Le protocole Drift a été dérobé de 285 millions de dollars : des pirates nord-coréens prévoyaient 6 mois, en utilisant Durable Nonce pour contourner des signatures multiples

Le protocole de dérivés connu Drift Protocol sur la blockchain Solana a été attaqué par des pirates le 1er avril, entraînant une perte d’environ 2,85 milliards de dollars. La valeur totale verrouillée (TVL) du protocole, d’environ 550 millions de dollars avant l’incident, a chuté brusquement à environ 230 millions de dollars après l’attaque. Par la suite, l’équipe de Drift a publié un rapport d’enquête détaillé, révélant qu’il s’agissait d’une attaque d’ingénierie sociale menée sur 6 mois, soutenue par des ressources de niveau étatique.

6 mois d’infiltration : des conférences crypto jusqu’au dépôt de code

Selon l’enquête de Drift, les attaquants ont commencé à déployer leur opération dès l’automne 2025. Ils se sont présentés comme une société de trading quantitatif légitime et ont pris contact avec des contributeurs de Drift lors de plusieurs conférences de cryptomonnaies, en établissant des relations professionnelles qui semblaient réelles. Au cours d’une infiltration de 6 mois, les attaquants :

Ont créé un groupe Telegram pour discuter, avec l’équipe de Drift, de stratégies de trading

Ont établi leur crédibilité en utilisant des fonds réels (plus de 1 million de dollars) pour créer des positions dans les Vaults de l’écosystème

Ont tenu plusieurs réunions de travail dans plusieurs pays

Finalement, l’intrusion aurait pu être réalisée via deux canaux : un contributeur a copié un dépôt de code susceptible d’exploiter une vulnérabilité connue de VSCode/Cursor ; l’autre contributeur a téléchargé l’application TestFlight fournie par les attaquants, présentée comme un « produit portefeuille ».

Méthodes techniques : transactions pré-signées avec Durable Nonce pour contourner les multi-signatures

Sur le plan technique, les attaquants ont utilisé le mécanisme de compte « Durable Nonce » sur Solana — une fonctionnalité qui permet de pré-signer des transactions et de différer leur exécution. Ils s’en sont servis pour préparer à l’avance toutes les signatures des transactions malveillantes, puis, une fois les autorisations suffisantes obtenues, les exécuter instantanément, laissant au camp défensif un temps de réaction extrêmement limité.

Les attaquants ont rapidement obtenu le contrôle de la gestion du comité de sécurité de Drift, puis ont vidé les actifs concernés. Par la suite, Drift a souligné que tous les membres multi-signatures utilisaient des cold wallets, mais que cela n’a pas permis d’empêcher l’attaque, ce qui montre que « lorsque l’attaque vise le niveau humain, même un contrôle matériel strict peut être contourné ».

Visant la Corée du Nord : UNC4736, le même groupe que pour l’attaque contre Radiant Capital

Drift indique avoir attribué l’attaque avec un degré de « confiance moyenne à très élevée » à UNC4736 (également connue sous les noms Citrine Sleet, AppleJeus), un groupe de pirates lié au gouvernement nord-coréen. L’enquête indique que le schéma de l’incident correspond très étroitement à l’attaque d’octobre 2024 ayant entraîné une perte de 58 000 000 de dollars pour Radiant Capital, et estime qu’il s’agit des mêmes acteurs.

Circle fait l’objet de critiques : pourquoi n’avoir pas gelé immédiatement les USDC dérobés ?

Après l’attaque, un autre point de controverse concerne la rapidité de la réaction de Circle. D’après les données de PeckShield, les attaquants ont volé environ 71 000 000 de dollars USDC via Drift, et après avoir converti d’autres actifs volés en USDC, ils ont utilisé le protocole de transfert inter-chaînes de Circle (CCTP) pour acheminer environ 232 000 000 de dollars d’USDC de Solana vers Ethereum, rendant la récupération beaucoup plus difficile.

Le connu enquêteur on-chain ZachXBT a critiqué le fait que l’action de Circle ait été trop lente, tout en soulignant une comparaison ironique : le même jour où les attaquants ont configuré le compte Durable Nonce (le 23 mars), Circle a pourtant gelé en quelques minutes 16 portefeuilles chauds commerciaux, en raison d’un dossier de procédure civile aux États-Unis — mais face à une attaque DeFi dépassant largement les 9 chiffres, il n’y a eu aucune action aussi rapide.

La réponse de Circle est la suivante : « Circle est une société réglementée et opère conformément aux exigences de sanctions, aux ordres d’exécution et aux décisions de justice. Nous gelons les actifs lorsque la loi l’exige, afin de respecter l’État de droit et de protéger les droits et la vie privée des utilisateurs. » Le conseiller juridique de Plume a, lui, appelé les organes législatifs à mettre en place un mécanisme de « safe harbor », afin que les émetteurs de stablecoins puissent geler des actifs lorsqu’ils ont des motifs raisonnables de croire que les fonds pourraient être impliqués dans une activité illégale, tout en étant exonérés de responsabilité civile.

Avertissement pour l’industrie DeFi

L’annonce de Drift a suscité une large attention dans l’ensemble du secteur. Cette attaque montre clairement que des groupes de pirates de niveau étatique mènent depuis des mois des actions de collecte d’informations humaines (HUMINT) contre des protocoles DeFi, et non pas simplement en exploitant des failles techniques. Les leçons clés incluent : ne pas dupliquer un dépôt externe sur des machines en contact avec des clés de production ou des appareils multi-signatures ; ne pas installer d’applications tierces ni ouvrir des liens inconnus ; et veiller à une séparation totale entre les appareils et les droits d’accès.

Cet article : Drift Protocol vole 2,85 milliards de dollars : des pirates nord-coréens prêts depuis 6 mois, en utilisant Durable Nonce pour contourner les multi-signatures. Apparaît pour la première fois dans Chaîne d’actualité ABMedia.