Drift Protocol a subi une perte d’au moins 280 millions de dollars après qu’un acteur malveillant a pris le contrôle de ses pouvoirs administratifs du Security Council au cours d’une opération planifiée et complexe.
Des entreprises spécialisées en intelligence blockchain, notamment Elliptic et TRM Labs, ont établi un lien entre ces attaques et des acteurs menaçants de la Corée du Nord, en s’appuyant sur divers indicateurs présents sur la chaîne compatibles avec les techniques de ce pays.
Parmi ces indicateurs figurent l’utilisation de Tornado Cash, le moment du déploiement de CarbonVote (09h30, heure de Pyongyang), les schémas de transfert croisé, ainsi que le blanchiment à grande échelle, semblable au piratage de Bybit.
Le pirate a eu recours à des comptes nonce durables et à des transactions pré-signées pour retarder l’exécution et frapper avec précision à un moment choisi, selon les explications fournies par la plateforme.
Drift a précisé que l’intrus n’a pas exploité de failles dans ses programmes ou contrats intelligents, et que aucune phrase clé n’avait été compromise.
Créée sur la blockchain Solana, la plateforme Drift Protocol est un échange décentralisé qui offre aux utilisateurs un contrôle total sur leurs fonds lors de leurs interactions avec les marchés sur chaîne.
À la fin de 2024, Drift affirmait compter 200 000 traders, avec des volumes de transactions totalisant plus de 55 milliards de dollars et un pic quotidien allant jusqu’à 13 millions de dollars.
Le rapport de Drift indique que le vol a été préparé entre le 23 et le 30 mars. Le pirate a créé des comptes nonce durables et obtenu les approbations de 2 membres du Security Council pour atteindre le seuil requis de multisig.
Cela a permis la pré-signature de transactions malveillantes qui n’ont pas été exécutées immédiatement.
Le 1er avril, l’attaquant a réalisé une transaction légitime, puis a immédiatement exécuté les transactions malveillantes pré-signées, prenant le contrôle administratif en quelques minutes.
Après avoir obtenu ce contrôle, le pirate a introduit un actif malveillant, supprimé les limites de retrait et, finalement, vidé les fonds.
Les pertes estimées par Drift Protocol s’élèvent à environ 280 millions de dollars, tandis que le compte de suivi blockchain PeckShieldAlert les estime à 285 millions de dollars.
Suite à la détection d’activités inhabituelles sur le protocole, Drift a publié un avertissement au public, annonçant l’ouverture d’une enquête et conseillant aux utilisateurs de ne pas déposer de fonds jusqu’à nouvel ordre.
Cette cyberattaque a impacté les dépôts de prêts et d’emprunts, les dépôts de vault et les fonds de trading, entraînant un gel quasi total des fonctions du protocole. Drift a confirmé que les actifs du fonds d’assurance sont sécurisés et que le DSOL n’est pas affecté.
La plateforme collabore désormais avec des entreprises de sécurité, des échanges de cryptomonnaies, et des autorités judiciaires pour traquer et geler les fonds volés.
Drift a annoncé la publication prochaine d’un rapport détaillé sur cet incident.