Accueil
Actualités
Détails

Drift Protocol victime d'un piratage de 285 M$ via une clé d'administrateur volée

iconChainthink
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$0,99970,03 %
This is the logo of the coin.
ETH
$2 353,091,15 %
This is the logo of the coin.
SOL
$84,930,43 %
AI summary iconRésumé

expand icon
Drift Protocol, la principale plateforme d'échange de futures sur Solana, a confirmé un piratage le 1er avril 2026, avec 285 millions de dollars volés via une clé d'administrateur compromise. Les pirates ont vidé les jetons JLP, USDC, WSOL et cbBTC, après avoir testé l'exploit plusieurs semaines plus tôt. Drift a arrêté les dépôts et retraits après la violation. Les fonds volés ont été convertis en stablecoins et transférés via Wormhole vers ethereum, avec l'achat de 19 913 ETH. La mise à jour du protocole de Drift n'a pas encore détaillé de correctifs à long terme.

Drift a coupé une plaie que l'industrie préfère éviter.

1er avril, Poisson d'avril.

Le plus grand échange de contrats perpétuels sur la chaîne Solana, Drift Protocol, est en cours de vidage, et la première réaction de la communauté est : « Une excellente blague du 1er avril. »

Ce n’est pas une blague. Vers 13h30, les comptes de surveillance chainique Lookonchain et PeckShield ont déclenché presque simultanément une alerte : un portefeuille inconnu commençant par « HkGz4K » vidait à une vitesse incroyable les fonds du trésor de Drift. La première transaction : 410 millions de jetons JLP, d’une valeur de 155 millions de dollars américains. Immédiatement après, 516 millions d’USDC, 125 000 WSOL, 164 000 cbBTC… Une dizaine d’actifs s’écoulaient comme de l’eau d’une baignoire dont on aurait retiré le bouchon.

Une heure. Les actifs de la caisse sont passés de 309 millions de dollars à 41 millions. Plus de la moitié du TVL a disparu.

L'équipe Drift a publié un tweet sur X, avec un ton inhabituellement urgent : « Drift Protocol fait l'objet d'une attaque active. Les dépôts et retraits sont suspendus. Nous coordonnons avec plusieurs sociétés de sécurité, des ponts interchaînes et des échanges pour maîtriser la situation. »

Ensuite, cette phrase qui marquera l'histoire de la cryptomonnaie : "This is not an April Fools joke."

Une clé qui ouvre toutes les portes

Les chiffres du vol de Drift varient selon les sources. PeckShield estime environ 285 millions de dollars, Arkham indique plus de 250 millions, et l'évaluation initiale de CertiK se situe autour de 136 millions. Mais quel que soit le chiffre retenu, il s'agit du plus grand incident de sécurité DeFi de 2026 à ce jour.

Ce qui mérite plus d'attention que les chiffres, c'est la méthode d'attaque.

Le fondateur de PeckShield, Jiang Xuxian, a déclaré à Decrypt de manière franche : « La clé d'administration derrière Drift a été clairement compromise ou piratée. » L'image de l'attaque reconstituée par les chercheurs sur chaîne montre que les pirates ont obtenu un accès privilégié au protocole Drift, leur permettant de contrôler les flux de fonds du trésor.

En d'autres termes, pas d'exploitation sophistiquée de vulnérabilités de contrat intelligent, pas d'attaque par flash loan, pas de manipulation d'oracle. Simplement l'échec de sécurité le plus basique et le plus classique : quelqu'un a perdu sa clé privée.

Le détail encore plus inquiétant : l'attaquant n'a pas agi sur un coup de tête. Les données sur la chaîne montrent que ce portefeuille a reçu des fonds initiaux via Near Intents huit jours avant l'attaque, puis est resté inactif. Une semaine avant l'attaque, il a même reçu un virement minuscule de 2,52 $ provenant du trésor de Drift. Une tentative, un « coup à la porte ».

Une semaine plus tard, la porte a été enfoncée.

La chute de la version crypto de Robinhood

Pour Cindy Leow, cofondatrice de Drift, le cauchemar du 1er avril avait une teinte particulièrement cruelle.

