Blog

Drift : le piratage prend une tournure encore plus inquiétante
Drift : une tournure inquiétante

Drift : le piratage prend une tournure encore plus inquiétante

Le dossier Drift Protocol prend une tournure encore plus grave. Ce qui ressemblait au départ à un énorme hack DeFi apparaît désormais comme une opération d’ingénierie sociale structurée, lente et méthodique, préparée pendant environ six mois.

Selon les dernières explications publiées par Drift, l’attaque du 1er avril 2026, estimée à environ 280 millions de dollars, serait liée à un groupe ayant mené une véritable campagne d’infiltration dans l’écosystème crypto.

Et le plus inquiétant est ailleurs : l’équipe estime avec un niveau de confiance “moyen à élevé” que cette opération serait connectée aux mêmes acteurs alignés sur la Corée du Nord déjà suspectés dans d’autres piratages majeurs.

📖 Drift piraté : plus de 200 millions de dollars envolés sur Solana

Une attaque préparée pendant des mois

Contrairement à de nombreux hacks opportunistes, cette opération n’a pas été improvisée. Drift explique que le premier contact remonterait à l’automne 2025, lors d’une grande conférence crypto.

À ce moment-là, des individus se présentant comme une société de trading quantitatif auraient approché des contributeurs du protocole en affichant un intérêt apparemment légitime pour une future intégration.

Le scénario est particulièrement troublant, car tout a été construit comme une relation professionnelle normale :

  • prise de contact lors d’un événement du secteur,
  • création d’un groupe Telegram,
  • échanges répétés pendant plusieurs mois,
  • et nouvelles rencontres lors de conférences internationales.

En clair, les attaquants n’ont pas essayé de casser la porte immédiatement. Ils ont d’abord gagné de la crédibilité.

Les attaquants ont même injecté leur propre argent dans le protocole

L’un des éléments les plus marquants de cette affaire est le comportement des assaillants entre décembre 2025 et janvier 2026.

Selon Drift, le groupe a ouvert un Ecosystem Vault sur le protocole et y a déposé plus d’un million de dollars de son propre capital.

Ce geste avait un objectif simple : paraître totalement légitime.

Les individus impliqués ont :

  • rempli les formulaires stratégiques habituels,
  • participé à des sessions de travail avec les équipes,
  • et suivi le parcours attendu d’un acteur sérieux voulant collaborer avec Drift.

Autrement dit, ils ont utilisé les codes normaux du secteur pour construire une couverture crédible. C’est précisément ce qui rend cette affaire si inquiétante.

Deux voies de compromission possibles

L’analyse forensique de Drift a permis d’identifier deux vecteurs probables d’intrusion.

1. Un dépôt de code piégé

Dans le premier scénario, un contributeur de Drift aurait cloné un dépôt de code fourni par ce faux groupe de trading. Ce dépôt était présenté comme un outil destiné à déployer une interface liée à leur coffre-fort numérique.

Le problème est qu’un dépôt ou un dossier malveillant peut, dans certains contextes, exploiter des vulnérabilités d’environnement de développement, notamment autour d’éditeurs comme VS Code ou Cursor.

Dans ce type de scénario, le simple fait d’ouvrir un projet peut suffire à exécuter du code non désiré.

2. Une fausse application via TestFlight

Le second scénario implique un autre contributeur qui aurait été incité à installer une application bêta via TestFlight d’Apple.

Cette application était présentée comme le portefeuille du groupe. En réalité, elle aurait servi de point d’entrée à la compromission.

On retrouve ici un classique du piratage moderne : l’utilisateur ne se fait pas “forcer”, il se fait convaincre.

Le protocole n’a pas été vidé à cause d’un simple bug

Drift insiste sur un point très important : l’attaque ne serait pas liée à une faille traditionnelle de smart contract.

Le protocole décrit plutôt une attaque inédite exploitant les “durable nonces” de Solana.

Ces nonces durables sont une fonctionnalité légitime qui permet de pré-signer des transactions afin de les exécuter plus tard. Utilisée correctement, cette mécanique est utile. Utilisée par un attaquant, elle devient redoutable.

Selon Drift, les assaillants auraient réussi à obtenir à l’avance plusieurs approbations multisignatures, probablement via tromperie ou manipulation.

Une fois ces autorisations obtenues, ils auraient pu les exécuter au moment idéal pour prendre le contrôle administratif du Security Council et vider le protocole en quelques minutes.

Ce point est essentiel, car il montre que le problème n’était pas seulement technique. Il était aussi profondément humain et organisationnel.

Drift relie l’opération à des acteurs nord-coréens

C’est évidemment l’un des aspects les plus sensibles de l’affaire. Avec le soutien de SEAL 911, Drift estime que l’opération présente des similitudes fortes avec des campagnes déjà associées à des groupes nord-coréens.

L’équipe cite notamment des recoupements avec les auteurs soupçonnés du piratage de Radiant Capital en octobre 2024.

Les noms qui reviennent dans ce type d’analyse sont désormais connus dans le secteur cyber :

  • UNC4736,
  • AppleJeus,
  • ou encore Citrine Sleet.

