Drift Protocol sur Solana perd 285 millions de dollars en 12 minutes. L'attaque par ingénierie sociale est attribuée au groupe nord-coréen UNC4736 après 6 mois de préparation.
Le 1er avril 2026, la plateforme d'échange décentralisée Drift Protocol sur Solana a été vidée de 285 millions de dollars en moins de douze minutes. L'attaque, désormais attribuée avec une confiance moyenne au groupe nord-coréen UNC4736 (aussi connu sous les noms AppleJeus, Citrine Sleet et Gleaming Pisces), n'exploitait aucune faille technique dans les smart contracts. Il s'agit d'une opération d'ingénierie sociale sophistiquée préparée pendant six mois, ciblant les signataires multisig de la plateforme. Cet incident représente le plus gros hack DeFi de 2026 et le deuxième plus important de l'histoire de Solana, après le hack du bridge Wormhole en 2022. L'affaire illustre une évolution majeure des tactiques étatiques nord-coréennes dans le vol de cryptomonnaies.
En bref
- 285 millions de dollars drainés de Drift Protocol (Solana) le 1er avril 2026 en 12 minutes
- Attaque par ingénierie sociale de 6 mois attribuée au groupe nord-coréen UNC4736 (DPRK)
- Vecteur : manipulation des signataires multisig, pas de faille smart contract
Les faits
Le 1er avril 2026, les systèmes de monitoring on-chain ont détecté un drainage massif des fonds de Drift Protocol, la plus grande plateforme de futures perpétuels décentralisés sur Solana. En exactement 12 minutes, 285 millions de dollars d'actifs utilisateurs ont été transférés vers des wallets contrôlés par les attaquants. Drift a immédiatement suspendu ses opérations et confirmé l'incident dans un communiqué public. Selon l'analyse de TRM Labs et Elliptic, l'attaque est attribuée avec une confiance moyenne au groupe UNC4736, un acteur étatique nord-coréen spécialisé dans le vol de cryptomonnaies, également suivi sous les noms Citrine Sleet, Golden Chollima et Gleaming Pisces.
L'opération a débuté à l'automne 2025 par une phase de reconnaissance et d'infiltration sociale. Les attaquants ont déployé des intermédiaires — des individus non nord-coréens, techniquement compétents et disposant de profils professionnels vérifiables — pour établir des relations de confiance avec les signataires multisig de Drift. Entre décembre 2025 et janvier 2026, le groupe a intégré un Ecosystem Vault sur Drift en déposant plus d'un million de dollars de ses propres fonds pour paraître légitime. Le staging on-chain a commencé le 11 mars avec un retrait de 10 ETH depuis Tornado Cash. Ce type d'opération long terme rappelle les attaques supply chain les plus sophistiquées que nous avons documentées.
Impact et exposition
La vulnérabilité exploitée n'était pas technique mais organisationnelle. Les attaquants ont convaincu les signataires multisig de pré-signer des autorisations cachées, puis ont exploité une migration du Security Council avec un timelock de zéro — éliminant la dernière ligne de défense du protocole. Cet incident expose une faiblesse structurelle des protocoles DeFi : la gouvernance multisig repose in fine sur la confiance humaine envers les co-signataires. Quand cette confiance est compromise par une opération de renseignement étatique, les mécanismes techniques deviennent insuffisants. L'ensemble de l'écosystème Solana DeFi est désormais en alerte, et plusieurs protocoles ont annoncé des revues d'urgence de leurs procédures de gouvernance. Le parallèle avec les kill chains d'attaques ransomware est frappant : la patience opérationnelle est devenue la norme pour les attaquants étatiques.
Recommandations
- Immédiat : les protocoles DeFi doivent auditer leurs procédures multisig et vérifier qu'aucune autorisation pré-signée non autorisée n'existe
- Urgent : implémenter des timelocks obligatoires et non contournables sur toute modification de gouvernance critique
- Structurel : exiger une vérification d'identité renforcée (KYC avancé) pour tous les signataires multisig ayant autorité sur des fonds utilisateurs
- Former les équipes aux techniques d'ingénierie sociale étatiques — les intermédiaires DPRK sont indistinguables de professionnels légitimes
Alerte critique
Les groupes DPRK ont volé plus de 1,5 milliard de dollars en cryptomonnaies depuis début 2025. Leur sophistication opérationnelle dépasse désormais celle de la plupart des groupes criminels. Tout protocole DeFi gérant plus de 50 millions de dollars est une cible potentielle.
Comment les attaquants ont-ils trompé les signataires multisig ?
Les opérateurs DPRK ont utilisé des intermédiaires non nord-coréens, techniquement compétents et dotés de profils professionnels vérifiables. Ces personnes ont établi des relations sur plusieurs mois, participé à des réunions en personne et déposé leurs propres fonds sur la plateforme pour établir la confiance. C'est une opération de renseignement humain (HUMINT) appliquée au secteur crypto.
Les fonds volés peuvent-ils être récupérés ?
Les chances de récupération sont faibles. Les fonds ont été rapidement déplacés à travers des mixeurs et des bridges cross-chain. Les forces de l'ordre et les sociétés d'analyse blockchain (TRM Labs, Elliptic, Chainalysis) suivent les flux, mais l'expérience montre que les groupes DPRK sont très efficaces pour blanchir les fonds volés via des réseaux de mules et des échanges non régulés.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire