Original|Odaily Planet Daily(@OdailyChina)
Auteur|Wenser(@wenser 2010)
Alors que les feux du conflit au Moyen-Orient ne se sont pas éteints, une attaque de sécurité d'une ampleur supérieure à 200 millions de dollars assène un nouveau coup dur au monde de la crypto.
Le 1er avril, jour du poisson, le protocole dérivé majeur de l'écosystème Solana, Drift Protocol, a joué la pire des blagues possibles à tout le monde : une semaine seulement après avoir mis à jour sa multisignature pour n'exiger que 2 signatures sur 5 sans verrouillage temporel (time lock) ; une semaine plus tard, des actifs liés à JLP d'une valeur de plus de 280 millions de dollars ont été dérobés. Il est difficile de ne pas soupçonner un possible détournement interne.
Dernière nouvelle, Drift a officiellement confirmé avoir subi une attaque active et a suspendu toutes les opérations de dépôt et de retrait de fonds sur sa plateforme ; de plus, un projet potentiellement affecté a déclaré clairement : "Ce n'est pas une blague du 1er avril."
Une déclaration en apparence humoristique révèle en réalité ce qui pourrait être un coup très dur pour l'écosystème DeFi de Solana.
Le déroulement de l'attaque contre Drift Protocol : 11 transferts, le trésor vidé en un instant
L'enquête préliminaire indique que les méthodes d'attaque étaient la capture des privilèges administrateur et l'exploitation d'une vulnérabilité d'exécution de multisignature.
Yu Xian, fondateur de SlowMist, a déclaré : "Il y a une semaine, Drift a migré vers une multisignature 2/5 sans time lock (Note d'Odaily Planet Daily : c'est-à-dire que les opérations sont exécutées immédiatement) (incluant 1 ancienne adresse de portefeuille et 4 nouvelles adresses de portefeuille de signature). L'attaquant a pris le contrôle des privilèges administrateur il y a quelques heures, a frappé de fausse monnaie CVT, manipulé l'oracle, désactivé les mécanismes de sécurité concernés et vidé les actifs de valeur du pool."
Les informations on-chain montrent que l'attaquant a d'abord acheté 41,72 millions de jetons de liquidité Jupiter (JLP), d'une valeur d'environ 155,6 millions de dollars, puis a rapidement transféré de gros montants d'USDC et d'autres jetons, a effectué un bridge des fonds vers Ethereum et a acheté environ 19 913 ETH, d'une valeur d'environ 42,6 millions de dollars.
L'ensemble du processus comprend environ 11 transactions importantes, incluant :
- 51,61 millions d'USDC, d'une valeur d'environ 51,62 millions de dollars ;
- 125 000 WSOL, d'une valeur d'environ 10,45 millions de dollars ;
- 164 000 cbBTC, d'une valeur d'environ 11,29 millions de dollars.
- Adresse du portefeuille du pirate : HkGz4KmoZ7Zmk7HN6ndJ31 UJ1qZ2qgwQxgVqQwovpZES.
En quelques minutes à peine, l'actif total du trésor de Drift est passé de 309 millions de dollars à 41 millions de dollars.
Vers 3 heures du matin, Drift a officiellement annoncé avoir subi une attaque et a simultanément déclaré collaborer avec plusieurs sociétés de sécurité, des bridges cross-chain et des exchanges pour une réponse concertée.
Cause de l'attaque : Aucune conclusion officielle, la fuite de clés privées administrateur probablement principale
À l'heure actuelle, Drift n'a pas officiellement communiqué la cause principale de cette attaque.
L'agence de sécurité PeckShield estime que les clés administrateur de Drift Protocol ont très probablement été compromises ou piratées, permettant à l'attaquant d'obtenir un accès privilégié et de prendre le contrôle du trésor du protocole. Cette analyse qualifie l'attaque comme une faille au niveau des permissions, et non comme une vulnérabilité du code du smart contract.
D'autres informations communautaires indiquent que l'attaquant a pu manipuler les paramètres des collatéraux, en surévaluant artificiellement la valeur de certains actifs peu liquides, pour ensuite emprunter des jetons de haute valeur, finalisant ainsi le vol des fonds du trésor. Ce scénario correspond étroitement aux modèles d'attaques de gouvernance DeFi précédentes. Actuellement, les enquêteurs n'excluent pas la possibilité d'une vulnérabilité de smart contract ou d'une manipulation d'oracle, l'enquête est toujours en cours.
Il est à noter que le portefeuille Solana utilisé par l'attaquant n'a été initialement approvisionné que la semaine dernière avec 1 SOL, et avait précédemment reçu un petit transfert test d'environ 2,52 dollars du trésor de Drift, suggérant que l'attaquant s'était peut-être infiltré à l'avance, ayant validé les permissions avant de passer à l'action. De plus, les fonds de l'adresse associée à l'attaquant de Drift proviennent de Backpack, ce qui pourrait laisser des pistes liées au KYC.
