Six mois de préparation pour douze minutes d'exécution. Le 1er avril 2026, le groupe nord-coréen UNC4736 a siphonné 285 millions de dollars de Drift Protocol sur Solana. Ce n'était pas un bug de code : c'était une opération de renseignement combinant ingénierie sociale contre des contributeurs individuels, manipulation d'oracles, abus des durable nonces de Solana et une migration de gouvernance dont le timelock a été supprimé pour accélérer le processus. Et ça a fonctionné.
Cet article reconstruit l'opération dans ses trois couches — humaine, technique et de gouvernance —, la situe aux côtés des grands piratages récents (Bybit, Wormhole, Ronin) et en tire des leçons concrètes pour quiconque détient des fonds dans un protocole DeFi. Ce n'est pas un simple post-mortem technique de plus : c'est une étude de cas sur la manière dont un acteur étatique sanctionné peut transformer une petite chaîne humaine de confiance en 285 millions évaporés le temps d'un café.
Contexte éditorial : cet article est informatif et ne constitue pas un conseil en investissement ni une recommandation sur l'utilisation de Drift ou d'autres protocoles. Son objectif est de documenter l'incident et les pratiques opérationnelles qui l'ont rendu possible. Les noms de groupes, d'outils et de protocoles sont utilisés exclusivement à des fins d'analyse de sécurité publique.
Que s'est-il passé avec Drift Protocol les 1er et 2 avril 2026 ?
Drift est l'un des plus grands protocoles de dérivés perpétuels du réseau Solana. Le 1er avril 2026 à 16h05 UTC, un acteur inconnu a activé une chaîne de transactions pré-signées qui ont transféré l'autorité administrative du protocole à une adresse sous son contrôle. Dix secondes plus tard, il avait vidé les coffres principaux. Au total, environ 285 millions de dollars en actifs réels — USDC, JLP, cbBTC, USDT et plusieurs autres — ont été dérobés, soit plus de 50 % de la valeur totale verrouillée (TVL) du protocole à ce moment-là.
| Actif siphonné | Valeur (USD) | % du total |
|---|---|---|
| JLP (Jupiter LP Token) | 159 300 000 | 55,9% |
| USDC (Circle) | 71 400 000 | 25,1% |
| cbBTC (Coinbase Wrapped BTC) | 11 300 000 | 4,0% |
| USDT (Tether) | 5 600 000 | 2,0% |
| USDS (Sky / MakerDAO) | 5 300 000 | 1,9% |
| Autres (WETH, dSOL, WBTC, etc.) | 32 100 000 | 11,1% |
| Total | 285 000 000 | 100% |
Ce vol fait de Drift le plus grand exploit DeFi de 2026 à ce jour et le deuxième incident le plus important de l'histoire de Solana, juste après le pont Wormhole en 2022. Mais le plus pertinent n'est pas le titre : c'est que les attaquants n'ont pas exploité une erreur dans le code de Drift. Ce qu'ils ont exploité, ce sont les personnes et les processus qui entourent ce code.
Qui est UNC4736 et pourquoi a-t-il attaqué Drift ?
Le groupe auquel l'attaque est attribuée est suivi sous plusieurs étiquettes dans l'industrie : UNC4736, AppleJeus, Citrine Sleet ou Golden Chollima. Il s'agit d'une unité spécialisée du renseignement nord-coréen qui opère dans le secteur crypto depuis au moins 2018, et dont la mission principale n'est pas l'enrichissement personnel mais la génération de devises pour financer les programmes militaires du régime de Pyongyang — y compris les sous-marins nucléaires et les satellites de reconnaissance.
