Le protocole Drift révèle une attaque de nonce derrière l’exploitation de 280 millions de dollars

Le protocole Drift a confirmé une importante violation de sécurité qui a entraîné la perte d’environ 280 millions de dollars. L’incident a eu lieu le 1er avril 2026, après que l’équipe a d’abord remarqué une activité inhabituelle sur la plateforme. Au début, le protocole a averti les utilisateurs de ne pas déposer de fonds. 

Le protocole Drift subit une attaque active. Les dépôts et les retraits ont été suspendus. Nous coordonnons avec plusieurs entreprises de sécurité, ponts et plateformes d’échange pour contenir l’incident. Ce n’est pas une blague du poisson d’avril. Nous fournirons des mises à jour supplémentaires depuis ce compte au fur et à mesure… https://t.co/03SRPq4fHj

— Drift (@DriftProtocol) 1er avril 2026

Peu après, il a confirmé qu’une attaque active était en cours. Les dépôts et les retraits ont rapidement été suspendus pour limiter les dégâts. Les premières données en chaîne ont montré qu’une grande quantité de fonds avait été déplacée en quelques minutes. L’ampleur de l’incident a suscité des inquiétudes dans l’écosystème DeFi plus large de Solana.

Une attaque de nonce soigneusement planifiée

Selon l’équipe du protocole Drift, il ne s’agissait pas d’un simple piratage. Au contraire, l’attaquant a exécuté une attaque bien planifiée après des semaines de préparation. L’attaquant a utilisé une méthode impliquant des comptes de « nonce durable ». Ces fonctionnalités permettent aux utilisateurs de signer des transactions à l’avance et de les exécuter plus tard. Cela a aidé l’attaquant à retarder ses actions et à frapper au bon moment.

1er avril : Phase d’exécution

Étape 1 : Transaction de test légitime

Drift a exécuté un retrait de test du fonds d’assurance : https://t.co/HhTkt4ddnI

Étape 2 : Prise de contrôle par l’administrateur (~1 minute plus tard)

L’attaquant a exécuté deux transactions de nonce durable pré-signées (4 emplacements d’écart) :

– Créer…

— Drift (@DriftProtocol) 2 avril 2026

Plus important encore, l’attaquant a obtenu un accès au niveau administrateur. Cela s’est produit après avoir obtenu suffisamment d’approbations d’un système multisig. Les rapports montrent que l’attaquant a utilisé 2 des 5 approbations requises. Une fois que le hacker a pris le contrôle, il a agi rapidement. Il a modifié des paramètres clés et supprimé les limites sur les retraits. Cela leur a permis de vider les fonds en peu de temps.

Aucun bug de contrat intelligent trouvé

L’équipe du protocole Drift a clarifié un détail important. L’attaque de nonce ne s’est pas produite en raison d’un bug dans le code. Aucune preuve ne suggère que les attaquants ont piraté les portefeuilles des utilisateurs ou les phrases de récupération. Au lieu de cela, la vulnérabilité provenait de la manière dont le système gérait les approbations.

L’attaquant a probablement utilisé l’ingénierie sociale. Cela signifie qu’il a trompé ou induit en erreur des personnes pour qu’elles approuvent des transactions nuisibles. L’attaquant a ensuite utilisé ces approbations plus tard via le système de nonce. En termes simples, le système lui-même fonctionnait comme prévu. Mais l’attaquant a trouvé un moyen de détourner les approbations et le timing.

Fonds affectés et réponse immédiate

L’impact de l’attaque de nonce est significatif. Les fonds provenant des comptes de prêt, des coffres et des comptes de trading ont été affectés. Mais tous les actifs n’ont pas été perdus. Certains fonds restent en sécurité. Cela inclut des actifs en dehors du protocole et ceux dans le fonds d’assurance.

Tous les dépôts dans les prêts/emprunts, les dépôts dans les coffres et les fonds déposés pour le trading sont affectés.

Non affectés :
– DSOL non déposé dans Drift (y compris les actifs mis en jeu auprès du validateur Drift)
– Actifs du fonds d’assurance qui seront retirés du protocole pour être protégés

En tant que…

— Drift (@DriftProtocol) 2 avril 2026

Comme mesure de sécurité, le protocole a gelé la plupart des fonctions. Il a également mis à jour sa configuration multisig pour supprimer l’accès compromis. Pendant que l’équipe du protocole Drift travaille avec des entreprises de sécurité, des plateformes d’échange et les forces de l’ordre. L’objectif est de suivre et éventuellement de récupérer les fonds volés.

Qu’est-ce que cela signifie pour DeFi ?

Cet incident montre un risque clé dans DeFi. Même si les contrats intelligents sont sécurisés. Les facteurs humains peuvent toujours créer des points faibles. Les systèmes multisig sont censés améliorer la sécurité. Mais si les approbations sont mal gérées, ils peuvent devenir une cible.

Pour les utilisateurs, c’est un rappel de rester prudents. Cela montre la nécessité de protections plus solides autour des approbations et des contrôles administratifs pour les développeurs. L’équipe du protocole Drift a promis un rapport complet dans les jours à venir. D’ici là, l’accent reste mis sur le contrôle des dommages et l’enquête. L’attaque de nonce sur le protocole Drift se classe parmi les plus grands incidents DeFi de 2026 jusqu’à présent. De plus, ses leçons pourraient façonner la manière dont les protocoles gèrent la sécurité à l’avenir.