Le 1er avril 2026, des attaquants ont vidé Drift Protocol, la première plateforme d’échange de contrats perpétuels décentralisée de Solana, de 285 millions de dollars en environ 12 minutes. Aucun bug de smart contract n’a été exploité. Les pirates ont manipulé des humains et une fonction technique méconnue de Solana, les durable nonces, pour s’emparer du contrôle administratif du protocole. Trois cabinets de criminalistique blockchain (Chainalysis, TRM Labs et Elliptic) attribuent l’opération à la Corée du Nord. Pour les investisseurs et les régulateurs européens, ce vol confirme une réalité brutale : en 2026, la plus grande menace de la finance décentralisée n’est plus le code, c’est la confiance.
Cette analyse décortique le piratage de Drift Protocol, le replace dans une vague de vols crypto record en 2025 et 2026, et examine ce que le règlement européen MiCA change concrètement pour protéger les détenteurs français et européens. Les chiffres viennent des rapports publiés par Chainalysis, TRM Labs et Elliptic.
Hack crypto 2026 : ce qui s’est passé sur Drift Protocol
Drift Protocol est le plus grand échange de produits dérivés décentralisé construit sur la blockchain Solana. Avant l’attaque, le protocole gérait une valeur totale verrouillée (TVL) d’environ 550 millions de dollars. Le 1er avril 2026, cette TVL est tombée sous les 250 millions de dollars en quelques minutes. Chainalysis et TRM Labs chiffrent le vol à 285 millions de dollars. Elliptic, qui utilise une méthode de valorisation légèrement différente, retient 286 millions de dollars. Quel que soit le chiffre exact, il s’agit du plus gros hack de finance décentralisée de l’année 2026 à ce jour.
La caractéristique la plus inquiétante de cette attaque tient en une phrase : il n’y avait pas de faille dans le code. Halborn, le cabinet d’audit de sécurité blockchain, l’a résumé sans détour dans son analyse du 1er avril : le hack de Drift n’était pas une attaque de smart contract ordinaire. Les attaquants n’ont pas trouvé de bug exploitable. Ils ont exploité la gouvernance du protocole, c’est-à-dire les humains et les processus qui contrôlent les clés administratives.
Concrètement, les pirates ont ciblé le Security Council de Drift, l’organe multisignature chargé d’approuver les opérations sensibles. Ils ont utilisé la fonction durable nonces de Solana, un mécanisme légitime qui permet de pré-signer une transaction destinée à être exécutée plus tard. En piégeant les membres du conseil, les attaquants leur ont fait signer sans le savoir des transactions dormantes. Une fois ces signatures obtenues, il a suffi de déclencher les transactions pour transférer le contrôle administratif du protocole, puis vider les réserves.
Vol de crypto : la chronologie minute par minute
L’attaque n’a pas été improvisée. Selon TRM Labs, la mise en scène on-chain a commencé le 11 mars 2026, soit près de trois semaines avant l’exécution finale. Cette patience est une signature des opérations nord-coréennes : reconnaissance longue, ingénierie sociale ciblée, puis frappe éclair. Le jour J, une fois le contrôle administratif acquis, le pillage des fonds n’a duré qu’environ 12 minutes. Vingt-trois minutes après la prise de contrôle, selon Chainalysis, les premiers fonds arrivaient déjà sur Ethereum via un pont inter-chaînes, prêts à être blanchis.
