L’essentiel : le 1er avril 2026 (« April Fool’s Day »), Drift Protocol, le plus gros DEX perpetuel sur Solana, est drainé de 285 millions de dollars en seulement 12 minutes. C’est plus de 50 % de sa TVL totale au moment de l’attaque, et le 2e plus gros hack de l’histoire Solana après Wormhole 2022 (326 M$). L’attaquant exploite la fonctionnalité « durable nonces » propre à Solana : des transactions pré-signées par les membres du Security Council de Drift, qui ne savaient pas qu’elles transféraient le contrôle administratif. Le scénario complet a démarré 3 semaines avant : le 11 mars, withdrawal de 10 ETH depuis Tornado Cash pour financer le déploiement du CVT (CarbonVote Token), un faux token créé le 12 mars avec 750 M de supply et un prix artificiellement gonflé à 1 $ via wash trading sur Raydium. Le 1er avril, l’attaquant whitelist le CVT comme collatéral, dépose 500 M de CVT sans valeur, et emprunte 285 M$ d’USDC, SOL et ETH réels. Les firmes Elliptic et TRM Labs attribuent l’attaque au groupe Lazarus (Corée du Nord). C’est le hack DeFi le plus sophistiqué de 2026.
Que s’est-il passé le 1er avril 2026 ?
Drift Protocol est le plus grand exchange perpétuel décentralisé sur Solana, avec une TVL d’environ 560 M$ au début avril 2026. La plateforme est concurrente directe d’Hyperliquid (sur sa propre L1) et leader sur Solana pour le trading de futures crypto. Le protocole utilise un Security Council multisig pour les opérations administratives critiques.
Le 1er avril 2026, date qui n’est probablement pas un hasard, vu le surnom « April Fool’s Day Hack » donné par la communauté, un attaquant exécute en 12 minutes seulement une série de transactions qui drainent 285 M$ du protocole. Selon Bloomberg, c’est plus de la moitié de la TVL Drift, et 50 % de l’ensemble du marché perpétuel Solana.
L’équipe Drift annonce immédiatement la suspension des deposits et withdrawals via X (Twitter), et lance l’analyse on-chain. Les investigations confirment rapidement deux choses : l’attaque a impliqué des transactions pré-signées par des membres légitimes du Security Council, et un faux token CVT a servi de levier pour le drain.
L’analyse Chainalysis titre : « privileged access led to a $285 million loss », autrement dit, les hackers ont obtenu les bonnes signatures par tromperie sociale, pas en cassant la cryptographie.
Le mécanisme : durable nonces de Solana expliquées
Pour comprendre l’exploit, il faut comprendre les durable nonces de Solana. C’est une fonctionnalité unique du blockchain Solana qui n’a pas d’équivalent direct sur Ethereum.
Sur Solana, chaque transaction doit référencer un « recent blockhash » récent (moins de 150 blocs, soit ~1 minute) pour être validée. Cette contrainte empêche la rejouabilité de vieilles transactions, mais elle empêche aussi de pré-signer des transactions pour exécution future. Pour résoudre ce problème, Solana introduit les durable nonces :
- Un compte « nonce account » est créé avec un nonce stable.
- Les transactions peuvent référencer ce nonce stable au lieu d’un blockhash récent.
- Conséquence : la transaction peut être signée maintenant et exécutée des heures, jours, ou semaines plus tard.
Cette feature est utile pour des cas d’usage légitimes : transactions multisig où plusieurs signataires participent à des moments différents, transactions programmées, opérations administratives complexes.
La faille exploitée par Drift : les durable nonces permettent à un attaquant qui a obtenu la signature d’un membre du Security Council de conserver cette signature et l’exécuter à un moment de son choix, bien après que le signataire l’ait oubliée. C’est exactement ce qui s’est passé.
Selon CoinDesk, entre le 23 et le 30 mars, l’attaquant a créé multiple durable nonce accounts, et fait signer aux membres du Security Council des transactions qui semblaient anodines mais qui transféraient en réalité des privilèges administratifs critiques. Ces signatures sont restées dormantes jusqu’au 1er avril.
La préparation : social engineering + faux token CVT
L’élément le plus glaçant du hack Drift est la durée de préparation. Selon TRM Labs, le scénario a démarré dès l’automne 2025 avec une campagne de social engineering ciblée sur les membres du Drift Security Council.
11 mars 2026 : withdrawal de 10 ETH depuis Tornado Cash. Cette somme modeste sert à financer la suite de l’opération sans laisser de trace KYC.
12 mars 2026 : déploiement du CVT (CarbonVote Token) sur Solana. C’est un faux token avec une supply totale de 750 millions. L’attaquant en garde la quasi-totalité (l’équivalent du ratio token founder dans une ICO classique).
12-22 mars : création d’un petit pool de liquidité Raydium pour le CVT, et wash trading intensif pour ancrer le prix de CVT à environ 1 $ sur les marchés on-chain. Le wash trading consiste à acheter et vendre soi-même un token via plusieurs wallets pour créer une fausse activité de marché et un faux prix.
23-30 mars : création de multiples durable nonce accounts sur Solana, et engagement social avec les membres du Drift Security Council. L’attaquant utilise probablement des faux profils LinkedIn (offres d’emploi crypto), des faux partenariats commerciaux, ou de la simple compromission de devices via phishing ciblé. Plusieurs membres du Council finissent par signer des transactions « administratives » qui sont en réalité des autorisations préparatoires.
1er avril 2026 : exécution coordonnée. Les transactions pré-signées sont déclenchées dans l’ordre, le CVT est whitelisté comme collatéral valide, 500 M de CVT (sans valeur réelle) sont déposés, et 285 M$ d’USDC, SOL et ETH réels sont empruntés et envoyés vers les wallets de l’attaquant.
Total : 7 mois de préparation pour 12 minutes d’exécution.
Attribution : Lazarus / DPRK confirmé
Plusieurs firmes blockchain analytics convergent rapidement sur l’attribution. Selon Elliptic et TRM Labs, le pattern technique du hack Drift correspond précisément aux campagnes du groupe Lazarus, un APT (Advanced Persistent Threat) attribué à la Corée du Nord (DPRK).
Les éléments qui pointent vers Lazarus :
Préparation longue durée. 7 mois de préparation est typique des opérations Lazarus, qui privilégient la patience à la vitesse. Le hack Ronin Bridge de 2022 (625 M$) avait suivi un schéma similaire.
Social engineering sophistiqué. Les faux profils LinkedIn, faux entretiens d’embauche, faux partenariats sont des techniques signature de Lazarus depuis 2023. Plusieurs équipes crypto ont signalé des tentatives identiques sur leurs employés.
Routine de blanchiment. Les fonds du hack ont été swappés rapidement vers ETH puis bridgés via THORChain et autres protocoles cross-chain, exactement comme pour le hack IoTeX (cf. notre article). Cette signature de blanchiment est attribuée à Lazarus.
Timing géopolitique. Plusieurs hacks attribués à Lazarus en 2024-2026 surviennent dans des fenêtres de tensions géopolitiques DPRK-US. Le contexte début 2026 (tensions Iran, sanctions DPRK renforcées) coïncide avec l’accélération des hacks.
L’attribution Lazarus n’est pas une certitude juridique (aucune accusation formelle n’a été portée par les autorités au moment de l’événement), mais c’est l’hypothèse dominante des analystes blockchain. Les implications sont significatives : Lazarus est sanctionné par l’OFAC, ce qui rend les fonds drainés théoriquement gelables sur les exchanges centralisés conformes.
Le débat multisig : Arthur Hayes vs équipe Drift
Le hack Drift a relancé un débat technique au cœur de la communauté Solana. Arthur Hayes, fondateur de BitMEX et investisseur crypto influent, questionne publiquement le choix architectural de Drift : pourquoi ne pas avoir utilisé le multisig natif Solana (Squads Protocol par exemple) qui aurait probablement empêché ce scénario ?
L’argument Hayes : un multisig 4-sur-7 ou 5-sur-9 avec timelock 24h aurait rendu impossible l’exploitation des durable nonces. Même si l’attaquant avait obtenu plusieurs signatures pré-signées, le timelock aurait permis à la communauté d’identifier l’opération malveillante avant exécution.
La réponse Drift. L’équipe Drift défend son architecture en pointant que :
- Le Security Council utilisait déjà un multisig (mais propriétaire, pas Squads).
- Les durable nonces étaient une feature documentée de Solana, pas une zone grise.
- Le hack a réussi via social engineering, pas via défaillance du multisig en soi.
Le débat reste ouvert mais oriente l’écosystème Solana vers une adoption accrue de Squads Protocol comme standard multisig. Plusieurs protocoles Solana annoncent en avril-mai 2026 leur migration vers Squads.