L'histoire de cet entrepreneur malaisien d'origine chinoise était l'une des meilleures histoires inspirantes du DeFi sur Solana. Parti du arbitrage Bitcoin entre la Chine et la Corée en 2016, il a géré un fonds propres et contribué à des projets dérivés sur Ethereum ; en 2021, il a cofondé Drift avec David Lu, en misant sur l'avantage de vitesse de Solana pour créer des contrats perpétuels sur chaîne.

Sur la timeline, Drift a presque capté chaque vague. En 2024, il a levé deux rounds de financement dirigés par Polychain et Multicoin, pour un total de 52,5 millions de dollars. Il a lancé un marché de prédictions en concurrence avec Polymarket, introduit un levier de 50 fois, dépassé 550 millions de dollars de TVL et accumulé plus de 50 milliards de dollars de volume de trading. Lors d’un entretien avec Fortune, Leow a adopté une position ambitieuse : devenir « le Robinhood de la crypto ».

Cette métaphore semble maintenant chargée de multiples émotions. L'engagement fondamental de Robinhood est de permettre aux particuliers d'accéder aux outils financiers de Wall Street. L'engagement fondamental de Drift est d'offrir aux utilisateurs une expérience de trading « non custody » sur chaîne, où votre argent ne passe par aucune main humaine, mais interagit uniquement avec du code.

Mais derrière le code, il existe une clé d'administrateur. Et la sécurité de cette clé dépend en fin de compte des personnes, et non de la cryptographie.

Il y a aussi un coïncidence historique frappante : en 2022, pendant l'ère Drift v1, une attaque avait déjà vidé le trésor. L'équipe a ensuite publié un rapport technique extrêmement détaillé, y compris un code de démonstration public montrant comment l'attaquant avait pu vider l'intégralité du trésor en une seule transaction. Les pertes de cet incident s'élevaient à 14,5 millions de dollars, et l'équipe a intégralement remboursé les utilisateurs à ses propres frais.

Quatre ans plus tard, le même cauchemar se reproduit à une échelle vingt fois plus grande.

La foi décentralisée, le point faible centralisé

Élargissez votre champ de vision au-delà de Drift, et vous constaterez qu’un schéma dérangeant est en train de se former.

Au début de l'année 2025, le service de gestion des clés AWS de Resolv Labs a été compromis ; les attaquants ont utilisé des clés privilégiées pour approuver de vastes opérations de création de stablecoins USR, provoquant des pertes en chaîne à travers plusieurs plateformes. La même année, le montant total des vols cryptographiques en 2025 a atteint un record historique de 3,4 milliards de dollars américains ; le rapport de Chainalysis a particulièrement souligné un changement de tendance : les événements les plus destructeurs se produisent désormais au niveau de l'infrastructure. Les machines de développeurs compromises, les clés de création uniques stockées dans le cloud, les processus de signature piégés par l'ingénierie sociale — ce sont là les véritables trous noirs qui engloutissent les fonds.

Ajoutez maintenant Drift.

Si vous examinez ces cas côte à côte, une conclusion est presque inévitable : la sécurité des clés privées a remplacé les vulnérabilités des contrats intelligents comme principal risque systémique dans le DeFi.

Il existe un écart de compréhension suffisamment vaste pour engloutir des dizaines de milliards de dollars.

Les protocoles DeFi vendent une histoire de « décentralisation », de « non-custodie » et de « confiance nulle ». Vos actifs sont conservés par du code, et aucun intermédiaire ne peut toucher à votre argent. Les utilisateurs ont retenu cette histoire et déposent leurs fonds dans ces protocoles, convaincus qu'ils interagissent avec des mathématiques.

Mais la réalité est que presque chaque protocole DeFi en fonctionnement possède une ou plusieurs « clés divines » : une clé d'administration, des droits de mise à jour, le contrôle du trésor, un interrupteur d'arrêt d'urgence. La présence de ces clés est parfois justifiée par la sécurité (permettant un arrêt d'urgence en cas de problème) ou par la flexibilité (permettant de mettre à jour la logique du contrat), mais leur nature reste la même : un point centralisé de confiance enveloppé dans un récit décentralisé.