Réaction du marché : Le jeton DRIFT chute de 28 %, le SOL sous pression temporaire
Après l'annonce du vol sur Drift, le marché a paniqué, le DRIFT et le SOL affichant rapidement une tendance à la baisse.
Le jeton natif de Drift Protocol, DRIFT, a chuté de plus de 38 % en 24 heures, cotant actuellement environ 0,042 dollar, soit une baisse cumulative de plus de 98 % depuis son pic historique de 2,60 dollars en novembre 2024. Le prix du SOL a également baissé sous le choc de la nouvelle, tombant en dessous de 80 dollars, avec une baisse de près de 5 % en 24 heures, cotant actuellement 78,6 dollars.
Le portefeuille Phantom a affiché une alerte de risque proactive aux utilisateurs tentant d'accéder au protocole Drift ; la société cotée Forward Industries du trésor de Solana et DeFi Development Corp ont également pris la parole, confirmant que leurs fonds n'étaient pas affectés par cette attaque.
La plus grande attaque DeFi de l'écosystème Solana en 2026
Selon les statistiques publiées par le KOL crypto @lugeweb3, les projets ayant subi des pertes claires ou un impact sévère suite à l'incident de Drift incluent :
- @piggybank_fi : 106 000 dollars de fonds volés, l'équipe injecte des liquidités pour compenser les pertes des utilisateurs.
- @DeFiCarrot : Les produits Boost et Turbo ne sont pas affectés, mais l'ensemble est touché par la faille, les fonctions de minting/échange sont suspendues.
- @uselulo : Les dépôts traditionnels pourraient être affectés (les dépôts protégés et améliorés ne le sont pas).
- @reflectmoney : Toutes les émissions/rachats d'USDC+ et USDT+ sont gelés.
- @project0 : Les emprunts garantis sur le marché Drift sont suspendus.
- @ranger_finance : Dépôts/retraits de rgUSD suspendus, 900 000 dollars sur 14,6 millions de TVL sur Drift sont gelés.
- @elementaldefi : Les fonds déposés en SOL et Lend sur Drift sont gelés (les fonds USDC et ONYC sont sûrs).
- @TradeNeutral : Tous les coffres liés à Drift (JLP, super-staking BTC/ETH/SOL, Hyper JLP, etc., TVL total de 3,6 millions de dollars) pourraient être affectés, dépôts/retraits suspendus.
- @xplaceapp : Dépôts/retraits impossibles, mode crédit et fonction d'emprunt désactivées.
- @GetPyra : Fonds affectés, toutes les fonctions de carte suspendues.
- @ExponentFinance : Transactions liées à l'USDC+ suspendues.
- @fusewallet : Dépôts suspendus.
- @perena : Stablecoin non affectée, mais rachats suspendus ; Le Vault JLP sur Neutral Trade (TVL de 512 000 dollars) pourrait être affecté.
Projets ayant clairement déclaré ne pas être affectés :
- @JupiterExchange
- @kamino
- @UnitasLabs
- @onrefinance
- @solflare
- @hylo_so
- @MarinadeFinance
- @synatraxyz
- @solsticefi
- @defidevcorp
- @jito_sol
- @MeteoraAG
- @sanctumso
- @wormhole
Selon les estimations d'échelle, cet événement pourrait devenir l'un des plus importants incidents de sécurité DeFi de l'écosystème Solana depuis l'attaque du bridge cross-chain Wormhole.
Avant l'incident de Drift, son TVL était d'environ 550 millions de dollars, cette attaque a directement entraîné des pertes s'élevant à 285 millions de dollars, ce qui en fait l'incident de sécurité DeFi le plus important en termes de pertes depuis le début de l'année 2026. Il est à noter qu'en mars, les pertes totales dues aux attaques DeFi s'élevaient à environ 52 millions de dollars, couvrant 20 événements principaux. Maintenant, ce seul incident de sécurité sur Drift porte le chiffre des pertes du premier semestre à un nouveau niveau.
Nul doute que l'incident de vol sur Drift sonne à nouveau l'alarme, maintes fois entendue mais toujours d'actualité, pour l'industrie DeFi – au-delà de la sécurité du code, la sécurité opérationnelle est tout aussi cruciale. Si la cause du vol est finalement confirmée comme étant une fuite de clé privée administrateur, cela validera une fois de plus : Peu importe la qualité de l'audit de code, le facteur humain reste toujours le maillon le plus faible de la sécurité on-chain.
Enfin, Odaily Planet Daily rappelle aux utilisateurs : En attendant la publication de l'enquête complète de Drift et une solution claire, évitez de déposer des fonds ou d'interagir avec le protocole.
