont une fonctionnalité légitime de Solana qui permet de signer des transactions à l’avance sans qu’elles expirent — normalement, une transaction Solana expire après 60 à 90 secondes. Cette fonctionnalité a permis aux hackers de séparer le moment de la signature du moment de l’exécution par plus d’une semaine.
Phase 2 : compromission du multisig (27 mars)
Le 27 mars, Drift a migré vers une nouvelle configuration de son conseil de sécurité : un multisig 2/5 sans aucun timelock. L’attaquant a obtenu la signature de 2 des 5 membres, probablement via de l’ingénierie sociale. Selon Charles Guillemet, CTO de Ledger : « Les signataires ont peut-être cru signer une opération légitime tout en autorisant sans le savoir le drainage des fonds. »
Phase 3 : exécution (1er avril, 16h05 UTC)
En moins de 12 minutes, l’attaquant a :
- Exécuté les transactions pré-signées pour prendre le contrôle administratif du protocole
- Listé le faux token CVT comme marché valide sur Drift
- Relevé les limites de retrait à des niveaux extrêmes
- Désactivé les disjoncteurs de sécurité
- Déposé des centaines de millions de CVT comme collatéral (valorisé au prix manipulé)
- Exécuté 31 retraits en 12 minutes, drainant 285M$ d’actifs réels
Les fonds volés se répartissent ainsi : 155,6M$ en tokens JLP (Jupiter LP), 60,4M$ en USDC, 11,3M$ en cbBTC, 10,5M$ en wSOL, et le reste en USDT, WETH et autres tokens.
La Corée du Nord derrière l’attaque
Les cabinets d’analyse blockchain Elliptic et TRM Labs ont indépendamment attribué l’attaque à des hackers nord-coréens liés au groupe Lazarus. Selon TRM Labs, il s’agirait du 18ème vol crypto attribué à la Corée du Nord en 2026, pour un total de plus de 300 millions de dollars volés cette seule année.
Charles Guillemet compare directement cet exploit au hack de Bybit en février 2025 (1,4 milliard de dollars), également attribué à la Corée du Nord : « Une compromission sophistiquée et patiente de la chaîne d’approvisionnement, ciblant la couche opérationnelle humaine plutôt que les vulnérabilités des smart contracts. »
Circle : 6 heures pour agir, et rien
L’enquêteur crypto ZachXBT a vivement critiqué Circle, l’émetteur de l’USDC. Après le vol, l’attaquant a converti les fonds volés en USDC et les a transférés de Solana vers Ethereum via le propre protocole de Circle (CCTP). Plus de 230 millions de dollars en USDC ont été bridgés en plus de 100 transactions sur environ 6 heures — pendant les heures de bureau aux États-Unis.
Circle avait pourtant démontré sa capacité à geler des fonds : le 23 mars, l’entreprise avait gelé l’USDC de 16 portefeuilles dans le cadre d’une affaire civile. Cette inaction sélective a relancé le débat sur la responsabilité des émetteurs de stablecoins.
Impact sur Solana et la DeFi
Les conséquences ont été immédiates :
- La TVL de Drift a chuté de 550M$ à moins de 250M$
- Le token DRIFT a perdu entre 38% et 47% de sa valeur
- Le SOL a baissé de 4,5% tandis que le marché restait stable
- La TVL DeFi globale de Solana a perdu 14,5% en 24 heures
- Plusieurs protocoles connectés à Drift (PiggyBank, Ranger Finance, Reflect Money) ont suspendu leurs opérations
Drift a immédiatement suspendu tous les dépôts, retraits et le trading. L’équipe travaille à la récupération du contrôle administratif et à un plan de compensation pour les utilisateurs affectés.
Les leçons pour la DeFi
Ce hack met en lumière un paradoxe de la DeFi : de nombreux protocoles « décentralisés » restent contrôlés par des clés d’administration centralisées. Hayden Adams, fondateur d’Uniswap, a réagi : « Les protocoles avec des clés admin contrôlant tous les fonds devraient arrêter de se dire DeFi. »
Les experts recommandent désormais :
- Des seuils de multisig minimums de 3/5 ou 4/7 avec des timelocks obligatoires de 24 à 48 heures
- La désactivation des durable nonces pour les chemins de gouvernance
- Des disjoncteurs immuables non modifiables par les administrateurs
- Une rotation régulière des signataires avec isolation matérielle
Le hack de Drift rappelle que la sécurité en DeFi ne se résume pas aux audits de code. La menace la plus dangereuse cible les humains, pas les smart contracts.