| Étape | Date / délai | Détail |
|---|---|---|
| Préparation on-chain | 11 mars 2026 | Début de la mise en scène, près de 3 semaines avant la frappe |
| Ingénierie sociale | Mars 2026 | Membres du Security Council piégés via les durable nonces |
| Prise de contrôle admin | 1er avril 2026 | Migration du Security Council sans timelock (zéro délai) |
| Drainage des fonds | ~12 minutes | 285 M$ retirés du protocole |
| Premier pont vers Ethereum | +23 minutes | Début du blanchiment inter-chaînes |
| Plus gros transfert unique | 1er avril 2026 | 41,7 M de jetons JLP (~155 M$) |
Elliptic précise que le plus gros mouvement unique a porté sur environ 41,7 millions de jetons JLP, valorisés à près de 155 millions de dollars au moment des faits. Le détail technique qui a rendu l’attaque possible : la migration du Security Council s’est faite avec un timelock à zéro, c’est-à-dire sans aucun délai de sécurité entre l’approbation et l’exécution. Un délai de quelques heures aurait suffi pour que la communauté détecte la transaction malveillante et la bloque. Cette absence de garde-fou temporel est désormais citée comme l’erreur de conception centrale.
Attribution : pourquoi le groupe Lazarus est pointé du doigt
TRM Labs a déclaré, dès le 2 avril 2026, croire que les attaquants étaient des pirates nord-coréens. Elliptic affirme de son côté avoir identifié des indicateurs reliant l’exploit de 286 millions de dollars à la République populaire démocratique de Corée (RPDC). Chainalysis se montre plus prudent : ses indicateurs préliminaires sont cohérents avec des opérations déjà attribuées à la RPDC, mais l’attribution formelle restait en cours au moment de la publication de son analyse, le 9 avril 2026.
Le groupe Lazarus, et sa sous-unité TraderTraitor identifiée par le FBI, s’est spécialisé dans le vol de crypto-actifs au profit du régime de Pyongyang. La méthode employée contre Drift (ingénierie sociale des signataires plutôt qu’exploitation de code) reproduit le mode opératoire du casse Bybit de février 2025. Les enquêteurs on-chain indépendants, au premier rang desquels ZachXBT, jouent un rôle clé dans ce travail d’attribution. ZachXBT s’est imposé comme la référence pour relier publiquement les flux de blanchiment, les grappes de portefeuilles et les opérations Lazarus, souvent avant les communications officielles des cabinets.
L’enjeu géopolitique dépasse Drift. Selon Chainalysis, les pirates nord-coréens ont dérobé au moins 2,02 milliards de dollars de cryptomonnaies en 2025, une hausse de 51 % sur un an, portant leur total historique à 6,75 milliards de dollars. Ces fonds financent directement les programmes d’armement du régime, ce qui fait des plateformes DeFi une cible d’État, pas seulement une proie de cybercriminels opportunistes.
Vague de vols crypto : le contexte 2025-2026
Le piratage de Drift ne sort pas de nulle part. Il s’inscrit dans une année 2025 catastrophique pour la sécurité des crypto-actifs. Chainalysis a recensé plus de 3,4 milliards de dollars volés sur l’ensemble de 2025. Le casse Bybit, à lui seul, représente 1,5 milliard de dollars de ce total, ce qui en fait le plus gros vol de cryptomonnaie de l’histoire.
Le 21 février 2025, le groupe Lazarus a dérobé 401 000 ETH, soit environ 1,5 milliard de dollars à l’époque, à la plateforme Bybit basée à Dubaï. La méthode : une compromission de la chaîne d’approvisionnement via Safe{Wallet}, l’interface multisignature utilisée par Bybit. Les attaquants ont altéré le code source de l’interface, intercepté une signature de routine et redirigé les fonds vers leurs propres portefeuilles. Le Center for Strategic and International Studies (CSIS) rapporte qu’au moins 160 millions de dollars ont été blanchis dans les 48 premières heures. En janvier 2025, l’échange Phemex avait déjà perdu 73 millions de dollars, drainés de ses portefeuilles chauds sur seize blockchains différentes.
