Introduction
Le Drift Protocol, la plus grande bourse de contrats à terme perpétuels sur Solana, a été victime d'une attaque qui a permis aux pirates de s'emparer de 285 millions de dollars. L'attaque a été menée le 1er avril 2026 et a duré environ 12 minutes, selon TRM Labs.
Contexte Technique
L'attaque a ciblé la gouvernance du Drift Protocol, et non le code des smart contracts. Les pirates ont utilisé une méthode novatrice impliquant des nonces durables pour prendre le contrôle du Conseil de sécurité du Drift. Ils ont créé un jeton factice, le CarbonVote Token (CVT), et ont manipulé son prix pour le rendre crédible.
Les pirates ont ensuite utilisé l'ingénierie sociale pour inciter les signataires du Conseil de sécurité à pré-approuver des transactions qui semblaient routinières, mais qui contenaient des autorisations cachées. Le Drift Protocol avait récemment migré son Conseil de sécurité vers un nouveau seuil de 2 sur 5, sans verrouillage temporel, ce qui a permis aux pirates de prendre le contrôle sans délai.
Analyse et Implications
L'attaque a eu des conséquences importantes, avec une perte de plus de la moitié de la valeur totale verrouillée du Drift Protocol. Le token DRIFT a chuté de près de 40%. De nombreux protocoles DeFi ont signalé des effets secondaires, avec des pertes estimées à des millions de dollars.
L'attaque a également soulevé des questions sur la sécurité des protocoles DeFi et la nécessité de audits plus complets, qui prennent en compte les vulnérabilités de la gouvernance et de l'ingénierie sociale, et non seulement les smart contracts.
Perspective
L'attaque du Drift Protocol met en évidence la nécessité pour les protocoles DeFi de renforcer leur sécurité et de prendre en compte les vulnérabilités de la gouvernance et de l'ingénierie sociale. Il est essentiel de surveiller les développements futurs dans ce domaine et de prendre des mesures pour prévenir de telles attaques à l'avenir.
