Le plus grand piratage DeFi de cette année a eu lieu la semaine dernière, le 1er avril, lorsque Drift Protocol, l'un des plus grands DEX perpétuels sur le réseau Solana, a subi un exploit qui a vu environ 286 millions de dollars disparaître du protocole. L'attaque était liée à des hackers nord-coréens et l'ensemble du piratage s'est déroulé en seulement 10 secondes. Ce qui est étonnant dans ce piratage, c'est sa nature méticuleuse. Aucun code n'a été cassé et aucun smart contract n'avait de bug. Les enquêtes menées par des sociétés de forensics crypto comme Elliptic et TRM Labs pointent en réalité vers un piratage beaucoup plus calculé.
Les attaquants nord-coréens ont passé trois semaines à fabriquer un faux token appelé CarbonVote, en le dotant de quelques milliers de dollars pour le faire paraître réel, tout en utilisant l'ingénierie sociale sur deux des cinq signataires multisig du Conseil de Sécurité de Drift pour qu'ils pré-signent des autorisations cachées qu'ils ne comprenaient pas entièrement. Suite à cela, ils ont ensuite utilisé une fonctionnalité Solana appelée "nonces durables" pour conserver ces signatures en réserve pendant plus d'une semaine, en attendant le bon moment. Il n'a fallu qu'une seule transaction le 1er avril.
Comme l'a noté Elliptic, cette attaque était le 18e piratage crypto lié à la Corée du Nord rien que cette année, siphonnant environ 300 millions de dollars de l'espace. Quatre jours après le piratage, le Directeur de la technologie (CTO) de Ledger a déclaré publiquement la nature alarmante du piratage et que l'IA fait baisser le coût de telles attaques "jusqu'à zéro". Cette déclaration compte beaucoup car le piratage de Drift est une étude de cas sur la façon dont ces opérations fonctionnent maintenant. Les attaquants n'avaient pas besoin d'une vulnérabilité zero-day ou d'un cryptographe de premier plan. Tout ce dont ils avaient besoin était de la patience, un faux token convaincant et deux humains qu'ils pouvaient manipuler. Le piratage a en fait exposé une vulnérabilité structurelle dans la DeFi / Finance Décentralisée telle qu'elle existe aujourd'hui. La DeFi / Finance Décentralisée construit une infrastructure de plusieurs milliards de dollars sécurisée par de petits groupes de personnes qui peuvent être trompés, tandis que les adversaires deviennent meilleurs à faire exactement cela.
Comment la Corée du Nord a volé 286 millions de dollars en 10 secondes
Le piratage du protocole Drift était un exploit sophistiqué qui s'est étendu sur trois semaines de préparation. Bloomberg a d'abord signalé la violation le 1er avril, lorsque le protocole Drift a confirmé qu'environ 286 millions de dollars d'actifs utilisateurs avaient été siphonnés. L'ensemble du stratagème a en fait commencé dès le 11 mars lorsque l'attaquant a retiré 10 ETH de Tornado Cash vers 9h heure de Pyongyang et l'a utilisé pour déployer le faux token, CarbonVote (CVT), un actif complètement fictif doté de quelques milliers de dollars de liquidité et maintenu en vie grâce au Wash Trading.
Au cours des deux semaines suivantes, entre le 23 et le 30 mars, l'attaquant a ouvert des comptes à nonces durables, une fonctionnalité légitime sur le réseau Solana qui permet aux transactions d'être pré-signées et conservées indéfiniment sans expirer. Pendant cette période, l'attaquant a utilisé l'ingénierie sociale sur deux des cinq signataires multisig du Conseil de Sécurité de Drift pour qu'ils approuvent des transactions qui semblaient normales mais, comme TRM Labs l'a confirmé plus tard, portaient des autorisations cachées pour un contrôle administratif critique.
La dernière pièce est tombée le 27 mars, lorsque Drift a migré son Conseil de Sécurité vers une nouvelle configuration de seuil 2/5 avec zéro timelock comme l'a rapporté BlockSec, ce qui a essentiellement supprimé le seul retard qui aurait permis à quiconque de comprendre ce qui allait arriver. Au moment où le 1er avril est arrivé, le piège était complètement chargé depuis des jours.
Le 1er avril, l'attaquant a utilisé ces approbations pré-signées pour lister CarbonVote comme collatéral valide, a gonflé sa valeur à des centaines de millions via une manipulation de prix oracle et la gouvernance a été saisie. De là, 31 transactions de retrait ont vidé les coffres de Drift en quelques secondes. Le plus gros morceau à lui seul comprenait plus de 155 millions de dollars de tokens JLP aux côtés de dizaines de millions en USDC, SOL, ETH et autres tokens de liquid staking drainés et la Valeur totale verrouillée sur le protocole s'est effondrée instantanément d'environ 550 millions de dollars à moins de 250 millions de dollars.
Cette vitesse du piratage n'est qu'une partie de cette histoire. Un plan détaillé qui a duré jusqu'à trois semaines et qui s'est terminé par un piratage de 10 secondes a montré à quel point la gouvernance, et non le code, peut facilement devenir le maillon faible de la DeFi / Finance Décentralisée.
La guerre crypto de 300 millions de dollars de la Corée du Nord en 2026
Ce piratage, prétendument perpétré par des attaquants liés à la Corée du Nord, n'est en aucun cas un événement isolé. En fait, si vous examinez certains des piratages les plus médiatisés au cours des dernières années, il devient évident qu'il s'agit d'une campagne beaucoup plus vaste menée par l'État. Cette année seulement, Elliptic a signalé que l'exploit Drift en fait le 18e vol de crypto-monnaies attribué à la RPDC, poussant le montant total des fonds siphonnés au-delà de 300 millions de dollars jusqu'à présent cette année. Si vous regardez au-delà de cette année, l'ampleur de tels piratages d'un seul pays devient très difficile à ignorer. L'année dernière, des acteurs liés à la Corée du Nord ont volé entre 1,92 milliard de dollars selon TRM Labs tandis que Chainalysis place ce chiffre à 2,02 milliards de dollars en crypto. Cela a marqué une augmentation de 51 % d'une année sur l'autre des piratages effectués par ce groupe et a porté leur vol total à 6,75 milliards de dollars.
La Corée du Nord a représenté un record de 76 % de toutes les compromissions de services en 2025, ce qui signifie qu'un seul pays est responsable de l'écrasante majorité des vols ayant lieu dans l'industrie. Dans ce contexte, le piratage de Drift, qui est maintenant le deuxième plus grand exploit au sein de l'Écosystème Solana après la violation de Wormhole en 2022, s'inscrit dans un schéma d'attaques.
Ce qui définit ce schéma, c'est la cohérence. Le piratage de Bybit en février 2025, le plus grand vol de crypto de l'histoire, avait des configurations presque identiques qui incluaient l'ingénierie sociale, l'accès compromis et l'échange de fonds coordonné. TRM Labs note que les opérateurs de la RPDC s'appuient de plus en plus sur des réseaux de "blanchisserie chinoise" pour des fonds transférés entre différentes chaînes en quelques heures.
L'attaque Drift montre en fait un système d'équipes soutenues par l'État menant des opérations de plusieurs semaines avec reconnaissance, manipulation humaine et infrastructure de blanchiment mondiale déjà en place.
L'IA fait baisser les coûts d'attaque "jusqu'à zéro" : avertissement du Directeur de la technologie (CTO) de Ledger
Quatre jours après le drainage de Drift, le Directeur de la technologie (CTO) de Ledger, Charles Guillemet, a déclaré à CoinDesk quelque chose qui a recadré tout l'incident. "Trouver des vulnérabilités et les exploiter devient vraiment, vraiment facile", a-t-il dit. "Le coût baisse jusqu'à zéro." Guillemet n'a pas nommé Drift, mais il a décrit ses mécanismes exacts. L'IA n'aide pas seulement les attaquants à trouver des bugs de code plus rapidement, elle rend l'ingénierie sociale plus convaincante, le phishing plus personnalisé, et le travail de préparation que les opérateurs nord-coréens ont passé trois semaines à faire sur Drift moins cher et plus évolutif d'un ordre de grandeur. Il a également souligné un problème aggravant du côté défensif : à mesure que de plus en plus de développeurs s'appuient sur du code généré par l'IA, les vulnérabilités pourraient se propager plus rapidement que les réviseurs humains ne peuvent les détecter. "Il n'y a pas de bouton 'rendre sécurisé'", a-t-il dit. "Nous allons produire beaucoup de code qui sera non sécurisé par conception." Les piratages et exploits ont causé 1,4 milliard de dollars de pertes en crypto au cours de l'année écoulée, et la projection de Guillemet est que la courbe devient plus raide, pas plus plate.
