L'attaquant du protocole Drift intensifie son accumulation d'ethereum après avoir mené une opération sophistiquée ciblant les systèmes administratifs du protocole et vidant 285 millions de dollars de ses coffres.
Selon les données suivies par Lookonchain, l'acteur malveillant a dépensé des millions en USDC pour acquérir 130 262 ETH, d'une valeur d'environ 265 millions de dollars, au cours de la dernière journée.
L'exploiteur de @DriftProtocol vient de dépenser encore 2,46 M $USDC pour acheter 1 195 $ETH.
Ils ont maintenant acheté au total 130 262 $ETH (267 M $).https://t.co/ZKbh8J7jRRpic.twitter.com/5Z3Jq2X9NM
— Lookonchain (@lookonchain) April 2, 2026
Ethereum a été échangé à 2 038 $ au moment de la publication, en recul d'environ 4 % pendant la même période, selon CoinGecko.
Le token natif de Drift, DRIFT, a chuté à 0,049 $, perdant plus de 30 % de sa valeur depuis l'attaque.
Qu'est-ce qui s'est passé avec Drift Protocol ?
L'attaque a été signalée pour la première fois le 1er avril, lorsque le PDG de Helius, Mert Mumtaz, a alerté la communauté sur la possibilité d'une exploitation du protocole Drift.
pas encore certain à 100 %, mais il semble que drift puisse être exploité
suivez vos positions https://t.co/xaHqJNDHg2
— mert (@mert) April 1, 2026
Peu de temps après, PeckShield a identifié des sorties inhabituelles impliquant plus de 15 jetons, confirmant une exploitation majeure. Les pertes initiales ont été estimées à environ 270 millions de dollars.
Environ deux heures plus tard, l'équipe du protocole Drift a reconnu publiquement l'incident sur X, en suspendant tous les dépôts et retraits tout en coordonnant avec des sociétés de sécurité, des ponts et des plateformes d'échange pour résoudre l'incident.
Comment l'attaque a été menée
Selon la dernière mise à jour de Drift, l'attaquant a ciblé la couche humaine et procédurale du multisig du Conseil de sécurité, une structure administrative 2 sur 5 contrôlant les autorisations critiques au niveau du protocole.
Plus tôt aujourd'hui, un acteur malveillant a obtenu un accès non autorisé à Drift Protocol via une attaque novatrice impliquant des nonces durables, entraînant une prise de contrôle rapide des pouvoirs administratifs du Conseil de sécurité de Drift.
Il s'agissait d'une opération hautement sophistiquée qui semble avoir impliqué…
— Drift (@DriftProtocol) April 2, 2026
Préparation
L'opération a été soigneusement préparée sur plusieurs semaines. Comme indiqué par le projet, des comptes nonce durables ont été créés sur Solana dès le 23 mars pour permettre l'exécution différée des transactions pré-signées.
En obtenant les signatures d'approbation d'au moins deux des cinq membres du Conseil de sécurité, probablement par ingénierie sociale ou par fausse représentation des transactions, l'attaquant a accumulé une autorisation suffisante pour prendre le contrôle administratif.
Pendant cette période, quatre comptes nonce durables ont été créés le 23 mars, deux liés à des membres existants du Conseil de sécurité et deux contrôlés par l'attaquant.
Lorsque Drift a effectué une migration planifiée du Conseil de sécurité le 27 mars, l'attaquant s'est adapté en créant un compte nonce durable supplémentaire le 30 mars lié à un nouveau membre multisig désigné.
Exécution
L'attaque a été exécutée le 1er avril, peu après que l'équipe de Drift ait effectué un retrait de test légitime de son fonds de garantie.
L'attaquant a soumis deux transactions à nonce durable pré-signées, séparées par seulement quatre créneaux sur le réseau Solana. La première transaction a créé et approuvé un transfert d'administrateur malveillant, et la deuxième a approuvé et exécuté ce transfert.
Avec un contrôle total des autorisations au niveau du protocole, l'attaquant a introduit un actif malveillant, supprimé toutes les limites de retrait prédéfinies et vidé les fonds à travers environ 31 transactions en environ 12 minutes.
Les fonds concernés incluent les dépôts dans les pools d'emprunt et de prêt, les dépôts dans des coffres et les actifs détenus pour le trading.
Drift a confirmé que le fonds de garantie et les jetons DSOL non déposés directement sur la plateforme, y compris les actifs mis en staking sur le validateur Drift, n'ont pas été affectés.
Conséquences financières
Avant l'exploitation, Drift Protocol avait une valeur totale verrouillée (TVL) dépassant 550 millions de dollars, ce qui en faisait l'une des plus grandes applications DeFi de Solana, according to DeFiLlama.
À son pic, le TVL de Drift Protocol a atteint 1,3 milliard de dollars. Après l'attaque, le TVL est tombé à environ 247 millions de dollars.
Le token DRIFT, qui avait négocié au-dessus de 0,07 $ avant la violation, est tombé à environ 0,04 $, reflétant une baisse de 42 % en 24 heures. Sa capitalisation boursière est passée d'environ 41 millions de dollars à 25 millions de dollars.
L'exploit a également affecté environ 11 protocoles en aval. Par exemple, Ranger Finance a subi une exposition estimée à 900 000 $.
Qu'est-ce que Drift Protocol ?
Fondée en 2021, Drift se distingue des plateformes d'échange centralisées en opérant entièrement sur la blockchain Solana, garantissant que les fonds des utilisateurs restent sous leur contrôle.
En septembre 2024, l'entreprise a levé 25 millions de dollars lors d'un tour Série B dirigé par Multicoin Capital, avec une participation supplémentaire de Blockchain Capital, Primitive Ventures et Folius Ventures.
La cofondatrice Cindy Leow vise à faire de Drift le « Robinhood de la crypto », en développant une suite intégrée de services financiers incluant le trading spot et dérivé, ainsi qu'un marché de prédictions.