| Incident | Date | Montant volé | Méthode | Attribution |
|---|---|---|---|---|
| Bybit | 21 fév. 2025 | 1,5 Md$ (401 000 ETH) | Compromission Safe{Wallet} | Lazarus / TraderTraitor |
| Phemex | Janv. 2025 | 73 M$ | Portefeuilles chauds, 16 chaînes | Non confirmée |
| Drift Protocol | 1er avr. 2026 | 285 M$ | Durable nonces + ingénierie sociale | RPDC (présumée) |
| Total volé 2025 | Année 2025 | 3,4 Md$ | Tous vecteurs confondus | Dont 2,02 Md$ RPDC |
Le fil rouge saute aux yeux : les trois plus gros vols de la période n’ont exploité aucun bug de programmation. Bybit, Drift et la majorité des grosses pertes 2025 reposent sur l’ingénierie sociale des signataires et la compromission des processus de signature. Le code des smart contracts s’est durci après des années d’audits. Les attaquants ont simplement déplacé leur cible vers le maillon humain.
Pourquoi les durable nonces de Solana sont au cœur du hack
Les durable nonces sont une fonctionnalité légitime et utile de Solana. Normalement, une transaction Solana contient un blockhash récent qui expire au bout d’environ 90 secondes, ce qui empêche de rejouer une vieille transaction. Les durable nonces contournent cette expiration : ils permettent de signer une transaction aujourd’hui et de l’exécuter des jours plus tard. Cette fonction sert légitimement aux portefeuilles matériels hors ligne et aux opérations de trésorerie planifiées.
Le problème : une transaction pré-signée via un durable nonce reste valide indéfiniment tant qu’elle n’est pas exécutée ou annulée. Les attaquants de Drift ont exploité cette permanence. Ils ont présenté aux membres du Security Council des transactions d’apparence anodine, obtenu leurs signatures, puis conservé ces transactions dormantes jusqu’au moment opportun. Le signataire croit approuver une opération de routine , il signe en réalité le transfert futur des clés du royaume.
La leçon de gouvernance : le timelock à zéro
Chainalysis insiste sur un point dans son analyse : la migration du Security Council s’est exécutée sans timelock. Un timelock impose un délai obligatoire entre l’approbation d’une action critique et son exécution. Pendant ce délai, n’importe qui peut inspecter la transaction en attente. Si elle est malveillante, la communauté peut sonner l’alarme et, idéalement, l’annuler. Avec un timelock à zéro, la prise de contrôle a été instantanée et irréversible. Aucune fenêtre de défense n’existait. C’est la leçon de conception que tous les protocoles DeFi tirent de l’affaire Drift.
Impact marché : TVL, JLP et confiance dans la DeFi Solana
L’effet immédiat a été mécanique. La TVL de Drift a chuté d’environ 550 millions à moins de 250 millions de dollars, une évaporation de plus de la moitié des actifs verrouillés. Le jeton JLP, central dans l’écosystème, a subi une pression de vente massive lors du transfert de 41,7 millions d’unités par les attaquants. Au-delà des chiffres, c’est la confiance dans la DeFi sur Solana qui a encaissé le choc. Drift n’était pas un protocole obscur : c’était le leader des dérivés décentralisés de l’écosystème.
La réponse de sauvetage a été partielle. Selon des informations relayées le 16 avril 2026, Tether aurait apporté une bouée de 127,5 millions de dollars, soit environ 47 % de la perte estimée. Cette injection ne couvre donc pas la totalité des pertes des utilisateurs. Le cabinet Gibbs Mura, basé à Oakland, a ouvert une enquête en vue d’une action collective (class action) au nom des investisseurs lésés, ce qui ouvre un front juridique en plus du front technique.
Pour le marché européen, l’incident tombe à un moment sensible. Les investisseurs particuliers français et européens se tournent de plus en plus vers la DeFi pour des rendements supérieurs à ceux des plateformes centralisées régulées. Or la DeFi, par construction, échappe largement au filet de sécurité que le législateur européen vient de tisser. Un détenteur qui perd ses fonds sur un protocole décentralisé non européen ne bénéficie d’aucune des protections offertes par le cadre MiCA.