Pour les bases sur la sécurité multisig, voyez nos articles sur le hack Step Finance (autre cas Solana où multisig manquait) et le hack IoTeX (cas clé admin compromise).
Impact contagion : 20+ protocoles affectés
Le hack Drift n’est pas isolé. Drift étant un protocole composable au cœur de l’écosystème DeFi Solana, sa compromission a déclenché un effet de contagion sur plus de 20 autres protocoles qui dépendaient de sa liquidité, de ses oracles, ou de sa stratégie.
Selon Fortune, les protocoles affectés indirectement incluent :
- Stratégies de yield qui utilisaient Drift comme source de rendement perpetuels.
- Protocoles de lending qui acceptaient les positions Drift comme collatéral.
- Aggregators DEX qui routaient une partie des swaps via Drift.
- Index funds qui incluaient des positions Drift.
L’effet de contagion s’est mesuré par une chute moyenne de 8-15 % sur les TVL des protocoles Solana affectés dans la semaine suivant le hack. Le SOL lui-même a chuté de 12 % sur la même période, en partie sous l’effet de la perte de confiance générale.
C’est exactement ce que les analystes pointaient depuis 2024 : la composabilité DeFi crée des avantages massifs (efficacité capital, innovations rapides) mais aussi des risques systémiques. Une faille majeure sur un protocole central peut propager des pertes à tout l’écosystème.
Pour comprendre la composabilité DeFi, voyez aussi notre article sur le DeFi reboot Ethereum/Solana.
Que retenir du hack Drift
Quatre conclusions pratiques pour un investisseur retail français.
Les attaques DeFi 2026 sont des opérations militaires. 7 mois de préparation, social engineering sophistiqué, exploitation de features documentées mais peu connues. C’est le niveau APT (Advanced Persistent Threat) appliqué à la finance décentralisée. Pour les protocoles, la défense doit être proportionnelle : threat intelligence, audits OpSec en plus des audits de code, simulations red team régulières.
Solana spécifiquement nécessite Squads Protocol. Pour les utilisateurs Solana en 2026, vérifier que les protocoles utilisent Squads (multisig natif) avec timelock. Sans ça, le risque de privileged access exploit reste élevé. Cf. la check-list dans nos articles sécurité.
Limiter l’exposition aux protocoles « single point of failure ». Drift contrôlait 50 % des perpetuels Solana. Une telle concentration crée des risques systémiques. Pour les utilisateurs, diversifier sur plusieurs protocoles (Drift, Mango, Zeta, Cypher) réduit l’exposition à un hack single-protocol.
Surveiller les annonces sociales suspectes. Si vous travaillez dans l’écosystème crypto et qu’un recruteur LinkedIn vous contacte avec une « offre d’emploi exceptionnelle », méfiance. Si un nouvel investisseur ou partenaire commercial vous demande des accès à vos infrastructures de signature, méfiance. Lazarus utilise ces vecteurs depuis 2023 et leur sophistication ne fait que croître.
Pour les bases sur la sécurité hardware wallet en 2026, voyez notre guide complet, et pour la sécurité plus générale, Protéger vos cryptomonnaies contre les pirates et Se protéger des différents types de hack.
Drift Protocol va-t-il survivre au hack ?
Très probablement oui, mais avec une transformation profonde. Drift a couvert une partie des pertes via sa réserve protocol et sa trésorerie, et a annoncé un programme de remboursement progressif aux utilisateurs touchés. Le protocole a migré son architecture multisig vers Squads, et a engagé Trail of Bits pour un audit OpSec complet. Les fonds drainés sont probablement définitivement perdus (Lazarus blanchit efficacement), mais le protocole lui-même devrait reprendre activité avec une TVL réduite mais une sécurité renforcée. Pas de risque existentiel comme Step Finance qui a fermé.
Mes positions Drift sont-elles en danger ?
Si vous étiez long sur Drift au moment de l’attaque, oui, vos positions ont été affectées. La couverture Drift via sa réserve devrait restituer une partie des pertes (~30-50 % selon le programme annoncé). Pour les utilisateurs qui n’avaient pas de positions actives au 1er avril, l’impact est uniquement indirect (chute du token DRIFT et perception générale de Solana). Pour vérifier vos pertes exactes, consulter votre historique sur drift.trade et attendre la communication officielle sur la compensation.