L'utilisateur pense interagir avec du code. En réalité, il fait confiance à une personne, ou à un petit groupe de personnes, pour ne jamais se tromper, ne jamais être victime de phishing, ne jamais être contraint, et ne jamais laisser son ordinateur portable dans un café au milieu de la nuit.

Ce n'est pas un problème exclusif à Drift, c'est une contradiction structurelle de l'ensemble de l'industrie DeFi.

Où sont passés les 285 millions de dollars ?

Les actions en chaîne de l'attaquant ont été nettes et précises, marquées par le calme d'un professionnel.

Après avoir retiré des actifs du trésor de Drift, il a rapidement converti la majeure partie des jetons en stablecoins, puis transféré les fonds sur le réseau Ethereum via le pont Wormhole. Sur Ethereum, il a utilisé une partie des stablecoins pour acheter environ 19 913 ETH (valant environ 42,6 millions de dollars), le reste étant réparti sur plusieurs adresses de portefeuille.

Un détail absurde : le portefeuille de l'attaquant contient encore une grande quantité de Fartcoin, représentant environ 2,5 % de l'offre totale de ce token. Un pirate venant de commettre le plus grand vol DeFi de l'année détient une pile de meme coins nommés après des pets.

Au moment de la rédaction, les dépôts et retraits sur Drift restent suspendus. Le token DRIFT est tombé à environ 0,05 $, en baisse de plus de 28 % par rapport à son niveau d'avant l'attaque, soit une baisse cumulative de plus de 98 % depuis son sommet historique de 2,60 $. Le portefeuille Phantom affiche un avertissement aux utilisateurs tentant d'accéder à Drift.

L'équipe de Drift indique qu'elle collabore avec des sociétés de sécurité, des opérateurs de ponts cross-chain et des échanges centralisés pour tenter de geler et de suivre les fonds volés. Toutefois, si l'histoire peut servir de référence, la probabilité de récupérer des fonds transférés via des ponts cross-chain et dispersés sur plusieurs portefeuilles n'est pas optimiste.

Une question qu'un secteur doit affronter avec honnêteté

Drift a coupé une plaie que l'industrie préfère éviter.

Chainalysis a déclaré avec optimisme dans son rapport de fin 2025 que la sécurité DeFi avait connu des « progrès substantiels », même si le TVL avait doublé pour revenir à 119 milliards de dollars, les pertes dues aux pirates DeFi ayant diminué. Le cas de Venus Protocol a été présenté comme un exemple positif : le système de surveillance de la sécurité a détecté des anomalies 18 heures avant l'attaque, le protocole a rapidement suspendu ses opérations, le mécanisme de gouvernance a gelé les fonds de l'attaquant, qui a même subi une perte.

Drift remet en question ce « récit de progrès ». Vous pouvez pousser les audits de contrats intelligents à leur paroxysme, déployer la surveillance chain-on la plus avancée, mais dès qu'une clé d'administrateur est compromise par ingénierie sociale, phishing ou force brute, toute l'infrastructure de sécurité s'effondre comme un château de sable.

L'industrie DeFi doit s'arrêter et répondre honnêtement à une question : quand vous dites aux utilisateurs « non-custodial », que voulez-vous exactement dire ?

Si la clé d'administration du protocole peut transférer tous les actifs du coffre à tout moment, quelle est la différence avec le fait de déposer de l'argent sur un compte bancaire détenu par une personne que vous ne connaissez pas ? Au moins, les banques sont assurées, réglementées et soumises à des recours juridiques.

La réponse n’est peut-être pas de supprimer ces droits d’administrateur, car dans de nombreux cas, leur existence est nécessaire. Mais au moins, l’industrie devrait cesser de prétendre qu’ils n’existent pas. La gouvernance multi-signatures, les verrous temporels, les modules de sécurité matériels, le renouvellement des clés… ces solutions techniques existent depuis des années, pourtant trop de protocoles continuent de confier la sécurité de centaines de millions de dollars à la vigilance de quelques opérateurs humains.

Le rêve d'une « Robinhood cryptographique » est admirable. Mais avant de le réaliser, il faudrait peut-être d'abord répondre à une question plus fondamentale : qui garde la clé ?

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.