Hack de Drift Protocol : 285 M$ volés par des hackers nord-coréens via manipulation d'oracle et ingénierie sociale

🗓️ Contexte

Source : TRM Labs, publiée le 3 avril 2026. Cet article couvre l’attaque survenue le 1er avril 2026 contre Drift Protocol, le plus grand exchange décentralisé de contrats perpétuels sur la blockchain Solana. TRM Labs qualifie cet incident de plus grand hack DeFi de 2026 et attribue l’attaque à des hackers nord-coréens.

🎯 Nature de l’attaque

L’attaque repose sur une combinaison de trois vecteurs :

• Ingénierie sociale : manipulation des signataires du multisig du Security Council de Drift pour leur faire pré-signer des transactions apparemment routinières mais contenant des autorisations administratives cachées
• Manipulation d’oracle : création d’un token fictif — CarbonVote Token (CVT) — avec 750 millions d’unités mintées, quelques milliers de dollars de liquidité sur Raydium, et du wash trading pour simuler un prix proche de 1 USD, trompant les oracles de Drift
• Exploit de gouvernance : exploitation d’une migration du Security Council vers une configuration 2/5 sans timelock, réalisée le 27 mars 2026, supprimant la dernière ligne de défense du protocole

📅 Chronologie

• 11 mars 2026 : début du staging on-chain ; retrait de 10 ETH depuis Tornado Cash
• 12 mars 2026 (~00h00 GMT / 09h00 heure de Pyongyang) : déplacement des ETH et déploiement du token CVT
• 23-30 mars 2026 : création de comptes « durable nonce » sur Solana pour pré-signer des transactions
• 27 mars 2026 : migration du Security Council vers une configuration zero-timelock
• 1er avril 2026 : exécution de l’exploit en 12 minutes via 31 transactions de retrait drainant USDC et JLP
• 2 avril 2026 : confirmation officielle par Drift Protocol ; la majorité des fonds bridgés vers Ethereum en quelques heures

💰 Impact

• 285 millions USD de fonds utilisateurs dérobés
• Plus grand hack DeFi de 2026
• Deuxième plus grand exploit de l’histoire de Solana (derrière le hack Wormhole de 2022 : 326 M$)
• Le token DRIFT a chuté de plus de 40%
• Dépôts et retraits suspendus par le protocole
• Vitesse et volume de blanchiment supérieurs à ceux de l’exploit Bybit de 2025

🔍 Attribution

TRM Labs attribue l’attaque à des hackers nord-coréens sur la base d’indicateurs on-chain, notamment l’heure d’activité initiale (09h00 heure de Pyongyang) et les méthodes employées. L’enquête est en cours.

📄 Type d’article

Il s’agit d’un rapport d’incident publié par TRM Labs, combinant analyse technique on-chain et attribution threat intelligence, destiné à informer la communauté DeFi et les acteurs CTI sur les mécanismes de l’attaque et le suivi des fonds.

🧠 TTPs et IOCs détectés

Acteurs de menace

• North Korean Hackers (state-sponsored)

TTP

• T1566 — Phishing (Initial Access)
• T1656 — Impersonation (Defense Evasion)
• T1078 — Valid Accounts (Defense Evasion)
• T1553 — Subvert Trust Controls (Defense Evasion)
• T1600 — Weaken Encryption (Defense Evasion)
• T1036 — Masquerading (Defense Evasion)
• T1550 — Use Alternate Authentication Material (Lateral Movement)
• T1486 — Data Encrypted for Impact (Impact)
• T1657 — Financial Theft (Impact)
• T1020 — Automated Exfiltration (Exfiltration)

Malware / Outils

• Tornado Cash (tool)
• CarbonVote Token (CVT) (other)

🟡 Indice de confiance : 45/100 (moyenne)

• ⬜ trmlabs.com — source non référencée (0pts)
• ✅ 5825 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 10 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : North Korean Hackers (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.trmlabs.com/resources/blog/north-korean-hackers-attack-drift-protocol-in-285-million-heist