Le 1er avril 2026 n"était pas un poisson d"avril. Drift Protocol l"a fait savoir immédiatement avec un message sur X qui sonnait étrangement en ce jour particulier : "This is not an April Fools joke."
En douze minutes, le principal exchange perpetuals décentralisé sur Solana avait perdu 285 millions de dollars. Non pas à cause d"un bug dans le code, mais à cause de quelque chose de bien plus difficile à corriger.
Trois semaines de préparation, douze minutes pour exécuter
Tout commence le 11 mars, avec un retrait de 10 ETH depuis Tornado Cash — effectué aux alentours de 9h, heure de Pyongyang. Ce détail n"est pas anodin. Ces fonds ont servi à créer le CarbonVote Token, un token entièrement fictif, sans aucune valeur réelle. Dans les semaines suivantes, les attaquants le travaillent méthodiquement : faible liquidité sur Raydium, wash trading systématique, prix maintenu artificiellement autour de 1 dollar. Les oracles de Drift l"enregistrent comme un actif légitime. Le piège est tendu.
Le 23 mars, quatre comptes durable nonce sont ouverts. Deux appartiennent à de vrais membres du Security Council de Drift. Deux sont contrôlés par les attaquants, qui ont déjà obtenu les signatures nécessaires — probablement en présentant des transactions ordinaires aux signataires multisig qui n"avaient aucun moyen de comprendre ce qu"ils approuvaient réellement. Le 27 mars, Drift migre son Security Council vers une configuration 2/5 sans timelock — supprimant ainsi le dernier filet de sécurité qui aurait pu révéler l"intrusion.
Le 1er avril, tout se déclenche. Trente et une transactions de retrait en séquence, environ douze minutes, trois coffres principaux vidés — JLP Delta Neutral, SOL Super Staking, BTC Super Staking — pour un total dépassant 285 millions de dollars en USDC, SOL, JLP et WBTC. Le TVL du protocole chute de 550 millions à moins de 250 millions. Le token DRIFT s"effondre de plus de 40 %. Onze protocoles de l"écosystème Solana subissent des dommages collatéraux.
ZachXBT, Circle et une question qui brûle
Immédiatement après l"exploit, l"attaquant convertit la majeure partie des actifs volés en USDC, puis utilise le bridge CCTP de Circle — le protocole cross-chain appartenant à l"émetteur de l"USDC — pour déplacer environ 232 millions de dollars de Solana vers Ethereum, en plus d"une centaine de transactions, sur une période de six heures, pendant les heures de bureau américaines. Circle ne fait rien.
ZachXBT l"affirme clairement sur X, s"adressant directement à Circle et à son PDG Jeremy Allaire :
Circle was asleep while many millions of USDC was swapped via CCTP from Solana to Ethereum for hours from the 9 figure Drift hack during US hours.
— ZachXBT (@zachxbt) April 2, 2026
Value was moved and nothing was done yet again.
Comes days after you froze 16+ business hot wallets incompetently which is still… pic.twitter.com/T0Xwg1HIfO
Le contraste est saisissant : le 23 mars — le jour même où les attaquants créaient leurs comptes durable nonce — Circle avait bloqué en quelques minutes les soldes USDC de 16 wallets d"entreprises, dont le ckETH Minter Smart Contract de la Fondation DFINITY, dans le cadre d"une procédure civile américaine. Des wallets légitimes, des entreprises réelles, sans aucun préavis. ZachXBT avait déjà qualifié ce gel du plus incompétent qu"il ait vu en cinq ans. Mais au moins Circle avait agi.
Cette fois, non. Le chercheur Specter a ajouté un détail révélateur : l"attaquant a maintenu les fonds immobiles pendant une à trois heures avant de les déplacer, évitant délibérément Tether. Il savait que Circle n"interviendrait pas.
Pour les utilisateurs français, cette affaire soulève des questions qui intéressent aussi l"AMF : dans quelle mesure les émetteurs de stablecoins réglementés sous MiCA peuvent-ils — et doivent-ils — intervenir pour bloquer des fonds volés transitant par leurs protocoles ?
Qui est derrière : le Lazarus Group, encore
Elliptic et TRM Labs ont publié leurs analyses à quelques heures d"intervalle, et leurs conclusions convergent. Tous les indicateurs pointent vers le Lazarus Group — le collectif nord-coréen déjà tenu responsable du milliard et demi soustrait à Bybit en 2025 et de l"exploit de 326 millions sur le Wormhole Bridge en 2022. Tornado Cash utilisé dans les phases initiales, horodatages cohérents avec l"heure de Pyongyang lors du déploiement du CVT, vitesse du blanchiment et schémas de bridging multi-chain — tout concorde.
Selon Elliptic, il s"agirait du dix-huitième attentat attribué au régime nord-coréen en 2026. Plus de 300 millions dérobés en quelques mois. Et selon le gouvernement américain, ces fonds alimentent le programme balistique et nucléaire de Pyongyang.
Le problème n"était pas le code
Deux audits avaient validé Drift — Trail of Bits en 2022, ClawSecure en février 2026. Il n"y avait aucun bug à trouver. Ce qui existait, c"était une gouvernance construite sur des hypothèses qu"un attaquant patient a démontées une à une : aucun timelock sur les migrations administratives, des oracles sans seuils minimaux de liquidité, et des signataires multisig sans procédure réelle pour vérifier le contenu d"une transaction avant de l"approuver.
En 2026, 35 protocoles DeFi ont été touchés pour environ 453 millions de dollars au total. Le hack de Drift est le plus important de l"année. Ce ne sera probablement pas le dernier.
