Le réseau du protocole DeFi Drift a subi un grave coup : selon son propre rapport et le suivi des signatures médico-légales, un acteur malveillant a réussi à enlever les pouvoirs administratifs du soi-disant Conseil de sécurité et, par conséquent, à enlever des centaines de millions d'actifs. La dérive estime les pertes 280 millions de dollars, tandis que le traqueur sur la chaîne PeckShield nombre le pillage dans environ 285 millions de dollars. Vous pouvez voir la mise à jour officielle de Drift dans sa publication publique sur X / Twitter Voilà. et le compte PeckShield Voilà..
Ce qui distingue cet incident n'est pas un échec dans les contrats intelligents de Drift - la plate-forme insiste sur le fait que ses programmes n'ont pas été exploités et qu'ils n'ont pas divulgué des phrases de semences - mais une manœuvre planifiée et chirurgicale contre la gouvernance administrative. L'attaquant a profité d'une fonctionnalité de la blockchain de Solananon-ces durableset les opérations présignées combinées pour orchestrer une attaque retardée et précise. La documentation technique de Solana sur cette fonctionnalité explique comment les nonces à long terme permettent de créer des transactions valides qui peuvent être exécutées à un moment ultérieur; Drift affirme que c'est exactement ce que l'attaquant a utilisé pour chronométrer le coup - plus de détails techniques dans la documentation officielle de Solana Voilà..
Selon la chronologie publiée par Drift, la préparation a eu lieu entre le 23 et le 30 mars, période au cours de laquelle l'agresseur a créé des comptes avec nonce durable et obtenu des approbations partielles du Conseil de sécurité multisig : ils ont réussi à recueillir 2 des 5 signatures nécessaires pour atteindre le seuil requis et présigné des transactions malveillantes sans les exécuter immédiatement. Cet ensemble d'éléments - opérations présignées qui restent valables grâce aux nonces à long terme - a permis à l'agresseur d'effectuer d'abord une opération légitime le 1er avril, puis de déclencher les instructions présignées pour transférer le contrôle administratif à ses adresses en quelques minutes.
Avec le contrôle administratif en sa possession, l'agresseur a introduit un actif frauduleux dans le protocole, supprimé les limites de retrait et vidé les fonds des dépôts de prêts, des coffres-forts et des comptes commerciaux. Drift a déclaré que certains éléments, comme DSOL, n'étaient pas affectés et que les actifs de son fonds d'assurance restaient protégés, mais que la plupart des fonctions du protocole étaient pratiquement paralysées pendant que la portée totale du dommage était examinée. Face à une activité anormale, la plate-forme a émis des avertissements publics demandant aux utilisateurs de ne pas déposer plus de fonds et a déclenché une enquête coordonnée auprès des entreprises de sécurité, des bourses et des autorités.
Au-delà du nombre final - qui peut encore varier en fonction des recouvrements ou des reclassements - l'épisode montre un vecteur de risque qui ne reçoit pas toujours l'attention qu'il mérite : la sécurité des clés et des processus de signature dans les structures multisig et de gouvernance. Lorsque la logique du protocole et des contrats est bien conçue, celui qui contrôle les clés administratives peut imposer des actions systémiques même si la base de codes est solide. Ainsi, même dans les projets non gardiens comme Drift - qui se souviennent de leur modèle dans leur revue annuelle, où ils ont signalé des centaines de milliers de traders et d'importants volumes d'exploitation Consultable ici- la protection des flux de signature et des environnements dans lesquels les transactions sont approuvées est essentielle.
Il n'y a pas encore de conclusion publique sur la façon dont les approbations multisig ont été obtenues : il pourrait s'agir d'instruments engagés, d'instruments de confiance dirigés contre les signataires ou de défaillances du processus d'exploitation qui permettent de combiner des approbations partielles avec des transactions présignées. Quel que soit le vecteur, la leçon pratique pour d'autres protocoles et utilisateurs est claire : maintenir des signatures critiques dans des environnements isolés, utiliser des mécanismes de verrouillage du temps pour réagir à des opérations inhabituelles et revoir régulièrement les limites administratives et les permis. Tout cela devrait être complété par un suivi actif de la chaîne et une coopération avec l'analyse et les échanges afin d'essayer de geler les fonds le plus rapidement possible, comme Drift l'a indiqué.
La communauté DeFi et les utilisateurs touchés seront en attente du post-mortem que Drift a promis de publier dans les prochains jours. Un tel rapport devrait préciser les mesures médico-légales qui ont été prises, la nature exacte des opérations présignées et les recommandations visant à empêcher que des régimes similaires ne deviennent efficaces. Pendant ce temps, toute personne exposée au protocole devrait examiner les communications officielles et déplacer les biens vers des environnements sûrs si nécessaire. Pour suivre les mises à jour officielles de Drift et votre avertissement initial au public, vous pouvez consulter vos messages sur X / Twitter Voilà..
Cet incident rappelle que dans la sécurité critique de l'écosystème ne dépend pas exclusivement de la correction du code: les personnes, les processus et les outils qui gèrent les signatures. Alors que les chercheurs et les autorités s'efforcent de suivre et, dans la mesure du possible, de geler les fonds, l'industrie devra réfléchir à la façon de resserrer les modèles gouvernementaux et de réduire la surface d'attaque qui représente des transactions préparées et des systèmes de signature vulnérables.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...