Drift « Poisson d’avril » : plus de 280 millions de dollars volés, piratage ou détournement interne ?

Shaw，Informations financières Golden

Le 2 avril, l’incident de sécurité du Drift Protocol, une plateforme de trading de dérivés, révèle que les données on-chain montrent des pertes de plus de 285 millions de dollars. Le projet indique avoir détecté une activité anormale et être en train d’enquêter, tout en rappelant aux utilisateurs de ne pas déposer de fonds dans le protocole pour le moment, et en soulignant : « ce n’est pas une blague du poisson d’avril ».

L’attaque implique plusieurs pools de fonds, dont JLP Delta Neutral, SOL Super Staking et BTC Super Staking, entre autres. Pour une seule transaction, le transfert d’environ 41,7 millions de jetons JLP représente une valeur d’environ 155 millions de dollars ; en outre, des actifs tels que SOL, USDC, cbBTC et wBTC ont aussi été retirés.

D’après des estimations, l’incident pourrait devenir l’une des plus grandes attaques DeFi de l’écosystème Solana, après l’exploit du Wormhole bridge de taille similaire.

I. Dernières avancées concernant l’incident de piratage du Drift Protocol

Le 1er avril 2026, heure de la côte Est des États-Unis, le protocole de dérivés décentralisé Drift Protocol de l’écosystème Solana a subi une attaque de grande ampleur menée par des pirates ; les actifs volés s’élèvent à environ 285 millions de dollars. Les principaux actifs au cœur du vol sont : environ 41,7 millions de jetons JLP, d’une valeur de 155,6 millions de dollars ; ainsi que plusieurs types d’actifs comme USDC, SOL, cbBTC, wBTC. Cet incident de vol est devenu l’un des plus gros cas de piratage de l’histoire de Solana et l’une des plus grandes attaques de l’histoire DeFi.

Par la suite, l’équipe officielle de Drift Protocol a publié sur une plateforme sociale pour confirmer : « Drift Protocol fait l’objet d’une attaque. Les fonctions de dépôt et de retrait sont suspendues. Nous travaillons avec plusieurs organismes de sécurité, des ponts inter-chaînes et des exchanges afin de maîtriser la situation de toutes nos forces. Ce n’est pas une blague du poisson d’avril. Plus d’informations sera publié en premier lieu via ce compte. »

L’attaque a commencé dans la nuit du 2 avril. La plateforme de surveillance on-chain PeckShield a émis une alerte : l’adresse du principal coffre (main vault) de Drift a commencé à effectuer de vailleurs transferts vers un nouveau portefeuille créé, HkGz4K. Les premiers actifs transférés sont principalement des jetons JLP (Jito Liquidity Provider), d’une valeur d’environ 155 millions de dollars ; puis viennent USDC, SOL, cbBTC, wBTC, WETH ainsi que certains meme coins. Les données de PeckShield montrent qu’en très peu de temps, les actifs sortis cumulés atteignent 285 millions de dollars.

Selon le suivi de Yu Jin, les actifs de 285 millions de dollars volés par Drift ont déjà été convertis en 129k ETH (278 millions de dollars). Au cours des dernières heures, les pirates ont vendu ces actifs et les ont transférés de façon inter-chaînes vers la chaîne Ethereum par divers moyens, puis sur la chaîne Ethereum, ils ont converti ces actifs en ETH. À l’heure actuelle, les actifs de 285 millions de dollars volés sur Solana ont déjà été transformés en 129 066 ETH sur la chaîne Ethereum.

De plus, l’équipe de sécurité SlowMist a indiqué dans un message sur les réseaux sociaux qu’à l’heure actuelle, les fonds volés sont essentiellement regroupés sur les adresses Ethereum suivantes : 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7 et 0xaa843ed65c1f061f111b5289169731351c5e57c1, au total : 105 969 ETH (environ 226 millions de dollars).

Grappes d’adresses du pirate :

II. Analyse de l’attaque du Drift Protocol : “vol sous la garde” par le projet ?

Cette attaque est une combinaison soigneusement planifiée d’intrusion par escalade de permissions et de manipulation de prix. Le cœur de l’affaire est que, après que les pirates ont volé les permissions d’administrateur, ils ont instantanément franchi les limites de fonds en fabriquant des jetons et en manipulant des oracles, puis ont pillé le coffre de l’accord. Les pirates, en obtenant la clé privée d’administrateur, ont désactivé le cœur de la gestion des risques du protocole (plafonds de retrait), puis ont utilisé des garanties fictives pour retirer des fonds en masse du pool, et enfin ont finalisé le blanchiment en transférant les actifs par pont inter-chaînes.

Concernant l’incident de vol ayant entraîné le détournement d’actifs après l’attaque du Drift Protocol, le fondateur de SlowMist, Yu Xuan, a publié une analyse indiquant que la semaine précédant l’attaque, Drift a ajusté le mécanisme multi-signature en le passant à « 2/5 » (un ancien signataire + quatre nouveaux signataires), sans configurer de time-lock (timelock). Les attaquants ont ensuite obtenu les permissions d’administrateur, falsifié les jetons CVT, manipulé les oracles, fermé les mécanismes de sécurité, puis transféré des actifs de grande valeur depuis les pools de fonds.

Omer Goldberg, cofondateur de Chaos Labs, a également publié sur les réseaux sociaux qu’une semaine auparavant, Drift a migré vers un nouveau portefeuille multi-signature ; ce portefeuille a été créé par l’un des signataires dans l’ancienne multi-signature. Or, ce signataire n’a pas ajouté son propre compte à la nouvelle liste de signataires. L’attaquant a ensuite, en parallèle, soumis une proposition dans l’ancienne multi-signature afin de transférer les permissions d’administrateur vers ce nouveau portefeuille. La nouvelle multi-signature compte 5 signataires au total ; seulement 1 provient de l’équipe d’origine, et les 4 autres sont de toutes nouvelles adresses. Ce portefeuille est configuré avec un seuil multi-signature 2/5 et n’a aucun time-lock (délai de 0 seconde). Le 2 avril dans la nuit, ce seul signataire d’origine a lancé une proposition via la nouvelle multi-signature pour modifier les permissions d’administrateur de Drift. Un nouveau signataire a cosigné en une seconde, atteignant instantanément le seuil 2/5. En l’absence de time-lock, la transaction s’exécute immédiatement.

Par ailleurs, la communauté raconte qu’un membre clé de l’équipe Drift aurait quitté son poste il y a un mois ; mais ce n’est pas une affirmation confirmée officiellement, et il n’y a pas de preuves pour l’étayer. Pour l’instant, il s’agit uniquement de spéculations / rumeurs circulant sur X (Twitter), sans noms précis, et sans confirmation par des médias grand public ni par Drift officiel : dans les actualités majeures et les déclarations officielles de Drift, il n’est fait aucune mention du départ d’un membre de l’équipe un mois auparavant.

Malgré tout, la possibilité de “vol sous la garde” est bien la direction qui suscite le plus de débats dans la sphère actuelle et qui présente le plus de doutes ; elle correspond même davantage à la logique que « l’intrusion de pirates externes ». Auparavant, l’équipe officielle a modifié le mécanisme multi-signature, rendant la structure de permissions trop « pratique pour une attaque », ce qui n’a pas l’air d’un accident ; la méthode d’attaque « comprend trop bien la logique interne », ce qui ne ressemble pas du tout au style d’un pirate externe ; et l’équipe officielle a réagi de manière anormalement calme à un vol d’un montant aussi énorme. Après le vol, les flux de fonds étaient extrêmement propres et clairs, rapidement convertis en ETH et traités par opération inter-chaînes ; et il n’y a pas eu d’entrée sur une bourse centralisée facilement susceptible d’être gelée. L’ensemble de ce processus et cette logique opérationnelle. Ont fait monter en flèche les soupçons de la communauté concernant un supposé « vol sous la garde » de la part de l’équipe officielle de Drift.

III. Parties concernées et réactions de la communauté crypto

Après l’incident de vol des actifs du Drift Protocol, les parties concernées et la communauté crypto ont réagi de manières différentes :

• Dans l’incident de vol du protocole DeFi Drift, la perte de la position JLP s’élève à environ 155,6 millions de dollars. À ce sujet, le fondateur / l’équipe officielle de Jupiter indique que la plateforme n’a pas été touchée par cet événement. Son produit de prêt Jupiter Lend n’est pas lié au marché Drift, et que les actifs JLP sont « entièrement soutenus par les actifs sous-jacents ». Jupiter a également déclaré que cet incident constituait pour l’écosystème Solana DeFi « une journée difficile », et a exprimé sa préoccupation envers l’équipe Drift et les utilisateurs affectés.

