Le protocole DeFi Drift sur Solana a perdu 285 millions de dollars en 12 minutes. L'attaque, attribuée à la Corée du Nord, reposait sur six mois d'ingénierie sociale ciblant les signataires multisig.
En bref
- Le protocole DeFi Drift sur Solana a été vidé de 285 millions de dollars le 1er avril 2026 en seulement 12 minutes.
- L'attaque est attribuée à des hackers nord-coréens (DPRK) après six mois d'ingénierie sociale ciblée.
- Action requise : auditer immédiatement les processus de gouvernance multisig de vos plateformes DeFi.
Les faits
Le 1er avril 2026, le protocole Drift — la plus grande plateforme d'échange de contrats à terme perpétuels décentralisés sur Solana — a subi la plus importante attaque DeFi de l'année. En à peine 12 minutes, les attaquants ont drainé environ 285 millions de dollars en actifs utilisateurs, transférés ensuite vers Ethereum en quelques heures. Selon Bloomberg et TRM Labs, il s'agit du deuxième plus gros exploit de l'histoire de Solana, derrière le hack du bridge Wormhole en 2022 (326 millions de dollars).
L'enquête de TRM Labs, confirmée par The Hacker News le 8 avril 2026, attribue l'attaque à un groupe affilié à la Corée du Nord (DPRK). L'opération a débuté à l'automne 2025 par une campagne d'ingénierie sociale sophistiquée visant les signataires multisig du protocole. Les attaquants ont manipulé ces signataires pour qu'ils pré-signent des autorisations cachées, puis ont exploité une migration du Security Council sans timelock pour éliminer la dernière ligne de défense du protocole.
Impact et exposition
L'attaque n'exploitait pas une faille dans les smart contracts eux-mêmes, mais une combinaison de vecteurs humains et de faiblesses de gouvernance. Les hackers ont créé un token fictif — CarbonVote Token — avec quelques milliers de dollars de liquidité artificielle et de wash trading. Les oracles de Drift ont traité ce token comme un collatéral légitime valant des centaines de millions de dollars. Toute plateforme DeFi utilisant des mécanismes de gouvernance multisig avec des timelocks insuffisants ou des processus de validation oracle permissifs est potentiellement exposée à des attaques similaires. L'incident met en lumière les risques systémiques liés à la supply chain humaine dans l'écosystème crypto.
Recommandations
- Auditer immédiatement les processus de gouvernance multisig : vérifier les timelocks, les seuils de signature et les mécanismes de migration du conseil de sécurité.
- Implémenter une validation multi-source des oracles de prix avec des seuils de liquidité minimum pour l'acceptation de collatéral.
- Former les signataires multisig aux techniques d'ingénierie sociale avancée, notamment les campagnes ciblées de longue durée attribuées à des acteurs étatiques.
- Mettre en place des alertes automatiques sur les migrations de gouvernance et les changements de paramètres critiques.
Alerte critique
Cette attaque démontre que les acteurs étatiques nord-coréens ciblent désormais activement les protocoles DeFi via des campagnes d'ingénierie sociale de plusieurs mois. Le vecteur principal n'est pas technique mais humain. Renforcez immédiatement vos processus de validation anti-phishing pour tous les détenteurs de clés critiques.
Comment savoir si notre protocole DeFi est vulnérable à ce type d'attaque ?
Vérifiez trois points : (1) vos timelocks de gouvernance sont-ils suffisamment longs pour permettre une détection avant exécution ? (2) vos oracles valident-ils la liquidité réelle et l'historique des tokens acceptés en collatéral ? (3) vos signataires multisig ont-ils reçu une formation récente aux techniques d'ingénierie sociale ciblée ? Si la réponse est non à l'un de ces points, vous êtes exposé.
Pourquoi la Corée du Nord cible-t-elle les plateformes crypto ?
Les groupes affiliés à la DPRK utilisent le vol de cryptomonnaies comme source majeure de financement étatique, contournant les sanctions internationales. Selon les estimations, la Corée du Nord a dérobé plus de 3 milliards de dollars en cryptoactifs depuis 2017. Les protocoles DeFi représentent des cibles privilégiées en raison de leur valeur élevée et de leurs surfaces d'attaque étendues sur la couche de gouvernance.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Affinity : fuite de données après compromission d'un admin forum
Le forum d'Affinity compromis le 6 avril via un compte admin piraté. Emails, IP et métadonnées exposés. Changez vos mots de passe et surveillez le phishing ciblé.
Faille UEFI critique : attaques pré-boot sur ASUS, MSI, Gigabyte
Une faille UEFI dans les cartes mères ASRock, ASUS, Gigabyte et MSI permet des attaques DMA pré-boot. Quatre CVE attribués. Mises à jour firmware à appliquer en priorité.
Windows 11 : Microsoft corrige le bug du menu Démarrer
Microsoft corrige un bug cassant la recherche du menu Démarrer de Windows 11 23H2, causé par une mise à jour Bing côté serveur déployée le 6 avril.
Commentaires (1)
Laisser un commentaire