Hack de Drift Protocol : 285 M$ volés par des hackers nord-coréens via manipulation d'oracle et ingénierie sociale

🗓️ Contexte Source : TRM Labs, publiée le 3 avril 2026. Cet article couvre l’attaque survenue le 1er avril 2026 contre Drift Protocol, le plus grand exchange décentralisé de contrats perpétuels sur la blockchain Solana. TRM Labs qualifie cet incident de plus grand hack DeFi de 2026 et attribue l’attaque à des hackers nord-coréens. 🎯 Nature de l’attaque L’attaque repose sur une combinaison de trois vecteurs : Ingénierie sociale : manipulation des signataires du multisig du Security Council de Drift pour leur faire pré-signer des transactions apparemment routinières mais contenant des autorisations administratives cachées Manipulation d’oracle : création d’un token fictif — CarbonVote Token (CVT) — avec 750 millions d’unités mintées, quelques milliers de dollars de liquidité sur Raydium, et du wash trading pour simuler un prix proche de 1 USD, trompant les oracles de Drift Exploit de gouvernance : exploitation d’une migration du Security Council vers une configuration 2/5 sans timelock, réalisée le 27 mars 2026, supprimant la dernière ligne de défense du protocole 📅 Chronologie 11 mars 2026 : début du staging on-chain ; retrait de 10 ETH depuis Tornado Cash 12 mars 2026 (~00h00 GMT / 09h00 heure de Pyongyang) : déplacement des ETH et déploiement du token CVT 23-30 mars 2026 : création de comptes « durable nonce » sur Solana pour pré-signer des transactions 27 mars 2026 : migration du Security Council vers une configuration zero-timelock 1er avril 2026 : exécution de l’exploit en 12 minutes via 31 transactions de retrait drainant USDC et JLP 2 avril 2026 : confirmation officielle par Drift Protocol ; la majorité des fonds bridgés vers Ethereum en quelques heures 💰 Impact 285 millions USD de fonds utilisateurs dérobés Plus grand hack DeFi de 2026 Deuxième plus grand exploit de l’histoire de Solana (derrière le hack Wormhole de 2022 : 326 M$) Le token DRIFT a chuté de plus de 40% Dépôts et retraits suspendus par le protocole Vitesse et volume de blanchiment supérieurs à ceux de l’exploit Bybit de 2025 🔍 Attribution TRM Labs attribue l’attaque à des hackers nord-coréens sur la base d’indicateurs on-chain, notamment l’heure d’activité initiale (09h00 heure de Pyongyang) et les méthodes employées. L’enquête est en cours.