Ces structures sont régulièrement liées à des opérations sophistiquées attribuées à des groupes soutenus par l’appareil d’État nord-coréen.

Drift souligne un détail très important : les personnes rencontrées physiquement lors des conférences n’étaient pas forcément nord-coréennes. Cela correspond à des méthodes déjà observées dans d’autres campagnes, où des intermédiaires servent à établir le contact et à rassurer les cibles.

Autrement dit, on ne parle pas ici de petits escrocs improvisés. On parle potentiellement d’une opération hybride entre cybercriminalité et renseignement étatique.

232 millions d’USDC auraient quitté Solana sans être gelés

Autre point très sensible du dossier : l’enquêteur on-chain ZachXBT a affirmé que l’attaquant aurait transféré environ 232 millions de dollars en USDC de Solana vers Ethereum via CCTP en seulement six heures.

Et selon lui, aucun fonds n’aurait été gelé pendant cette fenêtre critique.

Cette critique vise directement Circle, l’émetteur de l’USDC. Si cela se confirme, cela relancerait une question très embarrassante pour les stablecoins centralisés : peuvent-ils vraiment agir à temps quand tout se joue en quelques heures ?

Ce point n’est pas secondaire. Car si un actif présenté comme contrôlable et gelable n’est pas stoppé au moment critique, sa promesse opérationnelle devient beaucoup moins convaincante.

Le plus gros hack DeFi de 2026 à ce jour

Avec environ 280 millions de dollars dérobés, le piratage de Drift devient le plus gros hack DeFi de 2026 à ce stade.

Il se classe également parmi les plus gros incidents de sécurité jamais observés sur Solana, juste derrière le piratage du pont Wormhole en 2022.

Mais le plus important n’est pas seulement le montant. Ce qui change vraiment la lecture de l’événement, c’est le niveau de sophistication humaine impliqué dans la préparation.

Cette affaire montre que les plus grandes attaques de demain ne viendront pas forcément d’un bug trouvé dans un smart contract. Elles viendront aussi de :

  • relations construites sur plusieurs mois,
  • applications piégées,
  • faux partenaires,
  • et erreurs humaines bien exploitées.

Une leçon brutale pour toute l’industrie crypto

L’affaire Drift envoie un signal très clair à toute l’industrie : la sécurité crypto ne se joue plus uniquement dans le code.

Elle se joue aussi dans :

  • les conférences,
  • les outils de travail,
  • les comportements humains,
  • les fausses identités crédibles,
  • et la capacité des équipes à résister à la manipulation.

Plus l’écosystème crypto se professionnalise, plus il attire des adversaires capables de mener des opérations longues, coûteuses et très bien préparées.

Et ça, beaucoup de protocoles ne semblent toujours pas l’avoir intégré sérieusement.

👉 🔍 DUC Mon Avis : Drift n’a pas seulement été hacké, il a été infiltré

Pour moi, c’est ça le point le plus important de cette affaire. On ne parle pas juste d’un protocole qui a subi un exploit. On parle d’une équipe qui aurait été approchée, observée, contournée, manipulée et infiltrée pendant des mois.

Et cette nuance change tout. Parce qu’elle montre que la prochaine grande faiblesse de la crypto ne sera pas toujours purement technique. Elle sera souvent humaine.

Et c’est aussi là que Bitcoin garde, à mon avis, un énorme avantage culturel. Dans l’univers Bitcoin, la paranoïa sur la sécurité, les permissions et les surfaces d’attaque est beaucoup plus ancienne, plus enracinée et souvent plus saine.

Bref : Drift vient de rappeler brutalement une vérité simple. Quand la confiance humaine tombe, le multisig seul ne suffit plus.

✍️ Article rédigé par DUC
📌 Source : Drift Protocol

actualités redigées par DUC et revue de presse de tout l écosystèmes de la cryptomonnaies
Tout l’écosystèmes des cryptomonnaies

🚀 Rejoignez-moi sur YouTube et Twitch pour plus de contenu exclusif !

📢Prendre des décisions informées dans cet univers passionnant ! Comprendre, Apprendre, Réussir…

🔔 Abonnez-vous et activez les notifications pour ne manquer aucun contenu :

  • Sur YouTube : Toutes les actualités Bitcoin. Un oeil sur tout le Web3
  • Sur Twitch : Des lives interactifs, des Q&A, et des discussions en temps réel sur Bitcoin (politiques , techniques, minages etc) et les mouvements du marché des cryptomonnaies.

À bientôt, DUC

En savoir plus sur Actualités Bitcoin – Bitcoin-Crypto.fr

Subscribe to get the latest posts sent to your email.

DUC Bitcoin

DUC, spécialiste Bitcoin, vous ouvre les portes de l’univers crypto. Plongez chaque jour au cœur de l’actualité Bitcoin et profitez de formations claires et complètes pour tout comprendre, des bases de Bitcoin jusqu’aux stratégies de trading avancé. Rejoignez-moi pour décoder tous les marchés, suivre les tendances clés et progresser avec méthode dans l’écosystème Bitcoin.