Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 268Détournement de frontend

Détournement de nonce durable de Drift Protocol

Des ingénieurs sociaux de DPRK ont piégé le Security Council de Drift en blind-signant des transactions à nonce durable, drainant 285 M$ sur Solana.

Date
Victime
Drift Protocol
Chaîne(s)
Solana
Statut
Fonds dérobés
Attribution
Suspected Lazarus Group (DPRK)

Le 1er avril 2026, l'exchange de perpétuels Solana Drift Protocol a perdu environ 285 millions de dollars — le deuxième plus gros exploit de l'histoire de Solana, après Wormhole. L'attaque a couronné une campagne d'ingénierie sociale de six mois dans laquelle des opérateurs se faisant passer pour une société de trading quantitatif ont cultivé la confiance avec les contributeurs de Drift et ont finalement piégé les membres du Security Council pour qu'ils signent en aveugle des transactions à nonce durable qui transféraient silencieusement le contrôle admin du protocole.

Ce qui s'est passé

Les permissions admin de Drift étaient détenues par un schéma multi-signatures du Security Council. Tant que le Council ne signait rien de malveillant, Drift était sécurisé. La chaîne d'attaque était conçue pour faire signer quelque chose de malveillant au Council sans qu'ils s'en rendent compte.

Solana supporte les nonces durables — une primitive qui permet aux utilisateurs de construire une transaction à l'avance, de la signer et de faire en sorte qu'une partie séparée la soumette pour exécution plus tard. Le mécanisme est utile pour la signature offline, les opérations en batch et certains flux de custody. Il est aussi dangereux, car une transaction à nonce durable signée peut rester dormante pour une période arbitraire et être déclenchée à la discrétion de l'attaquant.

Les attaquants (dont le pattern de blanchiment, l'infrastructure et le tradecraft ont été reliés à des acteurs DPRK par plusieurs firmes) :

  1. Se sont fait passer pour une société de trading quantitatif dès l'automne 2025. Ont construit des relations professionnelles avec les contributeurs de Drift, y compris les membres du Security Council. Ont mené des réunions, des discussions techniques et des recherches conjointes sur plusieurs mois.
  2. Ont finalement proposé une « intégration de trading » ou un engagement technique similaire qui exigeait des membres du Council qu'ils pré-signent un ensemble de transactions à nonce durable à des fins ostensiblement inoffensives (le prétexte précis variait selon la cible).
  3. Les transactions présentées aux signataires via les wallets et les UI de signature étaient conçues pour afficher des payloads bénins — par une combinaison de tromperie d'UI, d'obfuscation des calldata et de la difficulté inhérente à lire les structures d'adresses dérivées de programmes Solana au moment de la signature.
  4. Sous les payloads affichés, les instructions réellement signées transféraient le contrôle admin du protocole Drift à des clés contrôlées par l'attaquant.
  5. Les transactions à nonce durable signées sont restées dormantes pendant des semaines.
  6. Le 1er avril 2026, les attaquants ont déclenché les transactions. Le contrôle admin est passé silencieusement. Ils ont ensuite whitelisté un token sans valeur déployé par l'attaquant (CVT) comme collatéral, déposé 500M CVT contre un prix artificiel et retiré 285 M$ en actifs réels — USDC, JLP, cbBTC, SOL, JitoSOL, WETH, WBTC, FARTCOIN, et d'autres.

Conséquences

  • Drift a suspendu les coffres affectés dès que les retraits non autorisés ont été détectés. À ce moment-là, >50 % de la TVL avait été drainée.
  • La Solana Foundation a annoncé un programme pour aider à financer les investissements en sécurité chez les grands protocoles DeFi Solana à la suite de l'incident — y compris des subventions de vérification formelle et une infrastructure de monitoring partagée.
  • La forensique on-chain a relié les retraits Tornado Cash du 10-11 mars 2026 à de l'activité de staging pour l'opération — établissant une fenêtre de préparation longue de plusieurs mois.
  • Les efforts de récupération se sont concentrés sur les pistes de blanchiment ; des gels partiels se sont produits aux points d'étranglement des grands exchanges. L'essentiel des fonds a été blanchi via les routes Lazarus standards.

Pourquoi c'est important

Le hack de Drift est le cas d'école pour pourquoi l'ingénierie sociale + la tromperie d'UI de signature est désormais le vecteur d'attaque dominant à haute valeur dans le crypto. Le même pattern s'est déroulé à bien plus grande échelle :

  • Radiant Capital (oct. 2024, 53 M$) — phishing Telegram → malware macOS → tromperie d'UI des signataires Gnosis Safe.
  • Bybit (févr. 2025, 1,46 Md$) — compromission de développeur Safe{Wallet} → injection JS frontend → signataires approuvant des calldata malveillants.
  • Drift (avr. 2026, 285 M$) — Construction de relation sur six mois → nonces durables blind-signés → prise de contrôle admin silencieuse.

La leçon structurelle est constante : la frontière de sécurité du multi-sig est l'intégrité de ce que les signataires voient quand ils signent, et cette intégrité est de plus en plus sous attaque soutenue, bien dotée et alignée sur des États. La réponse défensive — vérification de calldata hors bande, interdictions de blind-signing sur les wallets hardware, affichages de simulation de transaction indépendants, contrôles de politique sur les nonces durables — devient une pratique standard mais accuse un retard sur l'évolution de l'attaquant.

Pour l'écosystème Solana spécifiquement, l'incident Drift a mis en avant les nonces durables comme risque au niveau gouvernance qui n'avait pas été largement compris, et a déclenché une revue plus large de chaque protocole les utilisant dans des chemins admin.

Sources & preuves on-chain

  1. [01]chainalysis.comhttps://www.chainalysis.com/blog/lessons-from-the-drift-hack/
  2. [02]trmlabs.comhttps://www.trmlabs.com/resources/blog/north-korean-hackers-attack-drift-protocol-in-285-million-heist
  3. [03]crypto.newshttps://crypto.news/drift-protocols-285m-hack-exposes-social-engineering-threat-to-solana-defi/

Dépôts liés