Le protocole DeFi Drift sur Solana a perdu 285 millions de dollars en 12 minutes. L'attaque, attribuée à la Corée du Nord, reposait sur six mois d'ingénierie sociale ciblant les signataires multisig.
En bref
- Le protocole DeFi Drift sur Solana a été vidé de 285 millions de dollars le 1er avril 2026 en seulement 12 minutes.
- L'attaque est attribuée à des hackers nord-coréens (DPRK) après six mois d'ingénierie sociale ciblée.
- Action requise : auditer immédiatement les processus de gouvernance multisig de vos plateformes DeFi.
Les faits
Le 1er avril 2026, le protocole Drift — la plus grande plateforme d'échange de contrats à terme perpétuels décentralisés sur Solana — a subi la plus importante attaque DeFi de l'année. En à peine 12 minutes, les attaquants ont drainé environ 285 millions de dollars en actifs utilisateurs, transférés ensuite vers Ethereum en quelques heures. Selon Bloomberg et TRM Labs, il s'agit du deuxième plus gros exploit de l'histoire de Solana, derrière le hack du bridge Wormhole en 2022 (326 millions de dollars).
L'enquête de TRM Labs, confirmée par The Hacker News le 8 avril 2026, attribue l'attaque à un groupe affilié à la Corée du Nord (DPRK). L'opération a débuté à l'automne 2025 par une campagne d'ingénierie sociale sophistiquée visant les signataires multisig du protocole. Les attaquants ont manipulé ces signataires pour qu'ils pré-signent des autorisations cachées, puis ont exploité une migration du Security Council sans timelock pour éliminer la dernière ligne de défense du protocole.
Impact et exposition
L'attaque n'exploitait pas une faille dans les smart contracts eux-mêmes, mais une combinaison de vecteurs humains et de faiblesses de gouvernance. Les hackers ont créé un token fictif — CarbonVote Token — avec quelques milliers de dollars de liquidité artificielle et de wash trading. Les oracles de Drift ont traité ce token comme un collatéral légitime valant des centaines de millions de dollars. Toute plateforme DeFi utilisant des mécanismes de gouvernance multisig avec des timelocks insuffisants ou des processus de validation oracle permissifs est potentiellement exposée à des attaques similaires. L'incident met en lumière les risques systémiques liés à la supply chain humaine dans l'écosystème crypto.
Recommandations
- Auditer immédiatement les processus de gouvernance multisig : vérifier les timelocks, les seuils de signature et les mécanismes de migration du conseil de sécurité.
- Implémenter une validation multi-source des oracles de prix avec des seuils de liquidité minimum pour l'acceptation de collatéral.
- Former les signataires multisig aux techniques d'ingénierie sociale avancée, notamment les campagnes ciblées de longue durée attribuées à des acteurs étatiques.
- Mettre en place des alertes automatiques sur les migrations de gouvernance et les changements de paramètres critiques.
Alerte critique
Cette attaque démontre que les acteurs étatiques nord-coréens ciblent désormais activement les protocoles DeFi via des campagnes d'ingénierie sociale de plusieurs mois. Le vecteur principal n'est pas technique mais humain. Renforcez immédiatement vos processus de validation anti-phishing pour tous les détenteurs de clés critiques.
Comment savoir si notre protocole DeFi est vulnérable à ce type d'attaque ?
Vérifiez trois points : (1) vos timelocks de gouvernance sont-ils suffisamment longs pour permettre une détection avant exécution ? (2) vos oracles valident-ils la liquidité réelle et l'historique des tokens acceptés en collatéral ? (3) vos signataires multisig ont-ils reçu une formation récente aux techniques d'ingénierie sociale ciblée ? Si la réponse est non à l'un de ces points, vous êtes exposé.
Pourquoi la Corée du Nord cible-t-elle les plateformes crypto ?
Les groupes affiliés à la DPRK utilisent le vol de cryptomonnaies comme source majeure de financement étatique, contournant les sanctions internationales. Selon les estimations, la Corée du Nord a dérobé plus de 3 milliards de dollars en cryptoactifs depuis 2017. Les protocoles DeFi représentent des cibles privilégiées en raison de leur valeur élevée et de leurs surfaces d'attaque étendues sur la couche de gouvernance.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire