#Gate广场四月发帖挑战

LE VOL LE PLUS SOPHISTIQUÉ DE L’HISTOIRE DE SOLANA

$285 Million. 12 Minutes. Des mois de planification. Zéro pitié.

Le 1er avril 2026, le monde DeFi s’est réveillé face à son pire cauchemar. Drift Protocol, la plus grande bourse décentralisée d’échanges perpétuels sur Solana, a été vidée méthodiquement de $285 million en moins de douze minutes. Ce n’était pas une exploitation par flash loan. Ce n’était pas un bug de smart contract. C’était une opération de social engineering minutieusement conçue, qui a commencé à l’automne 2025 et s’est achevée par la plus attaque la plus dommageable de l’histoire de la DeFi sur Solana.

L’industrie crypto est encore en train de digérer ce qui vient de se produire.

QU’EST-CE QUE DRIFT PROTOCOL

Avant de comprendre l’attaque, vous devez comprendre la cible. Drift Protocol est la principale plateforme de trading de produits dérivés et de futures perpétuels, construite nativement sur Solana. À son pic de septembre 2025, le protocole détenait 1,5 milliard de dollars en valeur totale verrouillée, ce qui en faisait l’une des couches d’infrastructure DeFi les plus fiables de tout l’écosystème Solana. Le matin du 1er avril 2026, son TVL s’élevait encore à environ $550 million, représentant les économies, les garanties et les positions actives de milliers d’utilisateurs dans le monde.

Drift n’était pas un protocole petit ou obscur. C’était une infrastructure DeFi de niveau institutionnel. C’est précisément pour cela qu’elle a été ciblée.

COMMENT L’ATTAQUE A EU LIEU — LE DÉTAIL COMPLET

Ce que les chercheurs en sécurité et les analystes de la blockchain ont reconstitué n’est pas une histoire de vulnérabilité technique. C’est une histoire de tromperie humaine exécutée à un niveau professionnel, rarement observé dans la crypto.

Infiltration (Automne 2025 à mars 2026) :

Les attaquants se sont fait passer pour une société légitime de trading quantitatif. Ils ont approché l’équipe Drift via des canaux normaux de l’industrie, ont participé à plusieurs conférences blockchain et DeFi où ils ont rencontré les contributeurs de Drift en personne, et ont construit une relation de confiance au fil de plusieurs mois. Pour établir leur crédibilité, ils ont déposé plus de $1 million de leur propre capital dans le protocole Drift, démontrant qu’ils étaient de véritables participants avec une véritable mise en jeu.

Compromission d’appareils :

Une fois la confiance établie, les attaquants ont introduit des dépôts de code malveillants et une fausse application de portefeuille sur les appareils des contributeurs de Drift. Cela leur a donné accès à des identifiants administratifs et à du matériel de clés privées appartenant aux membres du conseil de sécurité du protocole, la structure de gouvernance multisig responsable d’autoriser les opérations administratives importantes.

Pré-signature par nonce durable :

C’est ici que la sophistication technique devient remarquable. Les attaquants ont exploité la fonctionnalité de nonce durable de Solana, un mécanisme légitime de blockchain qui permet de signer des transactions à l’avance sans qu’elles n’expirent. En utilisant des clés admin compromises et en manipulant ou en déformant probablement des transactions afin d’obtenir des approbations multisig du conseil de sécurité, les attaquants ont pré-signé une série de transactions administratives plusieurs semaines avant l’exécution. Ces transactions pré-signées ont supprimé les limites de retrait et ont accordé un accès complet au vidage des coffres du protocole.

Le Vidage (Le 1er avril 2026, 4:00 PM UTC) :

L’exécution a été chirurgicale. En moins de 12 minutes, les attaquants ont vidés près de 20 coffres distincts du protocole Drift dans une séquence coordonnée. Le premier transfert majeur, d’une valeur de $155 million de tokens JLP, a été effectué dans une seule transaction. Le montant total dérobé incluait :

Tokens JLP (Jupiter Liquidity Provider): $155 million
Stablecoins USDC : $232 million au total sur l’ensemble des mouvements
Wrapped Bitcoin (wBTC): des positions importantes
Solana (SOL): plusieurs positions dans des coffres
Divers tokens de staking liquide et autres actifs

Les fonds volés ont été immédiatement échangés contre des stablecoins et partiellement transférés vers Ethereum, selon un schéma de blanchiment standard conçu pour fragmenter la trace entre chaînes et juridictions.

Déstruction des preuves :

Dans les minutes qui ont suivi la fin du vidage, les attaquants ont effacé toutes les preuves forensiques des systèmes compromis, en supprimant les dépôts malveillants et l’application de portefeuille des appareils concernés.

