Les prompts d’exploitation de Drift déclenchent un outreach/une approche en chaîne pour $280M ETH volés après l’attaque Solana–Ethereum

À la suite d’une attaque DeFi majeure, Drift Protocol a commencé un démarchage direct concernant l’exploit lié à la dérive, pendant que des enquêteurs retracent les fonds sur plusieurs blockchains.

Drift cible les portefeuilles du pirate avec des messages on-chain

Le 3 avril, Drift Protocol a intensifié sa réponse au piratage récent en envoyant des messages on-chain à quatre portefeuilles Ethereum détenant l’essentiel des actifs volés. D’après des données issues de la blockchain, ces adresses contrôlent ensemble environ 129,000 ETH, liés à ce qui est devenu l’un des plus importants exploits DeFi de 2026.

L’exploit a dérobé environ $270 million à $285 million au protocole, perturbant gravement les conditions de trading et de liquidité. Toutefois, l’équipe affirme désormais avoir identifié des acteurs clés liés à l’incident et les exhorte publiquement à engager le dialogue plutôt que de rester silencieux.

Le démarchage a été effectué depuis une adresse connue comme étant contrôlée par Drift, qui a transmis un message standardisé à chacun des quatre portefeuilles ciblés. De plus, cette démarche indique que le protocole est disposé à explorer des résolutions négociées, une voie empruntée par d’autres projets crypto lors de précédents vols à grande échelle.

Le message appelle à communiquer via le chat Blockscan

Le contenu du message était concis. Drift a indiqué aux propriétaires du portefeuille qu’il est « prêt à parler » et leur a demandé de répondre via le chat Blockscan, un outil de communication hors chaîne associé aux adresses Ethereum. Cela fait écho à des cas précédents où des projets attaqués ont cherché à ouvrir un canal de communication avec des pirates.

Historiquement, de tels efforts ont produit des résultats mitigés. Dans certains piratages très médiatisés, le dialogue a permis une récupération partielle, voire totale, des actifs, parfois sous la forme d’un accord « white-hat ». Cela dit, dans d’autres situations, les attaquants ont ignoré les messages et ont continué à déplacer des fonds, laissant les victimes avec peu d’espoir de restitution.

Dans ce cas, des équipes de sécurité et des fournisseurs d’analytique on-chain examinent également si le vol et les transferts ultérieurs présentent des schémas associés à la cybercriminalité organisée. Cependant, toute attribution potentielle demeure non confirmée, et l’objectif pour l’instant est de suivre les flux et de préserver les preuves.

Comment l’attaque a contourné les smart contracts

L’exploit de dérive se distingue parce qu’il ne reposait pas sur un bug classique de smart contract. À la place, il a exploité une faiblesse au niveau système autour des durable nonces de Solana, une fonctionnalité légitime qui permet aux développeurs de préparer et de signer des transactions à l’avance, pour ensuite les soumettre plus tard.

L’attaquant a utilisé des transactions pré-signées créées il y a plusieurs semaines, puis a réussi à obtenir un contrôle partiel sur la configuration de gouvernance multisig du protocole. Avec cette influence, il a désactivé ou contourné plusieurs contrôles de risque conçus pour protéger les fonds des utilisateurs. Par conséquent, une fois les garde-fous affaiblis, le hacker a pu drainer du capital depuis plusieurs coffres en succession rapide.

L’opération entière s’est déroulée rapidement, entraînant la perte de plus de la moitié de la valeur totale verrouillée de Drift Protocol. De plus, l’événement souligne à quel point la conception de la gouvernance et la gestion des clés peuvent être aussi cruciales que le code des contrats dans la sécurisation des plateformes DeFi.

Transferts inter-chaînes et concentration de l’ETH volé

Après avoir vidé les coffres, l’attaquant n’a pas laissé les actifs sur Solana. À la place, il a utilisé une infrastructure inter-chaînes pour transférer les fonds vers Ethereum, convertissant une large part en ETH. Des données on-chain, mises en avant par des sociétés d’analytique comme Arkham, montrent qu’environ 129,000 ETH sont désormais répartis sur quatre portefeuilles clés.

