Drift Protocol sur Solana perd 285 millions de dollars en 12 minutes. L'attaque par ingénierie sociale est attribuée au groupe nord-coréen UNC4736 après 6 mois de préparation.
Le 1er avril 2026, la plateforme d'échange décentralisée Drift Protocol sur Solana a été vidée de 285 millions de dollars en moins de douze minutes. L'attaque, désormais attribuée avec une confiance moyenne au groupe nord-coréen UNC4736 (aussi connu sous les noms AppleJeus, Citrine Sleet et Gleaming Pisces), n'exploitait aucune faille technique dans les smart contracts. Il s'agit d'une opération d'ingénierie sociale sophistiquée préparée pendant six mois, ciblant les signataires multisig de la plateforme. Cet incident représente le plus gros hack DeFi de 2026 et le deuxième plus important de l'histoire de Solana, après le hack du bridge Wormhole en 2022. L'affaire illustre une évolution majeure des tactiques étatiques nord-coréennes dans le vol de cryptomonnaies.
En bref
- 285 millions de dollars drainés de Drift Protocol (Solana) le 1er avril 2026 en 12 minutes
- Attaque par ingénierie sociale de 6 mois attribuée au groupe nord-coréen UNC4736 (DPRK)
- Vecteur : manipulation des signataires multisig, pas de faille smart contract
Les faits
Le 1er avril 2026, les systèmes de monitoring on-chain ont détecté un drainage massif des fonds de Drift Protocol, la plus grande plateforme de futures perpétuels décentralisés sur Solana. En exactement 12 minutes, 285 millions de dollars d'actifs utilisateurs ont été transférés vers des wallets contrôlés par les attaquants. Drift a immédiatement suspendu ses opérations et confirmé l'incident dans un communiqué public. Selon l'analyse de TRM Labs et Elliptic, l'attaque est attribuée avec une confiance moyenne au groupe UNC4736, un acteur étatique nord-coréen spécialisé dans le vol de cryptomonnaies, également suivi sous les noms Citrine Sleet, Golden Chollima et Gleaming Pisces.
L'opération a débuté à l'automne 2025 par une phase de reconnaissance et d'infiltration sociale. Les attaquants ont déployé des intermédiaires — des individus non nord-coréens, techniquement compétents et disposant de profils professionnels vérifiables — pour établir des relations de confiance avec les signataires multisig de Drift. Entre décembre 2025 et janvier 2026, le groupe a intégré un Ecosystem Vault sur Drift en déposant plus d'un million de dollars de ses propres fonds pour paraître légitime. Le staging on-chain a commencé le 11 mars avec un retrait de 10 ETH depuis Tornado Cash. Ce type d'opération long terme rappelle les attaques supply chain les plus sophistiquées que nous avons documentées.
Impact et exposition
La vulnérabilité exploitée n'était pas technique mais organisationnelle. Les attaquants ont convaincu les signataires multisig de pré-signer des autorisations cachées, puis ont exploité une migration du Security Council avec un timelock de zéro — éliminant la dernière ligne de défense du protocole. Cet incident expose une faiblesse structurelle des protocoles DeFi : la gouvernance multisig repose in fine sur la confiance humaine envers les co-signataires. Quand cette confiance est compromise par une opération de renseignement étatique, les mécanismes techniques deviennent insuffisants. L'ensemble de l'écosystème Solana DeFi est désormais en alerte, et plusieurs protocoles ont annoncé des revues d'urgence de leurs procédures de gouvernance. Le parallèle avec les kill chains d'attaques ransomware est frappant : la patience opérationnelle est devenue la norme pour les attaquants étatiques.
Recommandations
- Immédiat : les protocoles DeFi doivent auditer leurs procédures multisig et vérifier qu'aucune autorisation pré-signée non autorisée n'existe
- Urgent : implémenter des timelocks obligatoires et non contournables sur toute modification de gouvernance critique
- Structurel : exiger une vérification d'identité renforcée (KYC avancé) pour tous les signataires multisig ayant autorité sur des fonds utilisateurs
- Former les équipes aux techniques d'ingénierie sociale étatiques — les intermédiaires DPRK sont indistinguables de professionnels légitimes
Alerte critique
Les groupes DPRK ont volé plus de 1,5 milliard de dollars en cryptomonnaies depuis début 2025. Leur sophistication opérationnelle dépasse désormais celle de la plupart des groupes criminels. Tout protocole DeFi gérant plus de 50 millions de dollars est une cible potentielle.
Comment les attaquants ont-ils trompé les signataires multisig ?
Les opérateurs DPRK ont utilisé des intermédiaires non nord-coréens, techniquement compétents et dotés de profils professionnels vérifiables. Ces personnes ont établi des relations sur plusieurs mois, participé à des réunions en personne et déposé leurs propres fonds sur la plateforme pour établir la confiance. C'est une opération de renseignement humain (HUMINT) appliquée au secteur crypto.
Les fonds volés peuvent-ils être récupérés ?
Les chances de récupération sont faibles. Les fonds ont été rapidement déplacés à travers des mixeurs et des bridges cross-chain. Les forces de l'ordre et les sociétés d'analyse blockchain (TRM Labs, Elliptic, Chainalysis) suivent les flux, mais l'expérience montre que les groupes DPRK sont très efficaces pour blanchir les fonds volés via des réseaux de mules et des échanges non régulés.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
React2Shell : 766 serveurs Next.js compromis, credentials volés
CVE-2025-55182 (CVSS 10.0) : 766 serveurs Next.js compromis via React2Shell. Vol automatisé de credentials cloud, clés API et secrets via le framework C2 NEXUS Listener.
Cisco IMC : faille critique CVSS 9.8 permet un accès admin
Cisco corrige CVE-2026-20093 (CVSS 9.8), une faille critique dans l'IMC permettant à un attaquant non authentifié de prendre le contrôle admin des serveurs UCS. Correctifs disponibles, PoC public.
NoVoice : un rootkit Android caché dans 50 apps du Play Store
Le rootkit Android NoVoice, caché dans plus de 50 apps du Play Store avec 2,3 millions de téléchargements, exploite 22 failles pour rooter les appareils et persister.
Commentaires (1)
Laisser un commentaire