Des cabinets comme CrowdStrike, Chainalysis et TRM Labs ont attribué l'attaque à UNC4736 avec une confiance moyenne à élevée en se basant sur le modus operandi, l'architecture financière du blanchiment et les schémas de réutilisation des infrastructures. En 2025, les acteurs liés à la RPDC étaient responsables de 76 % de toutes les compromissions de services crypto dans le monde. Ce n'est pas un groupe d'amateurs : c'est une force industrielle.
| Caractéristique | UNC4736 / Golden Chollima |
|---|---|
| Affiliation | État-nation (RPDC) |
| Précédents pertinents | 3CX (2023), Radiant Capital 53 M$ (2024), Bybit 1 500 M$ (février 2025) |
| Tactique distinctive | Ingénierie sociale de longue durée + malware de niche |
| Objectif financier | Financement de sous-marins, satellites et armement stratégique |
| Horizon temporel de l'opération | Six mois ou plus avant l'exécution |
Comme nous l'avons déjà analysé en étudiant les piratages de ponts DeFi, la sophistication du groupe Lazarus et de ses sous-unités a évolué de l'envoi massif de phishing vers la construction d'identités quasi-parfaites et l'infiltration multicouche. Drift démontre que cette menace ne se limite plus aux ponts : elle atteint les protocoles natifs d'une L1.
Comment les attaquants ont-ils construit leur point d'entrée en six mois ?
L'opération a officiellement débuté à l'automne 2025. Les attaquants se sont présentés comme une société légitime de trading quantitatif, avec des profils LinkedIn résistant à un examen de base, des antécédents professionnels vérifiables et une présence physique à des conférences internationales pour établir des liens avec les principaux contributeurs de Drift. La clé a été de remplacer la friction du phishing par la chaleur d'un contact humain prolongé.
Pour formaliser la relation, ils ont proposé d'intégrer une "Ecosystem Vault" dans Drift. Entre décembre 2025 et janvier 2026, les agents ont interagi de manière constante avec l'équipe, démontrant une connaissance technique détaillée de la plateforme. Et ils ont franchi l'étape décisive : ils ont déposé plus d'un million de dollars de leurs propres fonds dans le protocole. Ce n'était pas une perte. C'était le prix opérationnel pour entrer dans les canaux de confiance internes.
En parallèle, ils ont exécuté des compromissions techniques latérales contre les postes de travail de contributeurs clés. Deux vecteurs ont été clairement identifiés :
- Projets VS Code piégés : un contributeur a cloné un dépôt partagé "pour collaborer sur le frontend du coffre". Le projet utilisait une configuration malveillante du fichier
tasks.jsonpour exécuter des commandes automatiquement lors de l'ouverture du dossier dans l'éditeur. - Applications distribuées via TestFlight : un second contributeur a été incité à télécharger un prétendu portefeuille en version bêta via le programme de test d'Apple. L'application contenait une porte dérobée (backdoor) qui extrayait les cookies de session et les identifiants.
Le schéma est le même que celui que nous avons vu dans d'autres exploits visant les développeurs DeFi en 2026 : l'environnement de développement est le vecteur, pas le protocole en production. Si vous partagez un dossier avec quelqu'un, ce dossier est déjà une attaque potentielle.
Comment l'oracle a-t-il été manipulé pour fabriquer une valeur fictive ?
À partir de mars 2026, l'opération s'est déplacée sur la blockchain. Le 12 mars, les attaquants ont déployé sur Solana un jeton appelé CarbonVote (CVT), financé par des fonds précédemment extraits via Tornado Cash. Le jeton était purement fictif : ils contrôlaient environ 80 % de l'offre totale de 750 millions d'unités.
Pour lui donner l'apparence d'un actif ayant une valeur réelle, ils ont mené une campagne de manipulation de liquidité sur Raydium. Avec seulement quelques milliers de dollars de liquidité authentique, des bots de wash trading ont généré un historique de prix stable autour de 1 USD. La pièce finale a été d'insérer ce prix manipulé dans la logique de risque de Drift via un oracle SwitchboardOnDemand qu'ils contrôlaient eux-mêmes.
| Paramètre du jeton fictif CVT | Valeur |
|---|---|
| Date de création | 12 mars 2026 |
| Offre totale | 750 000 000 CVT |
| Offre contrôlée par l'attaquant | ~80% (600 000 000 CVT) |
| Prix manipulé | ~1,00 USD |
| Liquidité réelle initiale | 500 à 3 000 USD |
| Oracle de prix | SwitchboardOnDemand (sous contrôle de l'attaquant) |
Les systèmes de risque automatisés de Drift ont ingéré ce signal comme des données légitimes. Aux yeux du protocole, le CVT était un actif d'un milliard de dollars en circulation avec un volume stable. Aux yeux de quiconque regardait la pool sur Raydium, c'était un jeton avec trois mille dollars de liquidité.
Que sont les durable nonces de Solana et comment sont-ils devenus une arme ?
Une transaction standard sur Solana nécessite un blockhash récent, qui expire en environ 90 secondes. Cela empêche qu'une transaction signée aujourd'hui soit exécutée dans une heure. Les durable nonces sont une exception : ils utilisent un compte spécial avec une valeur de nonce persistante qui permet de signer des transactions qui n'expirent pas. Cette fonction existe pour des scénarios légitimes comme la signature hors ligne et la garde institutionnelle où l'exécution différée fait partie de la conception.
Entre le 23 et le 30 mars, les attaquants ont profité des relations construites pendant des mois pour inciter les membres du Security Council de Drift à signer une série de transactions liées à des durable nonces. Ils se sont présentés comme effectuant une maintenance de routine ou des étapes techniques d'une migration de gouvernance planifiée. Les signataires voyaient des instructions plausibles ; ce qu'ils ne voyaient pas, c'est que les transactions contenaient, de manière cachée, le transfert de l'autorité administrative du protocole vers l'adresse de l'attaquant.
Parce que les durable nonces n'expirent pas, les attaquants ont pu accumuler les signatures de manière asynchrone et les laisser "en réserve" sans que rien d'anormal n'apparaisse sur la chaîne. Le cheval de Troie était à l'intérieur, attendant l'impulsion.
Pourquoi la migration de gouvernance du 27 de mars a été l'erreur fatale ?
Le 27 mars, Drift a exécuté une migration programmée de son Security Council vers une nouvelle configuration multisig 2-sur-5. Pour rendre le processus plus agile, l'équipe a temporairement supprimé le timelock — la période d'attente obligatoire entre la proposition d'une action administrative et son exécution.
Un timelock de 24-48 heures aurait été suffisant pour que, lors du déclenchement de la transaction malveillante, un autre membre du conseil ou même la communauté détecte l'anomalie et exécute une révocation. Sans timelock, l'exécution est instantanée et définitive. Au 30 mars, les attaquants avaient déjà obtenu des signatures valides de l'ancien et du nouveau multisig. Ils avaient un contrôle total latent avant même la fin du mois.
Ce schéma — un Security Council restreint combiné à une fenêtre sans timelock — est le même vecteur qui a transformé la faille de Ronin (2022) en une perte de 625 M$. Comme nous l'avons revu dans la liste historique des grands piratages, les failles au niveau de la gouvernance sont aujourd'hui la première cause de pertes systémiques, devant les bugs de code.
Comment le siphonnage a-t-il été exécuté en douze minutes ?
Le 1er avril à 16h05 UTC, les attaquants ont déclenché les transactions pré-signées. Comme ils disposaient de signatures valides et qu'il n'y avait pas de timelock, Solana a traité le changement d'administration instantanément. À partir de là, la séquence a été automatisée :
- Whitelisting du CVT : le jeton fictif a été ajouté comme collatéral accepté dans tout le protocole.
- Suppression des limites : les limites de retrait ont été supprimées et les paramètres de risque ont été ajustés pour permettre un effet de levier maximal.
- Dépôt + prêt : les attaquants ont déposé 500 millions de CVT valorisés artificiellement à 500 M$, et ont retiré 285 M$ en actifs réels contre ce collatéral fictif.