MiCA : ce que le règlement européen protège vraiment
Le règlement européen sur les marchés de crypto-actifs (MiCA, Markets in Crypto-Assets) est entré pleinement en application pour les prestataires de services sur crypto-actifs (PSCA, ou CASP en anglais) le 30 décembre 2024. Les règles sur les stablecoins, elles, s’appliquent depuis le 30 juin 2024. MiCA impose aux plateformes des obligations d’agrément, de gouvernance, de capital minimum, de transparence et de conservation des actifs des clients. En France, c’est l’Autorité des marchés financiers (AMF) qui délivre les agréments, sous la supervision européenne de l’ESMA.
D’après l’agence fiscale espagnole, plus de 185 opérateurs de marché crypto étaient agréés MiCA dans l’Union européenne en avril 2026, et l’UE comptait 38 émetteurs de stablecoins accrédités. MiCA ne garantit pas qu’un hack ne se produira jamais. Le règlement réduit le risque indirectement, en forçant les plateformes régulées à respecter des standards de gouvernance, de conservation et de séparation des fonds clients. Une plateforme MiCA doit ségréguer les actifs des utilisateurs, ce qui limite l’ampleur d’un vol et protège mieux les clients en cas de défaillance.
| Élément MiCA | Date / chiffre | Portée |
|---|---|---|
| Règles stablecoins | 30 juin 2024 | Émetteurs de jetons de monnaie électronique |
| Régime PSCA / CASP | 30 déc. 2024 | Plateformes d’échange et conservation |
| Régulateur français | AMF | Délivrance des agréments nationaux |
| Superviseur UE | ESMA | Normes techniques et guidance |
| Opérateurs agréés UE | 185+ (avr. 2026) | Marché unique européen |
| Émetteurs stablecoins | 38 (avr. 2026) | Stablecoins accrédités UE |
La limite est nette : MiCA encadre les acteurs centralisés agréés, pas les protocoles DeFi purement décentralisés comme Drift. Un Français qui dépose des fonds sur une plateforme DeFi internationale non agréée sort du périmètre de protection. C’est précisément le scénario du hack de Drift. Le règlement protège l’utilisateur de Binance France ou de Coinbase Europe , il ne protège pas l’utilisateur d’un protocole décentralisé hébergé sur Solana.
Analyse comparée : DeFi décentralisée contre plateformes régulées
L’affaire Drift relance le débat entre finance décentralisée et plateformes centralisées régulées. La DeFi promet des rendements élevés, l’absence d’intermédiaire et un contrôle total de ses actifs. En contrepartie, elle transfère l’intégralité du risque de sécurité à l’utilisateur. Pas d’assureur, pas de régulateur, pas de fonds de garantie. Quand un protocole tombe, les fonds partent, point final, sauf sauvetage volontaire comme la bouée Tether.
Les plateformes centralisées agréées MiCA offrent l’inverse : moins de rendement, des intermédiaires, mais un cadre légal, une ségrégation des actifs et un recours réglementaire. Le paradoxe de 2025-2026 est que les plus gros vols (Bybit, Drift) ont frappé des acteurs majeurs, centralisés comme décentralisés. Le vecteur commun n’est ni la centralisation ni la décentralisation, c’est la gestion des clés multisignature et le maillon humain. Une plateforme régulée n’est pas magiquement à l’abri , elle offre simplement un filet de sécurité juridique en aval du vol.
Pour l’investisseur européen, la conséquence pratique est claire. Conserver ses crypto-actifs sur un portefeuille matériel personnel reste la meilleure défense contre les hacks de plateforme. Utiliser une plateforme agréée MiCA pour les opérations ajoute une couche de protection juridique. S’exposer à la DeFi non régulée, à l’inverse, revient à accepter pleinement le risque illustré par Drift.