📚 Glossaire
- Drift Protocol : plateforme d’échange décentralisée sur Solana spécialisée dans les contrats perpétuels (futures sans date d’expiration).
- Durable nonces : fonctionnalité Solana permettant de créer des transactions qui ne expirent jamais, contrairement aux transactions classiques (validité 60-90 secondes).
- Multisig : portefeuille nécessitant plusieurs signatures (ex : 2 sur 5) pour valider une transaction, utilisé pour sécuriser les fonds de protocoles.
- TVL (Total Value Locked) : valeur totale des actifs déposés dans un protocole DeFi, indicateur principal de sa taille.
- Perpétuels : contrats à terme sans date d’expiration permettant de spéculer à la hausse ou à la baisse avec effet de levier.
- Solana : blockchain de couche 1 réputée pour sa vitesse et ses faibles coûts de transaction, populaire en DeFi.
- Stablecoin : cryptomonnaie adossée à une monnaie fiduciaire (ex : USDC = 1 dollar), utilisée comme refuge et moyen d’échange.
Questions fréquentes
Combien a été volé dans le hack de Drift Protocol ?
Les hackers ont drainé environ 285 millions de dollars en 12 minutes, principalement en tokens JLP (155,6M$), USDC (60,4M$) et divers tokens crypto. C’est le plus gros hack DeFi de 2026 et le deuxième plus important de l’histoire de Solana.
Qui est derrière le hack de Drift ?
Elliptic et TRM Labs, deux cabinets spécialisés en analyse blockchain, attribuent l’attaque à des hackers nord-coréens liés au groupe Lazarus. Ce serait le 18ème vol crypto attribué à la Corée du Nord en 2026.
Les utilisateurs de Drift seront-ils remboursés ?
Drift Protocol a suspendu toutes les opérations et travaille sur un plan de compensation, mais aucun détail n’a été communiqué. Les actifs stakés au validateur Drift et le fonds d’assurance n’ont pas été touchés.
Qu'est-ce qu'un durable nonce sur Solana ?
C’est une fonctionnalité qui permet de créer des transactions sans date d’expiration. Normalement, une transaction Solana expire en 60-90 secondes. Les durable nonces ont permis aux hackers de faire signer des transactions à l’avance et de les exécuter plus d’une semaine plus tard.
Pourquoi Circle n'a-t-il pas gelé les fonds volés ?
Malgré 6 heures de disponibilité pendant les heures de bureau US, Circle n’a pas gelé les 230M$ d’USDC volés qui transitaient par son propre protocole CCTP. L’entreprise n’a pas encore expliqué cette inaction, malgré avoir démontré cette capacité 9 jours plus tôt dans une autre affaire.
📰 Sources
Cet article s’appuie sur les sources suivantes :
- Elliptic — Drift Protocol Exploited for $286M in Suspected DPRK Attack – Analyse d’attribution, avril 2026
- CoinDesk — How a Solana Feature Let an Attacker Drain $270M – Analyse technique détaillée
- Bloomberg — Drift DeFi Project on Solana Suffers $285M Exploit – Couverture Bloomberg
- CryptoTimes — Circle Had 6 Hours to Freeze Stolen Drift Funds – Enquête ZachXBT
- TRM Labs — North Korean Hackers Attack Drift Protocol – Analyse d’attribution indépendante
Comment citer cet article : Fibo Crypto. (2026). Hack Drift Protocol : 285 millions de dollars volés sur Solana en 12 minutes. Consulté le 3 avril 2026 sur https://fibo-crypto.fr
La façon la plus simple d’acheter, échanger et gérer vos cryptos
Rejoignez les premiers utilisateurs et bénéficiez d’un accès prioritaire. Sans seed phrase, frais 3.5x plus bas, rendement DeFi intégré.
Rejoindre la waitlist →
