https://cyberveille.ch/tags/tornado-cash/ Recent content in Tornado Cash on CyberVeille Hugo -- 0.146.0 fr-fr Fri, 03 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-03-hack-de-drift-protocol-285-m-voles-par-des-hackers-nord-coreens-via-manipulation-d-oracle-et-ingenierie-sociale/ Fri, 03 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-03-hack-de-drift-protocol-285-m-voles-par-des-hackers-nord-coreens-via-manipulation-d-oracle-et-ingenierie-sociale/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Source : TRM Labs, publiée le 3 avril 2026. Cet article couvre l&rsquo;attaque survenue le <strong>1er avril 2026</strong> contre <strong>Drift Protocol</strong>, le plus grand exchange décentralisé de contrats perpétuels sur la blockchain <strong>Solana</strong>. TRM Labs qualifie cet incident de plus grand hack DeFi de 2026 et attribue l&rsquo;attaque à des hackers <strong>nord-coréens</strong>.</p> <h2 id="-nature-de-lattaque">🎯 Nature de l&rsquo;attaque</h2> <p>L&rsquo;attaque repose sur une combinaison de trois vecteurs :</p> <ul> <li><strong>Ingénierie sociale</strong> : manipulation des signataires du multisig du Security Council de Drift pour leur faire pré-signer des transactions apparemment routinières mais contenant des autorisations administratives cachées</li> <li><strong>Manipulation d&rsquo;oracle</strong> : création d&rsquo;un token fictif — <strong>CarbonVote Token (CVT)</strong> — avec 750 millions d&rsquo;unités mintées, quelques milliers de dollars de liquidité sur <strong>Raydium</strong>, et du wash trading pour simuler un prix proche de 1 USD, trompant les oracles de Drift</li> <li><strong>Exploit de gouvernance</strong> : exploitation d&rsquo;une migration du Security Council vers une configuration 2/5 sans timelock, réalisée le <strong>27 mars 2026</strong>, supprimant la dernière ligne de défense du protocole</li> </ul> <h2 id="-chronologie">📅 Chronologie</h2> <ul> <li><strong>11 mars 2026</strong> : début du staging on-chain ; retrait de <strong>10 ETH depuis Tornado Cash</strong></li> <li><strong>12 mars 2026 (~00h00 GMT / 09h00 heure de Pyongyang)</strong> : déplacement des ETH et déploiement du token CVT</li> <li><strong>23-30 mars 2026</strong> : création de comptes « durable nonce » sur Solana pour pré-signer des transactions</li> <li><strong>27 mars 2026</strong> : migration du Security Council vers une configuration <strong>zero-timelock</strong></li> <li><strong>1er avril 2026</strong> : exécution de l&rsquo;exploit en <strong>12 minutes</strong> via 31 transactions de retrait drainant <strong>USDC et JLP</strong></li> <li><strong>2 avril 2026</strong> : confirmation officielle par Drift Protocol ; la majorité des fonds bridgés vers <strong>Ethereum</strong> en quelques heures</li> </ul> <h2 id="-impact">💰 Impact</h2> <ul> <li><strong>285 millions USD</strong> de fonds utilisateurs dérobés</li> <li>Plus grand hack DeFi de 2026</li> <li>Deuxième plus grand exploit de l&rsquo;histoire de Solana (derrière le hack Wormhole de 2022 : 326 M$)</li> <li>Le token <strong>DRIFT</strong> a chuté de plus de <strong>40%</strong></li> <li>Dépôts et retraits suspendus par le protocole</li> <li>Vitesse et volume de blanchiment supérieurs à ceux de l&rsquo;exploit <strong>Bybit de 2025</strong></li> </ul> <h2 id="-attribution">🔍 Attribution</h2> <p>TRM Labs attribue l&rsquo;attaque à des <strong>hackers nord-coréens</strong> sur la base d&rsquo;indicateurs on-chain, notamment l&rsquo;heure d&rsquo;activité initiale (09h00 heure de Pyongyang) et les méthodes employées. L&rsquo;enquête est en cours.</p>