Le 1er avril 2026, tout s’est effondré sur Solana (SOL). Drift Protocol a été touché par une compromission de 285 millions de dollars, et en l’espace de quelques heures, son token a chuté violemment. L’impact ne s’est pas arrêté là, il s’est rapidement propagé à d’autres protocoles connectés.
Cette analyse repose sur des reportages et une étude de Coin Bureau, avec 2,73m susbcibers, qui a couvert l’intégralité de la chronologie de l’exploitation et la manière dont elle s’est déroulée en coulisses.
Au début, les gens ont supposé la cause habituelle : un bug de smart contract ou une faille technique. Mais ce n’était pas le cas. Aucun code n’a été cassé. Aucune vulnérabilité n’a été exploitée.
Cette attaque a été construite autour des personnes, pas du code.
L’opération a commencé des mois plus tôt, quelque part à la fin de 2025. Elle s’est installée discrètement, avec un groupe se faisant passer pour une société de trading professionnelle et approchant des contributeurs de Drift lors de conférences. Ils semblaient crédibles, compétents, et profondément familiers à la fois avec le trading et l’infrastructure.
Au fil du temps, ils ont tissé des relations. Ils ont rejoint des discussions privées, partagé des idées et collaboré sur des stratégies. Pour renforcer leur image, ils ont même déposé plus de 1 million de dollars sur la plateforme. Ce seul mouvement les a fait paraître sérieux et dignes de confiance.
Pas à pas, ils ont obtenu un accès interne sans jamais forcer leur entrée.
- Comment les attaquants sont entrés
- L’erreur critique qui a rendu tout cela possible
- Comment 285M$ a été vidé en quelques minutes
- Ce que cela change pour la crypto
Comment les attaquants sont entrés
Une fois la confiance installée, les attaquants ont introduit des outils malveillants déguisés en processus normaux. Ils ont partagé un dépôt GitHub qui ressemblait à une intégration standard. Mais caché à l’intérieur se trouvait du code conçu pour compromettre discrètement le système d’un développeur dès le moment où il était ouvert.
Il n’y avait aucun avertissement et aucun signe évident. Tout semblait normal.
Cependant, un contributeur a été convaincu de télécharger une application factice, en pensant qu’elle servait à tester un nouveau wallet. Cela a donné aux attaquants un accès plus profond aux systèmes internes.
Désormais, ils ne se contentaient pas d’observer : ils étaient à l’intérieur d’une infrastructure critique, y compris les systèmes utilisés pour approuver les transactions.
_****Voici le prix de Bittensor (TAO) si ça capte un marché IA de 60B**
L’erreur critique qui a rendu tout cela possible
Même avec ce niveau d’accès, les attaquants avaient encore besoin d’un moyen de prendre le contrôle total sans être arrêtés. Cette opportunité est venue d’une simple erreur, mais sérieuse.
Drift avait supprimé son timelock administratif lors d’une mise à jour de routine. Normalement, cette fonctionnalité crée un délai avant l’exécution d’actions importantes, donnant aux équipes le temps de repérer quelque chose de suspect.
Sans cela, les transactions pouvaient passer instantanément.
À peu près au même moment, les attaquants ont convaincu des membres de l’équipe de signer ce qui semblait être des transactions administratives de routine. En réalité, ces signatures cédaient le contrôle total du protocole.
Aucune alarme n’a été déclenchée.
Comment 285M$ a été vidé en quelques minutes
Une fois tout en place, l’attaque a progressé rapidement. Les attaquants ont créé un token factice et ont manipulé son prix pour donner l’impression qu’il valait 1 $. Ils l’ont ensuite listé comme collatéral valide au sein du protocole.
Sur le papier, il semblait qu’ils détenaient des centaines de millions d’actifs.
En utilisant ce collatéral fictif, ils ont commencé à emprunter de vrais actifs depuis le système. De grandes quantités de liquidité ont été retirées sur plusieurs pools, y compris des tokens majeurs comme Solana (SOL) et du Bitcoin tokenisé (wrapped Bitcoin).
En quelques minutes, plus de 150 millions de dollars avaient déjà été vidés. Le reste a suivi peu après.
Les fonds volés ont été convertis en stablecoins et déplacés hors du réseau. Ils ont ensuite été bridgés vers Ethereum et distribués sur de nombreux wallets, ce qui a rendu la récupération extrêmement difficile.
Plus tard, des sociétés de sécurité ont lié l’attaque à un groupe nord-coréen connu pour mener des opérations similaires. Ce n’était pas le fruit du hasard, ni quelque chose fait dans la précipitation. C’était planifié sur des mois et exécuté avec précision.
Le même groupe a été associé à des exploits passés, mais celui-ci a révélé un niveau plus élevé de coordination et d’ampleur.
Ce que cela change pour la crypto
Cet incident déplace l’attention vers la sécurité en crypto. Pendant des années, la principale préoccupation a été les vulnérabilités de smart contracts. Les projets ont investi massivement dans des audits et des revues de code, et Drift n’a pas fait exception.
Mais cette attaque ne ciblait pas le code. Elle ciblait la confiance.
Les développeurs, les contributeurs et les processus internes sont devenus des points d’entrée. Les attaquants n’ont pas cassé le système : ils ont appris à s’en contourner en exploitant l’interaction humaine.
Cela change la façon dont la sécurité doit être abordée à l’avenir.
La perte de 285 millions de dollars ne représente pas seulement un autre exploit. Elle montre que même des systèmes bien audités peuvent échouer si la couche humaine est exposée.
DeFi ne concerne désormais pas seulement le code sécurisé. Il s’agit de sécuriser les personnes et les processus qui se trouvent derrière. Et comme le montre ce cas, c’est peut-être la partie la plus difficile à protéger.
