- Le piratage de dérive a vidé 285 millions de dollars en 12 minutes, mais l’opération a été construite sur six mois.
- Les attaquants ont utilisé l’ingénierie sociale et des approbations multisig pré-signées pour l’attaque.
- Un faux jeton (CVT) a été utilisé comme garantie après avoir manipulé la tarification par oracle avec une liquidité minimale.
Drift Protocol a publié une analyse détaillée de l’exploit du 1er avril qui a drainé 285 millions de dollars de fonds utilisateurs et a confirmé que l’attaque n’était pas un simple bug, mais une opération coordonnée à long terme.
L’équipe a indiqué que l’exploit résultait de mois d’infiltration ciblée, combinant ingénierie sociale, exploits techniques et activités en chaîne mises en scène.
Une infiltration de six mois a mené à une brèche
Selon le protocole Drift , l’attaque a commencé dès l’automne 2025. Des personnes se faisant passer pour une société de trading quantitatif ont approché des contributeurs lors de plusieurs conférences crypto.
Ils ont construit leur crédibilité au fil du temps, organisé des discussions techniques, participé à des sessions de travail et versé plus d’un million de dollars dans le protocole. Un groupe Telegram a été créé, et les interactions ont duré des mois.
Début 2026, ils s’étaient pleinement intégrés à l’écosystème de Drift grâce à une stratégie de coffre-fort. Les contributeurs les avaient rencontrés en personne à plusieurs reprises, et la confiance s’était établie, ce qui est devenu le point d’entrée.
L’exécution des attaques était rapide, la mise en place lente
L’exploit proprement dit environ 12 minutes, mais la préparation a pris des semaines en chaîne et des mois hors chaîne.
TRM Labs a constaté que la phase de stadification avait commencé le 11 mars. Les attaquants ont utilisé Tornado Cash pour financer leurs opérations, déployé un faux jeton appelé CarbonVote (CVT), et construit un historique de prix artificiel via le wash trading.
En même temps, ils ciblaient les signataires multisignature. Grâce à l’ingénierie sociale, ils obtenaient des approbations sur des transactions qui semblaient routinières mais contenaient des permissions cachées.
Le 27 mars, un changement crucial a été effectué. Drift a migré son Conseil de sécurité vers une configuration 2/5 sans aucun verrou temporel et a supprimé la couche de délai qui aurait pu arrêter l’attaque.
Le 1er avril, tout a été exécuté. L’attaquant a listé CVT comme garantie, a gonflé sa valeur en manipulant les données oraculaires et a retiré des actifs réels comme USDC lors de 31 transactions. Les fonds ont été transférés vers Ethereum en quelques heures.
Points faibles clés : Multisig et conception d’Oracle
La violation ne reposait pas sur un défaut de contrat intelligent. Il exploitait les faiblesses du processus. Premièrement, les signataires multisig ont approuvé les transactions sans détecter d’actions cachées.
Deuxièmement, la suppression du verrou temporel a supprimé la fenêtre de sécurité. Troisièmement, le système oracle acceptait un faux actif avec une liquidité minimale comme garantie valide.
L’analyse interne de Drift pointe également vers une possible compromission au niveau de l’appareil. Un contributeur a pu être exposé via un dépôt de code malveillant. Un autre a peut-être installé une application TestFlight compromise présentée comme un portefeuille.
Une vulnérabilité connue dans des outils de développement comme VSCode aurait pu permettre l’exécution silencieuse du code.
Il est important de noter qu’Elliptic et TRM Labs ont tous deux signalé des schémas liés aux opérations nord-coréennes. Cela inclut l’utilisation de Tornado Cash, un calendrier aligné avec les horaires de Pyongyang, et le blanchiment rapide inter-chaînes.
Drift a indiqué qu’il y a une confiance moyenne à élevée dans le fait que le même groupe responsable du piratage de Radiant Capital en octobre 2024 soit impliqué. Le groupe a été lié à UNC4736, également connu sous le nom d’AppleJeus ou Citrine Sleet.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
