À la suite d’une attaque majeure sur la DeFi, Drift Protocol a commencé une démarche directe concernant l’exploitation de Drift alors que les enquêteurs tracent les fonds à travers plusieurs blockchains.
Summary
Drift cible les portefeuilles des hackers avec des messages on-chain
Le 3 avril, Drift Protocol a intensifié sa réponse au récent piratage en envoyant des messages on-chain à quatre portefeuilles Ethereum détenant la majeure partie des actifs volés. Selon les données de la blockchain, ces adresses contrôlent ensemble environ 129 000 ETH, liés à ce qui est devenu l’une des plus grandes exploitations DeFi de 2026.
L’exploitation a siphonné entre 270 millions et 285 millions de dollars du protocole, perturbant sévèrement les conditions de trading et de liquidité. Cependant, l’équipe affirme maintenant avoir identifié des parties clés liées à l’incident et les exhorte publiquement à ouvrir un dialogue plutôt que de rester silencieuses.
La démarche a été effectuée à partir d’une adresse contrôlée par Drift, qui a transmis un message standardisé à chacun des quatre portefeuilles ciblés. De plus, cette initiative indique que le protocole est prêt à explorer des résolutions négociées, une voie que d’autres projets crypto ont empruntée lors de vols à grande échelle précédents.
Le message appelle à la communication via Blockscan chat
Le contenu du message était concis. Drift a informé les propriétaires des portefeuilles qu’il est « prêt à parler » et leur a demandé de répondre en utilisant Blockscan chat, un outil de communication hors chaîne lié aux adresses Ethereum. Cela reflète des cas antérieurs où des projets attaqués ont cherché à ouvrir un canal de communication avec les hackers.
Historiquement, de tels efforts ont produit des résultats mitigés. Dans certains piratages de haut niveau, le dialogue a conduit à une récupération partielle ou même totale des actifs, parfois sous l’étiquette d’un arrangement « white-hat ». Cela dit, dans d’autres situations, les attaquants ont ignoré les messages et ont continué à déplacer les fonds, laissant peu d’espoir de restitution aux victimes.
Dans ce cas, les équipes de sécurité et les fournisseurs d’analyses on-chain examinent également si le vol et les transferts subséquents montrent des schémas associés au cybercrime organisé. Cependant, toute attribution potentielle reste non confirmée, et l’accent est pour l’instant mis sur le suivi des flux et la préservation des preuves.
Comment l’attaque a contourné les smart contracts
L’exploitation de Drift se distingue car elle ne reposait pas sur un bug traditionnel de smart contract. Au lieu de cela, elle a exploité une faiblesse au niveau du système autour des nonces durables de Solana, une fonctionnalité légitime qui permet aux développeurs de préparer et de signer des transactions à l’avance pour une soumission ultérieure.
L’attaquant a utilisé des transactions pré-signées créées des semaines plus tôt, puis a réussi à obtenir un contrôle partiel sur la configuration de gouvernance multisig du protocole. Avec cette influence, ils ont désactivé ou contourné plusieurs contrôles de risque conçus pour protéger les fonds des utilisateurs. Par conséquent, une fois les protections affaiblies, le hacker a pu vider le capital de plusieurs coffres en succession rapide.
L’opération entière s’est déroulée rapidement, entraînant la perte de plus de la moitié de la valeur totale verrouillée de Drift Protocol. De plus, l’événement souligne à quel point la conception de la gouvernance et la gestion des clés peuvent être aussi critiques que le code des contrats pour protéger les plateformes DeFi.
Transferts cross-chain et concentration d’ETH volés
Après avoir vidé les coffres, l’attaquant n’a pas laissé les actifs sur Solana. Au lieu de cela, ils ont utilisé une infrastructure cross-chain pour déplacer les fonds vers Ethereum, convertissant une grande part en ETH. Les données on-chain, mises en évidence par des entreprises d’analyse comme Arkham, montrent environ 129 000 ETH maintenant répartis sur quatre portefeuilles clés.