• Le protocole de génération de rendement Unitas Protocol a publié sur X en indiquant que son protocole n’a pas subi d’impact de l’incident d’attaque du Drift Protocol. Unitas n’a aucune exposition sur Drift. Tous les collatéraux sont sûrs, toutes les stratégies (y compris la stratégie JLP delta neutre) fonctionnent normalement. Les fonds des utilisateurs sont en sécurité. Les collatéraux peuvent être vérifiés en temps réel via les tableaux de bord de preuves de réserve de Accountable et Primus Labs.

• Le protocole de liquidité Solana Meteora a publié sur X indiquant que tous les fonds sur Meteora sont en sécurité, et que toutes les fonctionnalités et le coffre de la plateforme n’ont pas interagi avec le protocole Drift.

• Anna, fondatrice de l’infrastructure de stablecoins Perena, a publié sur X indiquant que son Perena USD*, USD*-J et USD*-P n’ont pas été affectés par l’incident d’attaque de Drift. Cependant, le JLP vault du protocole de stratégie quantitatif de l’écosystème Solana partagé via la plateforme Neutral Trade est affecté car il fonctionne sur le Drift Protocol ; l’équipe maintient la communication avec les partenaires et continuera de mettre à jour l’avancement.

• Utilisateur de X @hzkj99 : l’accord d’actifs de l’écosystème SOL, Drift Protocol, a été volé ; la perte se chiffre en centaines de millions. Dès qu’il y a des fonds en jeu, la sécurité doit être la priorité absolue à tout moment, surtout en période de marché baissier, où il y aura absolument de nouveaux protocoles volés. Ce monde est vraiment un immense “camp de fortune” ; certains protocoles peuvent même être volés plusieurs fois, et Drift n’est pas non plus le dernier à être volé.

• Utilisateur de X @lanhubiji : Drift Protocol a subi une exploitation de faille majeure, avec une perte d’environ 270 millions de dollars, ce qui en fait l’un des plus grands incidents d’attaque DeFi à ce jour en 2026. Certaines publications, très sérieusement, disent : « La Fondation Solana est en train de coordonner un rollback avec les serveurs du sous-sol de Toly (cofondateur) ». Même si c’est une blague, dire ça est quand même un peu excessif.

• Utilisateur de X @EnHeng456 : en marché baissier, déposer de l’argent, il faut vraiment être prudent, encore plus prudent. L’environnement devient de moins en moins sûr ; partout il y a des nouvelles de vols. Même certains anciens protocoles ont aussi des problèmes spécifiquement en période de bear market. Tu as du mal à distinguer s’il s’agit d’attaques de pirates ou de “vol sous la garde”. Moi, récemment, je suis resté très prudent : je garde simplement tout sagement dans USD1, sans me disperser partout. Dans cette configuration, plus on s’agite, plus on risque d’avoir des problèmes ; parfois, ne rien faire est la meilleure option. Drift a été volé de 8B de dollars et l’argent est ensuite allé dans la poche du “général”.

IV. Impact de l’incident de vol du Drift Protocol

L’incident de vol de 285 millions de dollars du Drift Protocol est la deuxième plus grande attaque DeFi de l’histoire de l’écosystème Solana. Son impact dépasse largement le protocole lui-même : il a porté un coup dur à la confiance dans l’écosystème Solana et a accéléré une transformation de la sécurité DeFi.

Cette attaque a mis en évidence des failles fatales des projets DeFi dans la gestion multi-signature et la sécurité des oracles. La permission, c’est le coffre-fort. Dès que la clé d’un administrateur est compromise, et en l’absence de mécanismes de frein d’urgence tels que des time-lock, toute logique de code complexe peut s’effondrer instantanément. Pour Drift Protocol, sauf à récupérer le gros montant ou à trouver un “gros repreneur”, il s’orientera vers la liquidation, la faillite et des poursuites. Pour Solana et l’ensemble de son écosystème, c’est une atteinte majeure à la réputation, des sorties de fonds à court terme et un ralentissement de la croissance ; à long terme, cela force à mettre à niveau la sécurité. Et pour l’ensemble de l’industrie DeFi, on peut dire que c’est un véritable point de bascule : la « sécurité des permissions prime sur la sécurité du code » devient une règle intangible ; le coût de la confiance augmente fortement, et DeFi entrera dans une nouvelle phase de plus grande conformité, plus de transparence et davantage de centralisation du contrôle (gouvernance de la sécurité).