Selon l'analyse de PIF Research Labs, les principaux retraits ont été exécutés dans un intervalle de dix secondes entre la première et la dernière transaction de sortie. Au moment où les moniteurs internes de Drift ont détecté l'anomalie et tenté de mettre le protocole en pause, les fonds avaient déjà commencé à traverser les ponts vers Ethereum.
Pourquoi Circle n'a-t-il pas bloqué l'USDC volé ?
Sur les 285 M$ siphonnés, 71,4 M$ étaient des USDC émis par Circle. Circle est un émetteur centralisé : il peut techniquement geler n'importe quel portefeuille depuis son panneau de conformité. À peine neuf jours avant le piratage de Drift, il avait gelé 16 portefeuilles commerciaux dans le cadre d'un litige civil, prouvant que l'infrastructure fonctionnait.
Dans le cas de Drift, les attaquants ont utilisé CCTP (le protocole officiel cross-chain de Circle) pour déplacer des millions d'USDC de Solana vers Ethereum pendant près de six heures, y compris pendant les heures de bureau aux États-Unis. Le chercheur ZachXBT a publiquement accusé l'entreprise d'être "endormie". Le cabinet d'avocats Gibbs Mura a entamé une enquête préliminaire en vue d'un éventuel recours collectif pour négligence.
Le reste du blanchiment a suivi le schéma classique de la RPDC : de petites tranches, typiquement inférieures à 500 000 USD, pour minimiser les alertes sur les bourses et les canaux OTC en Asie. Cette technique de micro-tranching complique le suivi automatisé et permet aux fonds de filtrer lentement vers des réseaux informels en Asie du Sud-Est. Nous avons traité les détails des routes de blanchiment et du rôle des stablecoins privés comme voie de sortie dans notre analyse des exploits assistés par l'IA, et le schéma se répète.
Comment le piratage de Drift se compare-t-il à Bybit, Wormhole et Ronin ?
Pour comprendre où se situe Drift dans l'histoire des grands vols crypto, il convient de le mettre en parallèle avec les trois incidents de référence de la dernière décennie. La comparaison révèle quelque chose d'inquiétant : la valeur absolue baisse, mais la sophistication opérationnelle augmente.
| Incident | Date | Pertes (USD) | Réseau | Vecteur principal | Attribution |
|---|---|---|---|---|---|
| Wormhole | Fév 2022 | 326 M | Solana ↔ Ethereum | Bug de vérification de signatures dans le pont | Non attribué publiquement |
| Ronin (Axie) | Mar 2022 | 625 M | Ronin Bridge | 5 validateurs sur 9 compromis via ingénierie sociale | Lazarus / RPDC |
| Bybit | Fév 2025 | 1 500 M | Ethereum (garde CEX) | Compromission de portefeuilles chauds + interface malveillante | Lazarus / RPDC (~1 100 M toujours non récupérés) |
| Drift Protocol | Avr 2026 | 285 M | Solana | Ingénierie sociale + durable nonces + migration sans timelock | UNC4736 / RPDC |
Trois observations tirées de ce tableau. La première : les failles de code pur (Wormhole) sont de plus en plus rares — la communauté a mûri en termes d'audits, de fuzzing et de bug bounties. La deuxième : les vecteurs dominants sont humains — ingénierie sociale, compromission de postes de travail, manipulation de signataires. La troisième : la RPDC apparaît dans tous les grands piratages récents avec une discipline qu'aucun acteur privé n'égale. Bybit a perdu 1 500 M$ en février 2025 ; à peine 400 M$ ont été tracés et seule une fraction récupérée. La probabilité de récupérer les 285 M$ de Drift est, prudemment, faible.
Qu'est-ce que cela signifie pour votre sécurité en tant qu'utilisateur DeFi ?
Le message opérationnel pour toute personne détenant des fonds dans un protocole DeFi se résume à trois pratiques. Aucune n'est technique ; toutes relèvent de la diligence.