Contexte historique : du DAO de 2016 à Drift en 2026
Le piratage de protocoles n’a rien de nouveau. En 2016, le hack de The DAO sur Ethereum, environ 60 millions de dollars détournés via une faille de réentrance, avait provoqué le hard fork qui a créé Ethereum et Ethereum Classic. À l’époque, le vol exploitait une vraie faille de code. Une décennie plus tard, le mode opératoire a basculé. Le casse Bybit de 2025 et le hack de Drift de 2026 n’exploitent plus le code, ils exploitent les processus de signature et les humains.
Cette évolution raconte la maturation de l’industrie. Les audits de smart contracts se sont généralisés, les outils de détection de bugs se sont affinés, les bug bounties se sont multipliés. Résultat : les failles de code triviales sont devenues rares et chères à trouver. Les attaquants étatiques comme Lazarus, dotés de moyens considérables et de patience, ont pivoté vers ce qui résiste encore : la gouvernance, les clés et la confiance humaine. Le total historique de 6,75 milliards de dollars volés par la RPDC selon Chainalysis mesure l’ampleur de ce pivot.
Comment se protéger après le hack de Drift Protocol
Les enseignements défensifs du hack de Drift valent autant pour les protocoles que pour les particuliers. Côté protocoles, trois mesures ressortent des analyses de Chainalysis et Halborn :
- Imposer un timelock sur toute migration de gouvernance ou changement de signataires, avec un délai de plusieurs heures minimum pour permettre la détection.
- Vérifier chaque transaction signée ligne par ligne, surtout via les durable nonces de Solana, et utiliser des outils de simulation avant signature.
- Limiter les pouvoirs administratifs et exiger un quorum élevé de signataires indépendants pour les opérations critiques.
Côté particulier européen, la défense reste classique mais efficace. Conserver ses actifs en portefeuille matériel (cold storage) plutôt que sur une plateforme. Méfiance absolue face aux demandes de signature non sollicitées, principal vecteur de l’ingénierie sociale Lazarus. Privilégier les plateformes agréées MiCA pour bénéficier de la ségrégation des fonds. Et ne jamais exposer plus que ce que l’on peut perdre sur des protocoles DeFi non régulés.
Cinq prévisions pour la sécurité crypto européenne en 2026-2027
Le hack de Drift dessine plusieurs tendances pour les mois à venir.
- Le timelock va devenir un standard de facto. Après Drift, tout protocole DeFi sérieux qui n’impose pas de délai sur ses changements de gouvernance verra fuir sa liquidité. Les utilisateurs exigeront ce garde-fou.
- Les vols par ingénierie sociale dépasseront durablement les exploits de code. La tendance 2025-2026 est claire : le maillon humain est devenu le vecteur dominant et le restera tant que le code se durcit.
- La RPDC battra à nouveau ses records. Avec 2,02 milliards de dollars en 2025 et un total historique de 6,75 milliards, Lazarus ne ralentira pas tant que la DeFi offrira des cibles à plusieurs centaines de millions.
- MiCA poussera les particuliers européens vers les plateformes agréées. Chaque hack DeFi médiatisé renforce l’attrait du cadre réglementaire. Les 185+ opérateurs agréés gagneront des parts de marché en Europe.
- La pression réglementaire sur la DeFi montera. L’ESMA et l’AMF examineront comment étendre une forme de protection aux interfaces DeFi accessibles depuis l’Europe, sans pour autant pouvoir réguler le code décentralisé lui-même.
Ce que disent les cabinets de criminalistique blockchain
Les trois principaux cabinets de criminalistique blockchain convergent sur l’essentiel tout en nuançant leur attribution.
« Les attaquants ont utilisé la fonction de durable nonces de Solana pour faire pré-signer aux membres du Security Council des transactions à leur insu », analyse Chainalysis dans son rapport du 9 avril 2026, qui qualifie le timelock à zéro d’erreur centrale.