Ce schéma correspond à une tendance plus large dans laquelle les attaquants utilisent des fonds bridgés entre chaînes pour compliquer le suivi et la récupération. Cependant, de telles actions créent aussi des concentrations de valeur très visibles, pouvant être observées en temps réel par des exchanges, des forces de l’ordre et des chercheurs indépendants.

Malgré une surveillance active, certains membres de la communauté ont critiqué ce qu’ils perçoivent comme une réponse opérationnelle lente. Plus précisément, les utilisateurs se sont demandé pourquoi certains tokens ou positions n’avaient pas été gelés plus tôt, ou pourquoi ils n’avaient pas fait l’objet de couvertures plus agressives dès qu’une activité de gouvernance anormale a été détectée.

Soupçons de criminalité organisée et enquête en cours

Plusieurs observateurs de l’industrie ont spéculé sur d’éventuels liens entre l’attaquant et des organisations connues de cybercriminalité, notamment compte tenu de la sophistication de la prise de contrôle de la gouvernance et de la planification des transactions. Cela dit, les déclarations publiques de Drift et des équipes de sécurité externes soulignent qu’aucune attribution définitive n’a encore été établie.

Les forces de l’ordre et des groupes privés de réponse aux incidents seraient en train de coordonner le suivi de la trace via messages on chain et les flux de l’ETH volé. En outre, les enquêteurs examinent l’activité historique sur les portefeuilles impactés pour voir si de vieilles transactions relient des entités précédemment signalées.

Pour l’instant, Drift s’est engagé à publier davantage d’informations une fois les audits de tiers et les examens médico-légaux terminés. Les canaux sociaux du protocole, y compris son compte officiel X, ont été utilisés pour regrouper des mises à jour et référencer des transactions on-chain clés pour la communauté.

Impact sur Drift, le token DRIFT, et la liquidité DeFi

Les retombées dépassent les pertes immédiates du protocole. Des données récentes indiquent que près de 20 projets DeFi interconnectés ont subi des effets en chaîne à la suite de l’incident. Certains protocoles ont temporairement interrompu des services ou restreint certaines opérations afin de prévenir une contagion potentielle et de gérer l’impact sur la liquidité DeFi.

Le token natif DRIFT a réagi fortement, enregistrant une forte baisse au fur et à mesure que la nouvelle de l’exploit et de la compromission de la gouvernance se diffusait. La confiance du marché dans l’effet de levier et les produits de dérivés sur Solana a également été touchée, reflétant des réévaluations plus larges du risque par des traders professionnels et particuliers.

Cependant, il est important de noter que la couche de base de Solana continue de fonctionner normalement. La brèche s’est produite au niveau de l’application et de la gouvernance, et non en raison d’une défaillance de consensus ou d’un problème du protocole. Cette distinction compte pour la perception à long terme de l’écosystème et pour les investisseurs qui évaluent le risque lié aux smart contracts.

Enseignements pour la gouvernance et la conception de la sécurité

L’attaque met en évidence la manière dont même un code bien audité peut être fragilisé par des faiblesses dans les structures de gouvernance, le partage des clés et les processus opérationnels. Dans ce cas, la compromission partielle de la gouvernance multisig a permis à l’attaquant de transformer en arme des transactions préalablement signées et des fonctionnalités légitimes du protocole.

Les experts en sécurité soutiennent que des politiques de rotation des clés plus robustes, des contrôles d’accès plus stricts et une surveillance en temps réel des actions de gouvernance auraient pu limiter les dégâts. De plus, des playbooks d’incident plus clairs et des coupe-circuits automatisés pourraient aider les protocoles à réagir plus vite lorsque des changements anormaux de permissions ou de comportement des coffres surviennent.

Alors que l’enquête sur l’exploit de Drift Protocol se poursuit, l’affaire est susceptible de devenir un point de référence pour les cadres de gestion des risques et les revues de sécurité dans l’ensemble de la DeFi. En résumé, l’incident souligne que des audits de code seuls ne suffisent pas ; une gouvernance résiliente, une gestion des clés et une surveillance inter-chaînes sont essentielles pour prévenir des pertes à grande échelle similaires.