Ce schéma correspond à une tendance plus large où les attaquants utilisent des fonds pontés cross-chain pour compliquer le suivi et la récupération. Cependant, de tels mouvements créent également des concentrations de valeur très visibles qui peuvent être surveillées en temps réel par les bourses, les forces de l’ordre et les chercheurs indépendants.
Malgré une surveillance active, il y a eu des critiques de certains membres de la communauté sur ce qu’ils considèrent comme une réponse opérationnelle lente. Plus précisément, les utilisateurs ont remis en question pourquoi certains tokens ou positions n’ont pas été gelés plus tôt ou couverts plus agressivement une fois que l’activité de gouvernance anormale a été détectée.
Soupçons de crime organisé et enquête en cours
Plusieurs observateurs de l’industrie ont spéculé sur d’éventuels liens entre l’attaquant et des organisations de cybercriminalité connues, surtout compte tenu de la sophistication de la prise de contrôle de la gouvernance et de la planification des transactions. Cela dit, les déclarations publiques de Drift et des équipes de sécurité externes soulignent qu’il n’y a pas encore d’attribution définitive.
Les forces de l’ordre et les groupes privés de réponse aux incidents coordonneraient leurs efforts pour suivre la piste des messages on-chain de la blockchain et les flux d’ETH volés. De plus, les enquêteurs examinent l’activité historique sur les portefeuilles impactés pour voir si des transactions plus anciennes se connectent à des entités précédemment signalées.
Pour l’instant, Drift s’est engagé à publier plus d’informations une fois que les audits tiers et les examens médico-légaux seront terminés. Les canaux sociaux du protocole, y compris son compte officiel X, ont été utilisés pour agréger les mises à jour et référencer les transactions on-chain clés pour la communauté.
Impact sur Drift, le token DRIFT, et la liquidité DeFi
Les répercussions s’étendent au-delà des pertes immédiates du protocole. Les données récentes indiquent que près de 20 projets DeFi interconnectés ont subi des effets en cascade de l’incident. Certains protocoles ont temporairement suspendu des services ou restreint certaines opérations pour prévenir une contagion potentielle et gérer l’impact sur la liquidité DeFi.
Le token natif DRIFT a réagi fortement, affichant une forte baisse alors que les nouvelles de l’exploitation et du compromis de gouvernance se répandaient. La confiance du marché dans les produits à effet de levier et les produits dérivés sur Solana a également été affectée, reflétant des réévaluations de risque plus larges par les traders professionnels et de détail.
Cependant, il est important de noter que la couche de base de Solana continue de fonctionner normalement. La violation s’est produite au niveau de l’application et de la gouvernance, et non en raison d’une défaillance du consensus ou du protocole. Cette distinction est importante pour la perception à long terme de l’écosystème et pour les investisseurs évaluant le risque des smart contracts.
Leçons pour la gouvernance et la conception de la sécurité
L’attaque souligne comment même un code bien révisé peut être compromis par des faiblesses dans les structures de gouvernance, le partage des clés et les processus opérationnels. Dans ce cas, le compromis partiel de la gouvernance multisig a permis à l’attaquant de militariser des transactions précédemment signées et des fonctionnalités légitimes du protocole.
Les experts en sécurité soutiennent que des politiques de rotation des clés plus robustes, des contrôles d’accès plus stricts et une surveillance en temps réel des actions de gouvernance auraient pu limiter les dégâts. De plus, des plans d’incidents plus clairs et des coupe-circuits automatisés pourraient aider les protocoles à réagir plus rapidement lorsque des changements anormaux dans les permissions ou le comportement des coffres se produisent.
Alors que l’enquête sur l’exploitation de Drift Protocol se poursuit, le cas est susceptible de devenir un point de référence pour les cadres de risque et les examens de sécurité à travers la DeFi. En résumé, l’incident souligne que les audits de code seuls ne suffisent pas ; une gouvernance résiliente, une gestion des clés et une surveillance cross-chain sont essentielles pour prévenir des pertes similaires à grande échelle.
