Le piratage du protocole Drift draine 285 millions de dollars, touchant durement la DeFi sur Solana

• L’exploit de Drift a siphonné 285 M$ via le contrôle d’administration, provoquant une baisse de la TVL, une chute du token et l’arrêt des activités dans l’ensemble de la DeFi sur Solana.

• L’attaque a utilisé la manipulation d’oracles et une gouvernance faible pour gonfler la valeur des garanties et retirer rapidement des actifs réels.

• Les fonds ont été transférés de manière cross-chain vers Ethereum, rendant la récupération plus complexe tandis que les investigations et les efforts des forces de l’ordre se poursuivent.

Un exploit soudain sur le protocole Drift le 1er avril 2026 a effacé environ 285 millions de dollars et a secoué le secteur DeFi de Solana en quelques minutes. Les attaquants ont pris le contrôle d’administration, vidé les fonds des vaults et déclenché une forte baisse de l’activité de trading, de l’intérêt ouvert et de la valeur totale verrouillée, forçant plusieurs plateformes à suspendre leurs opérations et à évaluer leur exposition.

Déclenchement de l’exploit : repli rapide du marché

Drift Protocol a confirmé l’attaque peu après l’apparition d’une activité inhabituelle on-chain. L’équipe a rapidement suspendu les dépôts et les retraits pour contenir la brèche. Toutefois, les dégâts s’étaient déjà propagés à l’ensemble de l’écosystème.

En moins d’une heure, la valeur totale verrouillée de Drift est passée d’environ 550 millions de dollars à moins de 300 millions de dollars. Dans le même temps, le token DRIFT a chuté de plus de 40 %. Par conséquent, les traders ont réduit leur activité sur les plateformes DeFi basées sur Solana.

Plusieurs protocoles connectés ont réagi immédiatement. PiggyBank_fi a couvert environ 106 000 $ d’exposition grâce à des fonds internes. Pendant ce temps, Reflect Money a interrompu la frappe et les rachats, tandis que Ranger Finance a stoppé des fonctions clés en raison de pertes potentielles.

L’attaque a exploité les lacunes de gouvernance et de tarification

Les enquêteurs ont ensuite détaillé comment l’attaquant a exécuté l’exploit. D’après les données on-chain, la brèche combinait une clé d’administration compromise, une tarification d’oracle manipulée et des contrôles de gouvernance faibles.

L’attaquant a créé un token appelé CarbonVote Token et en a gonflé la valeur via du wash trading. Avec le temps, les oracles de prix ont repris la valorisation artificielle, la traitant comme des données de marché légitimes.

Le 1er avril, l’attaquant a listé le token sur Drift en utilisant des privilèges d’administration. Il a ensuite relevé les limites de retrait et déposé des garanties gonflées. Cela a permis d’emprunter rapidement des actifs réels.

Environ en 12 minutes, l’attaquant a mené à bien 31 retraits, vidant les USDC, SOL et d’autres actifs. Notamment, le système ne nécessitait que deux des cinq signataires et ne disposait pas de timelock.

Les fonds ont été déplacés rapidement à travers les chaînes

Après l’exploit, l’attaquant a converti les actifs en USDC et a déplacé les fonds hors chaîne. Les enregistrements blockchain indiquent des transferts vers Ethereum via le protocole de transfert cross-chain de Circle.

Sur Ethereum, certaines portions ont été échangées contre ETH, tandis que d’autres sont passées par des exchanges. Ce mouvement a compliqué le suivi et les efforts de récupération.

Pendant ce temps, l’enquêteur ZachXBT a critiqué la réponse de Circle. Il a noté que de gros transferts d’USDC avaient eu lieu pendant les heures américaines sans être gelés. L’équipe de Drift continue de travailler avec les forces de l’ordre et des partenaires de sécurité, tandis que les investigations se poursuivent.