« Le 1er avril 2026, des attaquants que TRM estime être des pirates nord-coréens ont drainé 285 millions de dollars de Drift Protocol, le plus gros hack DeFi de 2026 », écrit TRM Labs, qui situe le début de la mise en scène on-chain au 11 mars 2026.
« Elliptic a identifié des indicateurs reliant l’exploit de plus de 286 millions de dollars de Drift Protocol à la RPDC », indique le cabinet, qui chiffre le plus gros transfert à 41,7 millions de jetons JLP.
L’enquêteur on-chain indépendant ZachXBT reste, lui, la source la plus suivie de la communauté pour tracer en temps réel les flux Lazarus et identifier les portefeuilles de blanchiment, souvent en amont des communications officielles. Cette complémentarité entre cabinets institutionnels et enquêteurs indépendants forme aujourd’hui la première ligne de défense contre les vols étatiques.
FAQ : hack crypto et sécurité DeFi en 2026
Combien Drift Protocol a-t-il perdu dans le hack ?
Drift Protocol a perdu environ 285 millions de dollars le 1er avril 2026, selon Chainalysis et TRM Labs. Elliptic retient un chiffre légèrement supérieur de 286 millions de dollars. La valeur totale verrouillée du protocole est passée d’environ 550 millions à moins de 250 millions de dollars.
Qui est derrière le piratage de Drift ?
TRM Labs et Elliptic attribuent l’attaque à la Corée du Nord, vraisemblablement le groupe Lazarus. Chainalysis confirme des indicateurs cohérents avec des opérations RPDC connues, tout en gardant une attribution préliminaire. Les fonds dérobés financent les programmes d’armement de Pyongyang.
Comment l’attaque a-t-elle fonctionné sans bug de code ?
Les pirates ont utilisé les durable nonces de Solana pour faire signer aux membres du Security Council des transactions dormantes, à leur insu. En déclenchant ces transactions pré-signées, ils ont pris le contrôle administratif du protocole. Aucune faille de smart contract n’a été exploitée, seulement l’ingénierie sociale et l’absence de timelock.
MiCA protège-t-il contre ce type de hack ?
MiCA encadre les plateformes centralisées agréées (PSCA), pas les protocoles DeFi décentralisés comme Drift. Le règlement impose ségrégation des fonds, gouvernance et capital minimum aux acteurs régulés, ce qui réduit le risque. Un utilisateur d’une plateforme DeFi non agréée sort toutefois du périmètre de protection MiCA.
Combien de cryptomonnaies ont été volées en 2025 ?
Selon Chainalysis, plus de 3,4 milliards de dollars de crypto-actifs ont été volés en 2025. Les pirates nord-coréens en représentent au moins 2,02 milliards, une hausse de 51 % sur un an, portant leur total historique à 6,75 milliards de dollars.
Les victimes de Drift seront-elles remboursées ?
Une bouée de 127,5 millions de dollars, attribuée à Tether selon des informations du 16 avril 2026, couvrirait environ 47 % de la perte. Le remboursement n’est donc que partiel. Le cabinet Gibbs Mura a ouvert une enquête en vue d’une action collective au nom des investisseurs lésés.
Comment protéger ses crypto-actifs après ce hack ?
Conservez vos actifs sur un portefeuille matériel plutôt que sur une plateforme. Refusez toute demande de signature non sollicitée, principal vecteur de l’ingénierie sociale. Privilégiez les plateformes agréées MiCA et n’exposez jamais plus que ce que vous pouvez perdre sur des protocoles DeFi non régulés.
Related Coverage
- Ledger vs Trezor : 15 000 vs 9 000 cryptos, quel portefeuille matériel choisir
- Cryptographie post-quantique : 50 % du web désormais protégé
- Fuites de données : comment elles surviennent et comment s’en protéger
- NIS2 France : 15 000 entités concernées, la CJUE saisie
- Attaques de phishing : comment les reconnaître et les éviter
- Toutes nos analyses sur la cryptomonnaie et la sécurité blockchain