LES CHIFFRES VÉRIFIÉS ET ACTUELS

Total volé : $285 million ( confirmé par la société de sécurité blockchain SlowMist et les données on-chain)
TVL du protocole avant l’attaque : $550 million
TVL du protocole après l’attaque : est tombé à environ $247 million
Pourcentage de TVL vidé : plus de 50%
Temps pour le vidage : moins de 12 minutes
Nombre de coffres vidés : près de 20
Portefeuille de l’attaquant pré-alimenté : environ 8 jours avant l’attaque (test transfer observed)
Classement : deuxième plus grande exploitation de l’ensemble de l’histoire de Solana
Classement 2026 : plus grande exploitation DeFi unique de l’année

Impact du token DRIFT :
Prix avant le piratage : environ 0,073 $
Plus bas après le piratage : 0,040 $ ( plus bas de tous les temps)
Baisse maximale sur une seule journée : 47%
RSI au plus bas après piratage : environ 17 ( fortement survendu)
MACD : négatif, signalant une pression baissière persistante
Niveaux de résistance : 0,053 $ à 0,060 $

LA CONTAGION AU-DELÀ DE DRIFT

Les dégâts ne sont pas restés confinés à Drift. L’exploit a envoyé des ondes de choc immédiates dans l’écosystème DeFi Solana plus large, déclenchant des retraits de capitaux de protocoles n’ayant aucune exposition directe à l’attaque Drift.

Jito, Raydium et Sanctum — trois des protocoles DeFi les plus établis de Solana — ont chacun enregistré des sorties de TVL d’environ 3,8 % à 4,3 % en l’espace d’une seule journée après l’exploit Drift. Lorsqu’un protocole crédible, sans exposition à une attaque, subit une fuite de capitaux uniquement en raison de sa proximité, cela indique que le marché réévalue la prime de sécurité attribuée à l’ensemble de l’écosystème DeFi de Solana — et pas seulement à Drift.

Le token SOL de Solana a chuté vers $78 dans l’immédiat après-coup, les analystes pointant $67 et $60 comme prochaines cibles à la baisse, en attendant un scénario de reprise confirmé.

Circle, l’émetteur de USDC, a fait face à de vives critiques publiques pour ne pas avoir gelé assez rapidement les $232 million USDC volés afin d’empêcher leur déplacement. Cela a relancé le débat de l’industrie sur les pouvoirs d’intervention centralisés au sein d’infrastructures théoriquement décentralisées.

QUI EST EN COURS D’ENQUÊTE

Mandiant, la division d’élite de cybersécurité et de gestion des incidents de Google, a été formellement sollicitée pour enquêter sur l’attaque. Mandiant apporte à la réponse aux incidents crypto une capacité forensique de niveau étatique, et leur implication indique que Drift et ses commanditaires considèrent cela comme une opération sophistiquée, potentiellement liée à un État ou à un crime organisé, plutôt que comme un piratage opportuniste isolé.

Vibhu Norby, Chief Product Officer de la Solana Foundation, a confirmé publiquement que l’attaque n’avait pas été causée par une vulnérabilité d’un programme ou d’un smart contract, l’attribuant à une défaillance de sécurité opérationnelle et au social engineering. Il a pris soin de noter que tout protocole s’appuyant sur un mécanisme multisig sur plusieurs chaînes peut être confronté à des risques similaires ; il présente l’incident Drift comme un cas isolé plutôt qu’une faille systémique du protocole Solana.

POURQUOI CETTE ATTAQUE CHANGE TOUT

La plupart des cadres de sécurité DeFi sont construits autour d’une hypothèse : auditer le code, y trouver les bugs, les corriger. L’attaque de Drift rend l’ensemble de ce cadre incomplet.

Il n’y a pas eu de bug. Le code a fonctionné exactement comme prévu. L’attaquant n’a pas cassé le système : il a été invité à y entrer au fil de mois de relation, puis a utilisé des mécanismes légitimes du protocole contre les personnes qui l’ont construit.

Les implications sont structurelles :

La gouvernance multisig — la référence en matière de sécurité DeFi — peut être compromise par du social engineering visant les humains derrière les clés, quelle que soit la quantité de signatures requise.

Les nonces durables, une fonctionnalité conçue pour la flexibilité opérationnelle légitime sur Solana, peuvent être transformés en armes afin de créer des exploits administratifs à retardement, invisibles jusqu’au moment de l’exécution.

La sécurité des appareils des contributeurs est désormais un risque DeFi de premier ordre. La chaîne d’attaque a emprunté des ordinateurs portables personnels et des portefeuilles appartenant à des membres de l’équipe de confiance, et non pas des vulnérabilités on-chain.

L’exploit de Drift a déjà déclenché des appels, au sein de la communauté de la sécurité DeFi, en faveur de modules de sécurité matérielle (hardware security modules), d’infrastructures de signature isolées (air-gapped) et d’exercices formels de red teaming en social engineering comme pratique standard pour tout protocole détenant plus de $50 million de fonds utilisateurs.

LE POINT FINAL

Drift Protocol n’était pas négligent. Il a été visé par une opération professionnelle qui a investi des mois, plus de $1 million en capital, et de véritables efforts de construction de relations humaines pour se positionner en vue d’un vol de $285 million en seulement douze minutes.

C’est le nouveau modèle de menace pour la DeFi en 2026. Pas un flash loan. Pas un bug de réentrance. Un adversaire patient, sophistiqué, qui a compris que le point faible de tout système cryptographique n’est pas la mathématique : ce sont les personnes.

La question que l’ensemble de l’industrie DeFi doit désormais résoudre n’est pas comment construire de meilleurs smart contracts. C’est comment construire des organisations capables de résister à des adversaires prêts à jouer la longue partie.

#DriftProtocolHacked
#GateSquareAprilPostingChallenge

Deadline : 15 avril
Détails : https://www.gate.com/announcements/article/50520