Le piratage de Drift est la preuve de concept la plus claire de cet avertissement. Les attaquants n'ont jamais touché le code, ils ont ciblé les deux humains détenant les clés. L'IA n'a pas besoin de casser un Smart Contract (Contrat Intelligent) si elle peut générer un prétexte suffisamment convaincant pour tromper un signataire multisig en approuvant une transaction qu'il ne comprend pas complètement. Guillemet s'attend à ce que l'industrie se divise : les systèmes critiques comme les portefeuilles et les protocoles de base investiront massivement dans la Colonne de sécurité et s'adapteront, mais une grande partie de l'écosystème logiciel plus large pourrait avoir du mal à suivre le rythme. Ses correctifs recommandés, la vérification formelle utilisant des preuves mathématiques, l'isolation matérielle pour les clés privées, sont structurellement solides mais nécessitent un niveau de discipline institutionnelle que la plupart des protocoles DeFi / Finance Décentralisée, y compris Drift, n'ont pas encore intégré. "Lorsque vous avez un appareil dédié non exposé à Internet, il est plus sécurisé par conception", a-t-il dit. Le Conseil de Sécurité de Drift n'avait pas un tel tampon. Deux signatures, zéro timelock et un faux token, c'est tout ce qu'il a fallu.
Ce qui se passe ensuite : récupération de Drift et réponse de l'industrie
Ce qui se passe ensuite pour Drift Protocol est loin d'être clair et les premiers signaux divisent déjà l'industrie. Dans l'immédiat, Anatoly Yakovenko a suggéré une voie de Récupération des actifs potentielle : émettre un Jetons de dépôt de style IOU aux utilisateurs affectés, imitant le playbook de Bitfinex en 2016 après son piratage de 72 millions de dollars.
L'idée est simple — socialiser les pertes maintenant, rembourser les utilisateurs au fil du temps si le protocole se rétablit. Mais le contexte est très différent. La TVL de Drift a été réduite de près de moitié, les dépôts et les retraits restent suspendus, et contrairement à Bitfinex, il manque un moteur de revenus centralisé pour soutenir ces passifs. Cela a conduit à un rejet immédiat : les tokens IOU, dans ce cas, risquent de devenir des instruments purement spéculatifs sans voie claire vers le remboursement.
Dans le même temps, l'activité on-chain soulève de nouvelles préoccupations. Onchain Lens a signalé qu'un portefeuille lié à l'équipe Drift a déplacé 56,25 millions de tokens DRIFT (≈2,44 millions de dollars) vers des échanges centralisés, y compris Bybit et Gate, peu après l'exploit, un mouvement qui précède généralement une pression de vente et a alimenté les spéculations sur le positionnement interne pendant une crise de liquidité.
Pendant ce temps, les fonds de l'attaquant ont déjà été transférés entre les chaînes, notamment vers Ethereum, réduisant la probabilité d'une Récupération des actifs significative à chaque jour qui passe. L'implication plus large est que cet incident ne se terminera pas avec Drift. Il est susceptible d'accélérer l'examen à l'échelle de l'industrie autour de la gouvernance DeFi / Finance Décentralisée elle-même, des normes de Sécurité du compte multisig et des exigences de timelock à la conception d'oracle et aux contrôles d'exécution. Ce qui suit dépend de trois variables : si Drift peut présenter un plan de récupération crédible, si une partie des fonds peut être tracée ou gelée, et si cela force finalement une réforme structurelle, ou devient juste une autre leçon coûteuse que l'industrie dépasse.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y avec notre newsletter.
Source : https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