Auditez le Security Council du protocole avant de déposer
Si le protocole où vous avez des fonds dépend d'un multisig restreint (3-sur-5 ou moins) avec des timelocks courts ou désactivables, vous acceptez un risque de gouvernance équivalent au risque de contrepartie dans une banque — mais sans assurance-dépôts. Plus il y a de signataires, plus ils sont répartis géographiquement et plus les timelocks minimaux sont longs, mieux c'est. Un timelock qui peut être désactivé "pour accélérer une migration" est une clause qui, lorsqu'elle est activée, engloutit 50 % de la TVL.
Si vous contribuez à un protocole, supposez que les canaux de confiance sont hostiles
Les erreurs dans Drift n'ont pas été commises par des utilisateurs négligents : elles ont été commises par des contributeurs professionnels opérant avec des collaborateurs apparemment légitimes. Les contre-mesures minimales sont : ne pas ouvrir de dossiers VS Code sans vérifier tasks.json et les autres configurations, ne pas accepter de builds TestFlight de tiers, séparer les environnements de développement des environnements où vous stockez vos clés, et traiter tout dépôt initial d'un "partenaire potentiel" comme un investissement opérationnel plutôt que comme une preuve de bonne foi.
Diversifiez entre protocoles ayant un historique et plusieurs audits
Aucun Security Council restreint n'est inviolable. La diversification entre protocoles avec des équipes différentes, des audits différents et des architectures de gouvernance différentes est une couverture contre le type d'attaque qui a mis fin à Drift. Et, plus important encore, un examen périodique : un protocole peut être sûr aujourd'hui et avoir une fenêtre de migration sans timelock programmée pour la semaine prochaine.
Comment réduire ce risque avec CleanSky
Lorsqu'un exploit comme celui de Drift fait la une des journaux, la première question opérationnelle est : "ai-je des fonds exposés à ce protocole, directement ou indirectement par le biais d'un autre qui en dépend ?". CleanSky répond à cette question en quelques secondes. Vous collez l'adresse de votre portefeuille — c'est en lecture seule, cela ne demande pas de compte, pas de permissions, cela n'a pas accès à votre argent — et il scanne plus de 50 réseaux et 484 protocoles, affichant chaque dépôt, chaque jeton LP, chaque position sur marge et chaque staking actif dans un tableau de bord unique et unifié.
L'idée est que votre portefeuille DeFi se comporte comme votre application bancaire pour la DeFi : de même qu'une application bancaire vous montre vos comptes, vos cartes et vos investissements d'un coup d'œil, CleanSky vous montre dans quels protocoles se trouve chaque euro de votre capital. Si Drift, Morpho, Aave ou n'importe quel autre apparaît comme l'hôte d'une partie de vos fonds, vous le verrez sans avoir à aller protocole par protocole — avec les événements de sécurité affectant chacun d'eux à côté.
Conclusion : la décentralisation n'est pas un bouclier contre la patience
Le piratage de Drift Protocol ne restera pas dans les mémoires pour l'argent volé mais pour le rapport entre six mois de préparation et douze minutes d'exécution. Ce ratio définit la nouvelle ère : les attaquants parrainés par des États-nations ne cherchent pas de bugs dans Rust ou Solidity ; ils cherchent des signataires fatigués, des migrations précipitées et des canaux de communication où plus personne ne se méfie parce que tout le monde se connaît depuis des mois.
La résilience des protocoles DeFi en 2026 ne dépend plus tant de la correction du code que de la robustesse des processus humains — qui signe, combien signent, combien de temps la chaîne attend avant d'exécuter une action sensible, et si les développeurs qui maintiennent le protocole opèrent dans des environnements isolés ou au sein d'équipes infiltrées sans le savoir. Drift démontre que la décentralisation, à elle seule, n'est pas un bouclier contre la patience de l'adversaire. La discipline opérationnelle, elle, l'est.