#DriftProtocolHacked

Une opération d'intelligence financée par l'État d’un million de dollars déguisée en poignée de main lors d'une conférence crypto. L'industrie est bouleversée par l'une des attaques DeFi les plus sophistiquées jamais enregistrées.

L'ampleur de la brèche

Drift Protocol, la plus grande plateforme de contrats à terme perpétuels sur Solana, a été vidée d'environ **$285 million le 1er avril 2026**. L'attaque n'était pas une vulnérabilité de contrat intelligent ni une clé volée, mais le résultat d'une **opération d'ingénierie sociale de six mois** orchestrée par **UNC4736 $285 Citrine Sleet/AppleJeus(**, un groupe soutenu par un État lié à la Corée du Nord. Chainalysis a indiqué que si cela est confirmé, les vols de crypto liés à la Corée du Nord totaliseraient au moins 10,58 trillions de won à l’échelle mondiale. L’ampleur de l’opération est stupéfiante : le groupe a créé une fausse identité de société de trading quantitatif, déposé plus de )million de leur propre capital réel, et rencontré en personne des contributeurs de Drift lors de conférences dans plusieurs pays avant de passer à l’action.

---

Anatomie d'une attaque par un État

Les attaquants ont commencé leur opération à l'automne 2025 lors d'une grande conférence crypto, où ils se sont fait passer pour des représentants d'une société de trading quantitatif. Ce qui a suivi, c’est une campagne méticuleuse et patiente de construction de confiance qui a duré environ six mois.

· La phase d'infiltration : En décembre 2025 et janvier 2026, le groupe avait intégré un Ecosystem Vault sur Drift, soumis une documentation stratégique, participé à plusieurs sessions de travail avec des contributeurs, et déposé plus de $1 million de leur propre capital. Drift a décrit ce comportement comme totalement cohérent avec la façon dont les sociétés de trading légitimes s’intègrent généralement au protocole.
· La couche humaine : Tout au long de février et mars 2026, les contributeurs de Drift ont rencontré en face-à-face des membres du groupe lors de plusieurs grandes conférences du secteur dans différents pays. Au moment du lancement de l’attaque, il ne s’agissait plus d’étrangers, mais de partenaires de travail établis avec une relation d’environ six mois.
· Les vecteurs techniques : Une fois la confiance établie, le groupe a déployé une attaque à double volet : l’une impliquait une application malveillante TestFlight $1 plateforme de distribution d’applications en pré-version d'Apple( qui contourne la revue de l’App Store, présentée comme leur produit portefeuille ; l’autre exploitait une vulnérabilité connue dans VSCode et Cursor, où l’ouverture d’un fichier ou d’un dossier suffisait à exécuter silencieusement un code arbitraire sans avertissement ni prompt.

---

L'exécution : une fonctionnalité de Solana devenue arme

Les attaquants ont abusé d’une fonctionnalité légitime de Solana appelée "nonces durables", qui permet de pré-signer des transactions et de les rendre valides indéfiniment. En trompant deux des cinq signataires du multisig du Conseil de sécurité de Drift pour approuver ce qui semblait être des transactions routinières, les attaquants ont obtenu des approbations pré-signées qui sont restées dormantes pendant plus d’une semaine. Le 1er avril, ils ont exécuté ces transactions pré-signées, s’emparant des pouvoirs administratifs au niveau du protocole en moins d’une minute.

---

Les conséquences : chute du marché et réaction communautaire

L’impact immédiat a été dévastateur :

· Effondrement du TVL : La valeur totale verrouillée de Drift a chuté d’environ )million à moins de $550 million en une seule matinée, soit une baisse de plus de 53 %.
· Chute du token : Le token DRIFT a perdu jusqu’à 45 % dans les heures qui ont suivi, atteignant près de 0,04–0,05 $.
· Impact plus large sur l’écosystème : Au moins 20 autres projets exposés à la liquidité ou aux stratégies de Drift ont suspendu leurs opérations ou évalué leurs pertes.
· Circle sous le feu des critiques : L’enquêteur on-chain ZachXBT a critiqué Circle pour ne pas avoir gelé l’USDC volé lors de l’attaque, alors que l’attaquant a utilisé le Cross-Chain Transfer Protocol $250 CCTP( de Circle pour transférer environ )million de USDC de Solana vers Ethereum sans intervention.

---

Implications légales et sécuritaires

L’avocat spécialisé en crypto Ariel Givner a déclaré que l’incident pourrait constituer une "négligence civile", arguant que l’équipe de Drift n’a pas suivi les procédures de sécurité de base — notamment en conservant les clés de signature sur des systèmes séparés, isolés, et en effectuant une diligence raisonnable sur les développeurs rencontrés lors de conférences sectorielles. Des poursuites collectives potentielles contre Drift Protocol circulent déjà. En réponse, la Fondation Solana et Asymmetric Research ont lancé le programme de sécurité STRIDE le 6 avril 2026, offrant vérification formelle et surveillance des menaces pour les protocoles DeFi sur Solana.

---

Une nouvelle ère de menaces pour la DeFi

Cette attaque représente une escalade fondamentale dans le paysage des menaces. Ce n’était pas une faille de code — c’était une opération d’intelligence structurée nécessitant un soutien organisationnel, des ressources importantes, et des mois de préparation délibérée. Les attaquants n’ont pas simplement créé de faux profils LinkedIn ; ils ont déployé des intermédiaires avec des identités entièrement construites, des antécédents professionnels vérifiables, et des réseaux professionnels capables de résister à une véritable diligence. Comme l’a noté un chercheur en sécurité : "Si les attaquants agissent comme une vraie organisation pendant six mois, investissent des fonds, et participent à l’écosystème, il est pratiquement impossible de les détecter avec les systèmes de sécurité existants".

$232 #DeFiHack #NorthKoreaCrypto #DriftProtocol