#DriftProtocolHacked

Drift Protocol, l'une des plus grandes plateformes décentralisées de contrats à terme perpétuels et d'échanges spot construite sur la blockchain Solana, a été victime de l'une des exploitations les plus dévastatrices de l'histoire de la DeFi le 1er avril 2026. L'équipe a confirmé que l'incident n'était, selon leurs propres mots, « pas une blague du 1er avril ». Au moment où la poussière commença à se calmer, les estimations situèrent les pertes totales entre $200 millions et $285 millions, ce qui en fait le plus grand piratage crypto de 2026 jusqu'à présent, et l'attaque la plus dommageable sur la DeFi basée sur Solana depuis l'exploitation du pont Wormhole en 2022.

Le premier signe de problème est apparu vers 18h10 GMT lorsque l'équipe de Drift a signalé une activité inhabituelle sur la chaîne et a averti les utilisateurs de ne pas déposer de fonds. Moins d'une heure plus tard, vers 18h58 GMT, l'équipe a confirmé qu'une attaque active était en cours, a immédiatement suspendu tous les dépôts et retraits sur l'ensemble de la plateforme, et a commencé à coordonner une réponse d'urgence avec des sociétés de sécurité blockchain, des ponts et des échanges centralisés dans une tentative de geler ou de tracer les actifs volés.

La mécanique de l'attaque était sophistiquée, multi-étapes, et soigneusement préméditée. Les enquêteurs sur la chaîne ont révélé que l'attaquant avait testé l'exploit au moins huit jours avant l'attaque réelle, suggérant une longue période de préparation et de reconnaissance. Le cœur de l'attaque tournait autour d'un ensemble compromis de clés administratives de Drift. Que ces clés aient été des clés privées divulguées ou le résultat d'une compromission multisig impliquant plusieurs signataires reste à l'étude, mais le résultat était le même : l'attaquant a obtenu un contrôle administratif sur des paramètres critiques du protocole.

Avec l'accès administratif en main, l'attaquant a exécuté la séquence suivante. Tout d'abord, il a créé un jeton frauduleux appelé CarbonVote Token, abrégé CVT, et a établi une fausse pool de liquidité pour celui-ci sur Raydium. Par le biais de wash trading, ils ont artificiellement gonflé le prix apparent du CVT afin que l'oracle du protocole le reconnaisse comme un actif légitime de grande valeur. Deuxièmement, en utilisant les privilèges administratifs compromis, ils ont inscrit le CVT comme une forme de garantie acceptée dans le marché spot de Drift. Ils ont également utilisé ces droits administratifs pour désactiver les protections de retrait du protocole et augmenter la limite d'emprunt en USDC, passant de la limite standard de $25 millions à $500 millions. Troisièmement, armé d'une quantité massive de faux collatéral CVT sans valeur que le protocole reconnaissait désormais comme authentique, l'attaquant l'a déposé et a procédé à emprunter et à drainer de vrais actifs du pool principal de prêt et des coffres de Drift. Cela a été réalisé à travers environ 31 transactions sur la chaîne utilisant des fonctions du protocole telles que initializeSpotMarket et updateSpotMarketStatus. L'ensemble de l'opération de drainage aurait duré environ 12 minutes du début à la fin.

Les coffres affectés comprenaient le coffre JLP Delta Neutral, le coffre SOL Super Staking, et le coffre BTC Super Staking, entre autres. La répartition des actifs volés comprenait environ 155,6 millions de dollars en jetons JLP, 60,4 millions de dollars en USDC, et des montants supplémentaires en SOL, JitoSOL, cbBTC, et WETH. Les pertes totales représentaient environ 50 % de la valeur totale verrouillée de Drift, qui s’élevait à environ $540 millions avant l'attaque.

L'attaquant ne s'est pas arrêté après avoir drainé les coffres. Les fonds ont été rapidement échangés via Jupiter, le principal agrégateur de liquidités de Solana. Une partie a été routée via un portefeuille Backpack qui pourrait contenir des enregistrements KYC, ce que les enquêteurs ont noté comme une piste potentielle. Les actifs ont ensuite été transférés de Solana vers Ethereum, convertis en ETH, et blanchis via des plateformes telles qu’Hyperliquid et Monero. Selon le dernier rapport sur la chaîne, l'attaquant détenait environ 19 913 ETH d'une valeur d'environ $42 millions, avec plus de $82 millions déjà considérés comme blanchis au moment de la rédaction.

La réaction du marché a été immédiate et sévère. Le jeton DRIFT a chuté entre 25 et 50 % en quelques heures après la diffusion de la nouvelle. La TVL de Drift, qui s’élevait à environ 311,93 millions de dollars sur DeFiLlama au moment de l’incident, s’est effondrée. Plusieurs autres protocoles exposés à Drift, notamment Ranger Finance, Reflect Money, Elemental DeFi, et Project0, ont suspendu leurs opérations en tant que mesure de précaution en raison du risque interconnecté. L’incident a temporairement placé Drift Protocol en tête des tendances sur CoinGecko, alors que traders et chercheurs se précipitaient pour évaluer leur exposition.

Au 2 avril 2026, l’équipe de Drift n’avait pas publié de rapport officiel ou confirmé un chiffre précis de pertes. Les sociétés de sécurité ont donné des estimations variées : CertiK a estimé la perte à environ $136 millions, tandis qu’Arkham Intelligence a suivi une perte plus proche de $285 millions en actifs volés. La différence reflète probablement différentes méthodologies pour compter les actifs au moment du vol versus leur valeur après liquidation.

Pour tous ceux qui ont interagi avec Drift Protocol, la priorité immédiate est de révoquer toutes les approbations et permissions de jetons associées au protocole. Il est conseillé aux utilisateurs de vérifier leurs approbations de portefeuille à l’aide de Jup Portfolio scanner ou d’outils équivalents. Toute personne détenant des actifs dans les coffres affectés doit documenter ses positions et surveiller les communications officielles de Drift pour tout plan de récupération ou de compensation.

Cet événement rappelle brutalement le risque systémique que l’exposition aux clés administratives introduit dans les protocoles DeFi. Même les plateformes les plus auditées et éprouvées comportent une vulnérabilité de centralisation lorsque les privilèges administratifs existent sans contrôles multi-parties avec verrouillage temporel adéquat. L’exploitation de Drift n’était pas un bug de contrat intelligent au sens traditionnel. C’était une défaillance du contrôle d’accès qui a permis à un seul attaquant de réécrire unilatéralement les règles du protocole en cours de session. Jusqu’à la publication du rapport complet et l’établissement de la chaîne de garde des clés compromises, la situation reste incomplète.

La situation est encore en développement. La récupération est incertaine.