À l’intérieur du hack Drift à 280 millions de dollars : des semaines de configuration, des minutes à vider
L'échange cryptographique basé sur Solana, Drift Protocol, a été piraté hier pour environ 280 millions de dollars dans le cadre d'une opération de plusieurs semaines qui a probablement utilisé l'ingénierie sociale pour compromettre les approbations de plusieurs signataires multisig.
Le 1er avril à 19 heures UTC+1, Drift a annoncé qu'il y avait une « activité inhabituelle » sur le protocole et que les utilisateurs devraient éviter de déposer des fonds. Il a souligné : « Ce n’est pas un poisson d’avril. »
Cela faisait suite aux utilisateurs de X qui avaient alerté sur le fait que Drift était exploité et que cela allait être important.
Drift a ensuite confirmé qu'elle faisait l'objet d'une attaque continue et qu'elle devrait suspendre les dépôts et les retraits. Les chercheurs ont commencé à spéculer que les clés privées de Drift avaient été compromises.
Drift Protocol subit une attaque active. Les dépôts et retraits ont été suspendus. Nous nous coordonnons avec plusieurs sociétés de sécurité, ponts et bourses pour contenir l'incident. Ce n’est pas un poisson d’avril. Nous fournirons des mises à jour supplémentaires à partir de ce compte comme… https://t.co/03SRPq4fHj
– Dérive (@DriftProtocol) 1er avril 2026
Drift a depuis partagé une chronologie détaillée de ce qui s’est passé et comment.
Il a déclaré : « Il s’agissait d’une opération très sophistiquée qui semble avoir impliqué une préparation de plusieurs semaines et une exécution par étapes, y compris l’utilisation de comptes occasionnels durables pour présigner des transactions qui ont retardé l’exécution. »
Il affirme que l’attaque n’a pas été causée par un bug dans les programmes ou les contrats intelligents de Drift, qu’il n’y avait aucune preuve de phrases de départ compromises et que l’attaque impliquait des approbations de transactions non autorisées avant l’exécution du piratage.
Cependant, l’entreprise a admis que ces approbations avaient probablement été facilitées par une attaque d’ingénierie sociale contre son personnel et par la manipulation de « mécanismes occasionnels durables ».
Qu'est-ce qui s'est passé avec Drift
Les mécanismes de nonce durables sont un type d'outil blockchain qui peut contourner la signature blockhash et faciliter la signature de traduction hors ligne.
Drift affirme que le 23 mars, quatre comptes temporaires durables ont été créés, dont deux étaient associés aux membres multisig du Drift Security Council et deux associés à des comptes contrôlés par des attaquants.
Vous trouverez ci-dessous la chronologie des événements.23 mars : configuration initiale du nonceQuatre comptes nonce durables ont été créés : – deux associés aux membres multisig du Drift Security Council – deux associés à des comptes contrôlés par des attaquants. Comptes pertinents : a.…
– Dérive (@DriftProtocol) 2 avril 2026
Puis, le 27 mars, « Drift a exécuté une migration prévue du Conseil de sécurité en raison d’un changement de membre du conseil ».
Trois jours plus tard, un autre compte occasionnel durable a été créé pour un membre du multisig mis à jour, donnant aux attaquants « un accès effectif à 2/5 signataires du multisig mis à jour ».
Jour d'exécution
Drift affirme que le 1er avril, elle a effectué un retrait test du fonds d'assurance. L’attaquant, ayant accès aux approbations multisig, a ensuite exécuté « un transfert d’administrateur malveillant en quelques minutes, prenant le contrôle des autorisations au niveau du protocole ».
Les attaquants pourraient alors « utiliser ce contrôle pour introduire un actif malveillant et supprimer toutes les limites de retrait prédéfinies attaquant les fonds existants ».
Drift n’a partagé aucun détail sur la manière dont l’attaque probable d’ingénierie sociale a eu lieu. Ils peuvent parfois être le résultat d’un attaquant usant d’une fausse identité, que ce soit par message direct, e-mail ou téléphone, et incitant quelqu’un à lui donner accès à des privilèges clés.
Circle, partenaire de Drift, n'a pas gelé les fonds
L'incident a suscité les critiques de l'enquêteur crypto ZachXBT, qui a contesté la société stablecoin Circle et ses lents efforts pour geler les fonds volés.
Drift a intégré le protocole de transfert inter-chaînes (CTTP) de Circle en 2023. ZachXBT a noté que « Circle était endormi tandis que plusieurs millions d'USDC étaient échangés via CCTP de Solana à Ethereum pendant des heures à partir du piratage Drift à 9 chiffres pendant les heures américaines ».
"6 heures, c'est le temps qu'il a fallu à Circle pour geler les fonds volés lors du piratage Drift de plus de 280 millions de dollars", a-t-il déclaré.
D'autres utilisateurs ont contesté la classification du protocole comme « décentralisé », après que l'attaque semble avoir exploité des mécanismes centralisés.
D'autres utilisateurs étaient contrariés par le fait que Drift n'avait besoin que de deux approbations multiples sur cinq pour réaliser la transaction.
voilà, il y a le coupable 2/5 multisig pour un TVL de 500 millions sans verrouillage horaire, c'est fou, on pourrait penser que c'est 4/5 multisig mais non mec, ces équipes sont folles et ensuite elles proposeront un bs très technique pour expliquer pourquoi une fois que les fonds des utilisateurs auront disparu
– tobi (@tobific) 2 avril 2026
La plateforme a déclaré qu'elle travaillait aux côtés des sociétés de sécurité, des forces de l'ordre, des ponts et des bourses pour comprendre ce qui s'était passé et geler les avoirs volés. Il a ajouté qu'un rapport plus détaillé arriverait dans les prochains jours.
Le directeur de la technologie de Ledger a déjà émis l’hypothèse que les événements du piratage ressemblent à un modus operandi similaire « au piratage Bybit de l’année dernière, largement attribué à des acteurs liés à la RPDC ».
Protos a contacté Drift pour obtenir des commentaires et mettra à jour cet article si nous entendons quelque chose en réponse.