Qu’est-ce qu’une durable nonce sur Solana ?
Une feature Solana qui permet de pré-signer une transaction pour exécution future. Sur Ethereum, chaque transaction doit référencer un blockhash récent, ce qui empêche le pré-signing. Solana introduit les durable nonces pour permettre des cas d’usage comme les multisig où les signataires participent à des moments différents, ou les transactions programmées. La feature est légitime mais elle a été détournée par les attaquants Drift pour conserver et exécuter plus tard des signatures obtenues par tromperie sociale.
Comment Lazarus a-t-il été identifié ?
Trois éléments convergents. Un, le pattern technique (préparation longue, social engineering, faux tokens) correspond à 5+ campagnes Lazarus documentées depuis 2022 (Ronin Bridge, Atomic Wallet, etc.). Deux, la routine de blanchiment (THORChain, Tornado Cash, addresses Bitcoin fragmentées) match les wallets historiquement attribués à Lazarus par Chainalysis et Elliptic. Trois, plusieurs équipes ciblées par les social engineering campaigns identifient des tactiques identiques aux faux entretiens DPRK déjà signalés. L’attribution n’est pas juridiquement formelle mais hautement probable.
Pourquoi le 1er avril (April Fool’s Day) ?
Pas de coïncidence selon les analystes. Plusieurs raisons plausibles : l’effet psychologique d’attaquer un April Fool’s Day rend la nouvelle initialement difficile à croire, ralentissant la réponse. Les médias sont moins alertes (filtrent les fausses nouvelles). Les équipes sécurité crypto sont parfois distraites par des trolls/jokes du jour. Lazarus optimise ses fenêtres de timing depuis longtemps. Le hack Ronin Bridge de 2022 avait également démarré sur des dates où la vigilance baissait.
Solana est-elle moins sécurisée qu’Ethereum ?
Pas globalement, mais avec des différences spécifiques. Solana a moins d’historique de hacks que Ethereum sur les protocoles natifs, mais les hacks récents (Step Finance janvier, Drift avril) ont été massifs et exploitent des features Solana spécifiques (durable nonces, accounts model). Ethereum a son propre lot de risques (donation attacks Compound forks, bridges exploits). Aucun écosystème n’est intrinsèquement plus sûr ; c’est la maturité des outils de sécurité (multisig, audit, monitoring) qui compte. Solana rattrape activement avec Squads Protocol et l’écosystème sécurité grandissant.
Le SOL va-t-il continuer à baisser après ce hack ?
Le hack Drift a contribué à -12 % sur SOL dans la semaine suivante, mais la trajectoire moyen-terme dépend de facteurs plus larges (Fed, ETF SOL anticipés, croissance écosystème). Historiquement, les hacks majeurs sur Solana (FTX 2022, Step Finance janvier 2026) ont créé des opportunités d’achat post-baisse pour les investisseurs long terme. Avril 2026 a vu un rebond progressif de SOL grâce au DeFi reboot et l’amélioration de l’infrastructure. Pour un investisseur retail, la décision dépend de votre horizon et tolérance au risque.
Le hack le plus sophistiqué de 2026
Le hack Drift Protocol du 1er avril 2026 mérite l’étude détaillée parce qu’il représente une évolution qualitative dans l’écosystème des attaques DeFi. Trois caractéristiques le distinguent des hacks précédents.
La sophistication APT-level. 7 mois de préparation, exploitation d’une feature blockchain spécifique (durable nonces), social engineering ciblé : c’est du niveau d’une opération de cybersécurité étatique. Lazarus continue d’élever la barre pour les défenseurs DeFi.
Le ciblage privileged access plutôt que smart contract bugs. Drift n’a pas eu de bug de code. Le hack a réussi en compromettant des humains autorisés à signer, pas en cassant la sécurité technique du protocole. C’est un changement majeur : la sécurité humaine devient au moins aussi critique que la sécurité du code.
L’effet de contagion DeFi. Drift étant central à l’écosystème Solana, sa compromission a affecté 20+ protocoles. La composabilité crée des dynamiques systémiques que les protocoles individuels ne peuvent pas mitiger seuls. La sécurité est devenue un enjeu collectif, pas individuel.
Pour aller plus loin, voyez aussi nos articles sur le hack Step Finance (autre cas Solana OpSec), le hack IoTeX (cas clé admin), et nos guides Hardware wallets 2026 et DeFi reboot Ethereum/Solana.
