Drift Protocol a publié samedi son compte rendu le plus détaillé à ce jour concernant l'exploit du 1er avril qui a siphonné environ 280 millions de dollars de la plateforme d'échange de contrats perpétuels basée sur Solana, décrivant ce que l'équipe a appelé une « opération de renseignement structurée » qui a pris environ six mois à être mise en place.
Selon la mise à jour, le contact initial a eu lieu à l'automne 2025 ou aux alentours, lorsque des individus se présentant comme une société de trading quantitatif ont approché des contributeurs de Drift lors d'une importante conférence crypto et ont exprimé leur intérêt à s'intégrer au protocole. Un groupe Telegram a été créé lors de cette première réunion, et ces mêmes individus ont continué à rencontrer les contributeurs de Drift en personne lors d'événements industriels dans plusieurs pays au cours des mois suivants.
Entre décembre 2025 et janvier 2026, le groupe a intégré un « Ecosystem Vault » (coffre-fort d'écosystème) sur Drift, remplissant le formulaire de stratégie standard, participant à plusieurs sessions de travail avec les contributeurs et déposant plus d'un million de dollars de leur propre capital. Drift a déclaré que ce comportement était conforme à la manière dont les sociétés de trading légitimes s'intègrent généralement au protocole.
L'examen médico-légal des appareils affectés et des historiques de communication après l'exploit a désigné cette relation comme la voie d'intrusion probable. Drift a déclaré que les discussions Telegram du groupe et les logiciels malveillants associés avaient été effacés au moment où l'attaque a été lancée.
L'évaluation préliminaire de Drift identifie deux méthodes de compromission possibles. Un contributeur aurait pu être infecté après avoir cloné un dépôt de code partagé par le groupe sous prétexte de déployer une interface utilisateur pour son coffre-fort. Un second contributeur a été incité à installer une version bêta d'une application via la version TestFlight d'Apple que le groupe a décrite comme son produit de portefeuille.
Pour le chemin du dépôt, Drift a signalé une vulnérabilité de VS Code et Cursor dont les chercheurs en sécurité avaient publiquement averti entre décembre 2025 et février 2026, où la simple ouverture d'un fichier, d'un dossier ou d'un dépôt dans l'éditeur pouvait exécuter silencieusement du code arbitraire sans aucune invite utilisateur.
L'exploit lui-même, comme The Block l'avait précédemment rapporté, n'impliquait pas de bug de contrat intelligent. Drift l'a décrit comme une « attaque inédite impliquant des nonces durables », une primitive Solana légitime qui permet aux transactions d'être pré-signées et exécutées ultérieurement. L'attaquant a obtenu des approbations multisig à l'avance, probablement par ingénierie sociale ou par fausse représentation de transaction, puis a utilisé les autorisations pré-signées pour s'emparer des pouvoirs administratifs du Conseil de Sécurité et vider le protocole en quelques minutes.
Drift a déclaré qu'avec le soutien de l'équipe SEAL 911, il estime avec une « confiance moyenne-élevée » que l'opération a été menée par les mêmes acteurs nord-coréens parrainés par l'État responsables du piratage de 50 millions de dollars de Radiant Capital en octobre 2024, que Mandiant a attribué à l'UNC4736, également connu sous le nom d'AppleJeus ou de Citrine Sleet, un groupe de hackers lié au Bureau général de reconnaissance du pays.
Le lien repose sur des recoupements à la fois onchain et opérationnels, selon Drift. Les flux de fonds utilisés pour organiser et tester l'opération Drift remontent aux attaquants de Radiant, et les personas déployés tout au long de la campagne présentent des chevauchements identifiables avec des activités connues liées à la RPDC, a déclaré Drift.
Notamment, Drift a souligné que les individus qui sont apparus en personne lors des conférences n'étaient pas des ressortissants nord-coréens. Les acteurs de la menace de la RPDC opérant à ce niveau sont connus pour déployer des intermédiaires tiers pour gérer le travail de construction de relations, a déclaré le protocole, et les profils utilisés dans cette opération avaient des historiques d'emploi complets, des références publiques et des réseaux professionnels conçus pour résister à la diligence raisonnable des contreparties.
Mandiant, que Drift a engagé pour diriger l'enquête médico-légale, n'a pas formellement attribué l'exploit de Drift. Cette détermination est en attente de l'achèvement de l'analyse médico-légale des appareils.
Drift a déclaré que toutes les fonctions restantes du protocole ont été gelées, les portefeuilles compromis ont été retirés du multisig, et les adresses des attaquants ont été signalées aux plateformes d'échange et aux opérateurs de ponts. Le détective onchain ZachXBT a séparément critiqué l'émetteur de stablecoins Circle pour ce qu'il a qualifié de réponse lente, affirmant que l'attaquant a transféré environ 232 millions d'USDC de Solana à Ethereum via CCTP en six heures sans que les fonds ne soient gelés.
L'exploit de Drift est le plus grand piratage DeFi de 2026 à ce jour et se classe comme le deuxième incident de sécurité le plus important dans l'histoire de Solana, derrière l'attaque du pont Wormhole de 325 millions de dollars en 2022.
Drift a remercié les chercheurs indépendants et les membres de SEAL 911 Taylor Monahan, tanuki42_, pcaversaccio et Nick Bax pour leur travail d'identification des acteurs, et a exhorté toute équipe qui pense avoir été ciblée par le même groupe à contacter directement SEAL 911.
« Honnêtement, c'est l'attaque la plus élaborée et la plus ciblée que je pense avoir vue perpétrée par la RPDC dans l'espace crypto », a écrit tanuki42_ sur X, en plus d'avertir que d'autres protocoles auraient pu être ciblés également. « Recruter plusieurs facilitateurs et ensuite les amener à cibler des personnes spécifiques dans la vie réelle lors de grands événements crypto est une tactique insensée. »
Avertissement : The Block est un média indépendant qui fournit des actualités, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés du secteur des cryptomonnaies. L'échange de cryptomonnaies Bitget est un LP (Limited Partner) ancre pour Foresight Ventures. The Block continue d'opérer de manière indépendante pour fournir des informations objectives, percutantes et opportunes sur l'industrie de la cryptomonnaie. Voici nos informations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas proposé ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
