La plus grande attaque DeFi de 2026
Le 1er avril 2026, Drift Protocol, une des plateformes de trading décentralisé (DEX) les plus actives sur la blockchain Solana, a subi la plus grande attaque DeFi de l’année. En l’espace de 12 minutes, 285 millions de dollars en actifs numériques ont été drainés des contrats intelligents du protocole. Ce qui distingue cet incident des exploits DeFi habituels : aucun bug de smart contract n’a été exploité. L’attaque repose intégralement sur l’abus d’une fonctionnalité native de Solana et sur de l’ingénierie sociale ciblée contre les membres du Security Council du protocole.
Comprendre les durable nonces : une fonctionnalité Solana devenue arme
Sur la plupart des blockchains, les transactions expirent après un certain délai si elles ne sont pas incluses dans un bloc. Sur Solana, une fonctionnalité appelée “durable nonce” permet de contourner ce mécanisme : les transactions créées avec un durable nonce restent valides indéfiniment, jusqu’à ce qu’elles soient soumises ou explicitement révoquées.
L’usage légitime de cette fonctionnalité concerne les transactions qui nécessitent de multiples signatures collectées de façon asynchrone, notamment dans les protocoles gouvernés par des multisig. Un signataire peut approuver une transaction aujourd’hui, et elle peut rester en attente de la seconde signature pendant des semaines.
C’est précisément ce mécanisme que les attaquants ont détourné. Voici la séquence reconstituée par TRM Labs et Elliptic dans leurs analyses post-incident :
- Les attaquants ont préparé des transactions malveillantes utilisant des durable nonces, pré-signées depuis des adresses légitimes compromises ou usurpées.
- Via des campagnes d’ingénierie sociale ciblées, ils ont obtenu la signature de deux membres du Security Council de Drift Protocol, atteignant ainsi le seuil de validation du multisig 2/5.
- La soumission simultanée des transactions malveillantes a déclenché le drain des fonds en 12 minutes.
L’ingénierie sociale : vecteur d’attaque principal
Le Security Council de Drift Protocol est composé de cinq individus ayant des clés multisig. Un seuil de deux signatures suffit pour autoriser certaines transactions protocolaires, ce qui est standard dans la gouvernance DeFi. Les attaquants ont concentré leurs efforts sur les membres les plus accessibles.
Les méthodes utilisées combinent plusieurs techniques classiques des groupes APT nord-coréens documentés par le FBI et le Department of Treasury américain : faux recruteurs LinkedIn proposant des opportunités d’emploi attractives dans des fonds crypto, documents PDF piégés transmis sous couverture d’une offre contractuelle, et prises de contact progressives sur plusieurs semaines pour instaurer une relation de confiance avant l’exploitation.
Aucune vulnérabilité dans les smart contracts de Drift, aucun bug dans le code Solana. Uniquement deux humains manipulés.
Attribution à la Corée du Nord
TRM Labs et Elliptic, deux des principales sociétés d’analyse blockchain, ont publié des rapports attribuant l’attaque avec un niveau de confiance élevé à des acteurs affiliés à la Corée du Nord, probablement le groupe Lazarus ou une unité adjacente.
Les indicateurs ayant conduit à cette attribution incluent les patterns de mouvement des fonds post-attaque, identiques aux techniques observées lors de précédentes opérations nord-coréennes : conversion rapide en stablecoins, bridge vers Ethereum, fragmentation en centaines de transactions, puis utilisation de Tornado Cash pour brouiller les pistes. Ces patterns correspondent aux profils documentés dans les sanctions OFAC et les rapports du groupe d’experts de l’ONU sur la Corée du Nord.
Bloomberg a également rapporté que les communications interceptées entre les attaquants et les membres compromis du Security Council présentaient des caractéristiques linguistiques et opérationnelles cohérentes avec des acteurs nord-coréens.
Les fonds bridgés et blanchis en quelques heures
Dès la fin du drain, les 285 millions de dollars ont commencé leur parcours de blanchiment. La séquence documentée par Elliptic :
- Conversion immédiate des actifs natifs Solana (SOL, JitoSOL) en USDC et USDT
- Bridge vers Ethereum via des ponts décentralisés (Wormhole, Allbridge)
- Fragmentation en wallets intermédiaires
- Mixage via Tornado Cash pour rompre la traçabilité on-chain
- Reconversion partielle en Bitcoin via des exchanges décentralisés
La vitesse d’exécution indique une infrastructure préparée à l’avance : les scripts de post-exploitation étaient automatisés et prêts à fonctionner dès la validation du multisig.
Leçons pour les équipes sécurité DeFi
Cette attaque met en lumière plusieurs problèmes structurels dans la gouvernance des protocoles DeFi.
Le risque multisig sous-estimé. Un seuil 2/5 offre une surface d’attaque raisonnable en théorie, mais si les membres du conseil ne reçoivent pas de formation continue à la détection des attaques de social engineering, le seuil technique n’apporte qu’une fausse sécurité. Les équipes crypto gèrent des volumes financiers comparables à des institutions bancaires, mais sans les programmes de formation et de sensibilisation équivalents.
Les durable nonces doivent être auditées régulièrement. Tout protocole utilisant des multisig Solana devrait maintenir un registre des nonces actifs et invalider régulièrement les transactions en attente non justifiées. Une transaction pré-signée dormante depuis plusieurs semaines doit être considérée comme suspecte.
Les délais de timelock sont insuffisants sans surveillance. Des mécanismes de timelock (délai obligatoire avant exécution d’une transaction) auraient pu donner le temps à d’autres membres du Security Council de détecter l’anomalie. Mais un timelock sans monitoring automatique des transactions en file d’attente ne sert à rien.
La gestion des credentials des signataires. Les clés privées des membres de Security Council ne devraient jamais être stockées sur des machines connectées à internet, accessibles depuis un appareil ayant ouvert des pièces jointes non vérifiées, ou gérées sans solution de coffre-fort dédié.
Lectures recommandées
Ces liens sont des liens affiliés. Si vous effectuez un achat via ces liens, nous pouvons recevoir une commission, sans coût supplémentaire pour vous.
- Pro Cybersécurité : outils et plans d’action : couvre les stratégies de défense contre l’ingénierie sociale et la gestion des accès privilégiés, applicable aux équipes crypto comme aux entreprises traditionnelles.
- Analyser les risques en cybersécurité : méthodologie structurée pour évaluer les risques de gouvernance dans les systèmes distribués et les organisations décentralisées.
Pour les équipes qui gèrent des accès critiques à des protocoles DeFi, la protection des credentials est non négociable. NordPass offre un gestionnaire de mots de passe et de secrets adapté aux équipes techniques, permettant de centraliser et protéger les credentials sans les exposer sur des machines à risque.
Sources
- Drift Protocol Hack Loses $285M to North Korean Hackers - Fortune
- North Korea Behind $285M Drift Protocol Solana Exploit - Bloomberg
- TRM Labs Analysis: Drift Protocol Post-Mortem - TRM Labs
- Elliptic: Tornado Cash Patterns in Drift Protocol Exploit - Elliptic
- Drift Protocol $285M Hack: Durable Nonces and Multisig Compromise - The Hacker News
- CoinDesk: Drift Protocol Incident Report - CoinDesk
Publicité