Le piratage de Drift Protocol attribué au groupe derrière l'exploit de Bybit - Coinfea

L’exploit récent du protocole Drift a été attribué à des pirates nord-coréens, possiblement le même groupe qui a exploité Bybit pour plus de 1,4B $. L’exploit a touché plusieurs applications DeFi dans l’écosystème Solana. L’analyse du protocole Drift montre que l’exploit aurait possiblement été réalisé par le groupe Lazarus de la Corée du Nord, les mêmes acteurs menaçants derrière plusieurs autres attaques.

D’après l’analyse de DivergSec et des rapports d’Elliptic et de TRM Labs, de nouvelles informations concernant l’exploit sont en train d’émerger. L’attaquant n’a pas seulement compromis une fois la multisig du protocole Drift. Drift a migré certains de ses portefeuilles multisig vers de nouveaux membres du Conseil de sécurité. En l’espace de trois jours, l’attaquant a compromis la nouvelle multisig et s’est préparé avec des transactions pré-signées le 31 mars, un jour avant l’attaque.

Incident du protocole Drift lié à des hackers nord-coréens

L’utilisation spécifique de portefeuilles indique le modus operandi du groupe Lazarus : un portefeuille d’abord financé par Tornado Cash, un pontage multi-chaînes rapide vers ETH, puis une consolidation des fonds pour le mélange. D’après les recherches d’Elliptic, Lazarus a mené 18 attaques sur l’année à ce jour. Les chercheurs coopéreront avec l’équipe du protocole Drift pour suivre les fonds. Le protocole Drift a annoncé que des informations critiques concernant les parties impliquées ont été découvertes.

En outre, l’équipe a envoyé des messages aux quatre portefeuilles identifiés détenant actuellement les produits du hack. Le message suggérait que le protocole Drift aurait pu connaître l’identité des hackers. La communauté s’interroge sur un éventuel accès interne ou une infiltration du projet. Malgré cela, le protocole Drift a tout de même été critiqué pour avoir un zero timelock sur les changements au niveau du protocole, permettant au pirate d’exfiltrer la liquidité immédiatement.

Le protocole Drift conserve 232M $ de valeur verrouillée, en baisse par rapport à plus de 550M $. Plusieurs protocoles qui utilisaient Drift pour générer du rendement ont eu leurs fonds volés ou gelés, en totalité ou en partie. SOL a récupéré au-dessus de 80 $ après une brève baisse en réponse au hack. Le hack a touché Reflect Money pour son rendement agricole USD+. DeFi Carrot a perdu 50% de son TVL dans Drift, et les tokens CRT ont aussi été affectés. Ranger Finance a été exposé via rUSD. PiggybankFi a perdu 106K $ provenant de dépôts dans le protocole Drift.

Project0 a suspendu des prêts contre les coffres de Drift. D’autres projets, dont Pyra, qui a perdu tous ses fonds, et XPlace, qui utilisait principalement Drift pour générer du rendement. Elemental DeFi n’a été exposé que via un coffre USDC. Certains des protocoles n’avaient leurs fonds que mis en attente jusqu’à ce que la sécurité soit améliorée. Onze projets ont été touchés jusqu’à présent, sans compter les répercussions générales sur le sentiment et la perte de confiance dans le lending DeFi.

Un total de 35 protocoles DeFi ont été exploités en 2026 à ce jour, avec une tendance à l’accélération et des attaques davantage organisées. Environ 453M $ ont été extraits de la DeFi, montrant qu’il s’agit toujours d’un secteur à haut risque. Les hacks sapent le récit selon lequel la DeFi serait une façon adaptée d’obtenir du rendement avec un risque minimal.