Solana

🗓️ Contexte Source : TRM Labs, publiée le 3 avril 2026. Cet article couvre l’attaque survenue le 1er avril 2026 contre Drift Protocol, le plus grand exchange décentralisé de contrats perpétuels sur la blockchain Solana. TRM Labs qualifie cet incident de plus grand hack DeFi de 2026 et attribue l’attaque à des hackers nord-coréens. 🎯 Nature de l’attaque L’attaque repose sur une combinaison de trois vecteurs : Ingénierie sociale : manipulation des signataires du multisig du Security Council de Drift pour leur faire pré-signer des transactions apparemment routinières mais contenant des autorisations administratives cachées Manipulation d’oracle : création d’un token fictif — CarbonVote Token (CVT) — avec 750 millions d’unités mintées, quelques milliers de dollars de liquidité sur Raydium, et du wash trading pour simuler un prix proche de 1 USD, trompant les oracles de Drift Exploit de gouvernance : exploitation d’une migration du Security Council vers une configuration 2/5 sans timelock, réalisée le 27 mars 2026, supprimant la dernière ligne de défense du protocole 📅 Chronologie 11 mars 2026 : début du staging on-chain ; retrait de 10 ETH depuis Tornado Cash 12 mars 2026 (~00h00 GMT / 09h00 heure de Pyongyang) : déplacement des ETH et déploiement du token CVT 23-30 mars 2026 : création de comptes « durable nonce » sur Solana pour pré-signer des transactions 27 mars 2026 : migration du Security Council vers une configuration zero-timelock 1er avril 2026 : exécution de l’exploit en 12 minutes via 31 transactions de retrait drainant USDC et JLP 2 avril 2026 : confirmation officielle par Drift Protocol ; la majorité des fonds bridgés vers Ethereum en quelques heures 💰 Impact 285 millions USD de fonds utilisateurs dérobés Plus grand hack DeFi de 2026 Deuxième plus grand exploit de l’histoire de Solana (derrière le hack Wormhole de 2022 : 326 M$) Le token DRIFT a chuté de plus de 40% Dépôts et retraits suspendus par le protocole Vitesse et volume de blanchiment supérieurs à ceux de l’exploit Bybit de 2025 🔍 Attribution TRM Labs attribue l’attaque à des hackers nord-coréens sur la base d’indicateurs on-chain, notamment l’heure d’activité initiale (09h00 heure de Pyongyang) et les méthodes employées. L’enquête est en cours. ...

🔍 Contexte Source : The Record (Recorded Future News), publié le 1 avril 2025. L’article rapporte une cyberattaque active contre Drift Protocol, une plateforme de finance décentralisée (DeFi) construite sur la blockchain Solana, fondée en 2021 et offrant des services de prêt, emprunt, trading perpétuel et spot. 💥 Incident Le mercredi 1 avril 2025, Drift Protocol a confirmé être victime d’une attaque active, entraînant la suspension des dépôts et retraits. La société a coordonné sa réponse avec plusieurs firmes de sécurité, bridges et exchanges. ...

Source: The Record — Dans un court article, le média rapporte que près de 200 000 tokens Solana ont été volés à la plateforme SwissBorg, soit environ 2% de ses actifs, selon le CEO de l’entreprise. La société a promis de rembourser les utilisateurs concernés. 🔓 Type d’événement: vol de cryptomonnaies 💥 Impact: ~200 000 tokens Solana, soit ~2% des actifs de la plateforme 🤝 Réponse: Engagement de remboursement des utilisateurs par SwissBorg Aucun détail supplémentaire n’est fourni sur le mode opératoire, l’origine de l’attaque ou d’éventuelles compromissions techniques. ...

The Record (Recorded Future News) rapporte que SwissBorg a subi un vol de cryptomonnaies d’environ 41 M$ en Solana, consécutif à une compromission chez son partenaire Kiln, sans intrusion directe sur la plateforme SwissBorg. • Impact: 192 600 SOL dérobés (plus de 41 M$), soit environ 2% des actifs de SwissBorg. Environ 1% des utilisateurs touchés. SwissBorg s’engage à rembourser intégralement les clients affectés. • Vecteur et cause: Selon SwissBorg et Kiln, l’incident a impliqué un accès non autorisé à un wallet utilisé pour les opérations de staking. Des experts cités indiquent que l’attaque remonte à l’API de Kiln, utilisée par SwissBorg pour communiquer avec Solana; les attaquants ont compromis l’API et ont siphonné des fonds via celle-ci. ...

Selon GetSafety (billet référencé), des chercheurs en sécurité décrivent une campagne baptisée « Solana-Scan » qui abuse de l’écosystème NPM pour diffuser un infostealer ciblant l’écosystème Solana, avec un accent sur des développeurs crypto russes. • Nature de l’attaque : campagne d’empoisonnement de la chaîne d’approvisionnement NPM utilisant du JavaScript fortement obfusqué et des techniques avancées d’interaction avec NPM. Les chercheurs notent des motifs de code potentiellement générés par IA. ...

Des chercheurs en sécurité ont identifié un package NPM malveillant sophistiqué généré par l’IA, ciblant les développeurs en tant que drain de portefeuille de cryptomonnaies. Le package, nommé @kodane/patch-manager, se fait passer pour un gestionnaire de cache de registre légitime mais inclut des fonctionnalités avancées pour voler des fonds de cryptomonnaies. Le malware procède à une infection en plusieurs étapes : installation via un script post-installation, établissement de la persistance à travers des processus en arrière-plan, connexion à un serveur C2 à l’adresse sweeper-monitor-production.up.railway.app, découverte de fichiers de portefeuille, et extraction des fonds vers une adresse Solana spécifique (B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK). ...

L’article publié par Safety CLI Cybersecurity Inc. le 2 juin 2025, détaille une campagne de malware ciblant l’écosystème de la cryptomonnaie Solana. Entre le 4 et le 24 mai 2025, un acteur malveillant a publié 11 packages Python malveillants sur le registre PyPI, conçus pour voler du code source, des cryptomonnaies et d’autres données sensibles. La campagne s’est déroulée en quatre itérations distinctes, chacune utilisant un payload différent pour exfiltrer des données vers des adresses IP spécifiques hébergées en Russie. Le premier payload, prices.py, a été utilisé dans six packages publiés entre le 4 et le 20 mai, exfiltrant des fichiers Python vers une adresse IP spécifique. Les itérations suivantes ont introduit de nouveaux fichiers payload (helpers.py, coins.py, markets.py) avec des destinations d’exfiltration différentes. ...