285 millions ont été drainés en 12 minutes, non pas à cause d'une faille, mais parce que le système faisait davantage confiance aux humains qu'il ne le devrait.

Le 1er avril 2026, Drift Protocol, le plus grand DEX perpétuel sur Solana, a été exploité pour 285 millions de dollars. Le protocole disposait d’environ $550M de valeur totale verrouillée avant l’attaque, et plus de la moitié de cette somme a été effectivement effacée en quelques minutes.

L’aspect important est le suivant : rien n’était cassé au niveau du code. Il n’y avait pas de bug dans le contrat intelligent. Le système a fonctionné exactement comme prévu.

Les attaquants ont passé environ six mois à préparer leur accès. Ils ont approché des contributeurs à la fin de 2025 en se faisant passer pour une société de trading légitime, ont assisté à de vraies conférences, ont mené des discussions techniques, et ont même déployé plus de $1M dans l’écosystème pour paraître crédibles. Avec le temps, ils ont gagné la confiance et ont introduit des outils malveillants via des dépôts de code partagés et de fausses applications. Cela leur a permis de compromettre les appareils des contributeurs connectés à la gouvernance.

De là, ils ont ciblé la couche de gouvernance plutôt que le code.

Drift utilisait une multisignature 2-sur-5 sans timelock, ce qui signifiait que deux signataires pouvaient approuver instantanément des actions administratives. Les attaquants ont exploité cela en faisant approuver des transactions à l’avance via une fonctionnalité de Solana appelée nonces durables, qui permet à une transaction signée de rester valide indéfiniment. Ces approbations ont été recueillies plusieurs semaines avant l’exploitation et ne pouvaient pas être révoquées par la suite.

En même temps, les attaquants ont créé un faux jeton appelé CVT. Ils ont frappé 750 millions de jetons, ajouté une liquidité minimale, et utilisé le wash trading pour faire semblant d’un vrai $1 actif. Le système d’oracle du protocole a accepté ce prix comme valide car il n’y avait pas de contrôles stricts de liquidité ou de validation en place.

Lorsque tout était prêt, l’exécution a duré environ 12 minutes.

Ils ont utilisé les transactions pré-approuvées pour prendre le contrôle de la gouvernance, ont listé le faux jeton comme garantie, ont manipulé son prix via leur propre oracle, et ont augmenté les limites de retrait pour supprimer pratiquement tous les contrôles de risque. Ensuite, ils ont déposé la fausse garantie et emprunté de vrais actifs contre celle-ci dans plusieurs coffres.

Au total, 31 transactions ont drainé environ $285 millions d’actifs, y compris USDC, ETH, des tokens basés sur SOL, et d’autres.

En quelques heures, les fonds ont été déplacés entre chaînes. Les attaquants ont échangé des actifs contre de l’USDC, ont bridgé plus de $200M vers Ethereum via plus de 100 transactions, l’ont converti en environ 129 000 ETH, et ont réparti les fonds sur plusieurs portefeuilles.

L’attaque a été liée au Lazarus Group, qui a volé plus de $6B dans les écosystèmes crypto ces dernières années.

Ce n’était pas une défaillance de la technologie blockchain. C’était une défaillance de la conception de la gouvernance, de la confiance humaine.

C’était une combinaison de :

• Ingénierie sociale à long terme
• Accès à la gouvernance pré-approuvé
• Collatéral fictif qui passait les vérifications du système
• Exécution immédiate sans garde-fous de délai