Je viens de terminer l’analyse complète de la chaîne d’événements de l’incident de Drift Protocol, et je dois dire que c’est peut-être le cas de sécurité DeFi le plus choquant que j’aie vu cette année.

L’incident s’est produit le 1er avril. La plus grande plateforme d’échange de contrats perpétuels de l’écosystème Solana, Drift, a été vidée de 285 millions de dollars en seulement quelques dizaines de minutes. Mais il ne s’agit pas d’une vulnérabilité complexe de contrat intelligent, au contraire, cela a révélé une faiblesse fatale que nous avons toujours ignorée : l’humain.

Ce qui m’intéresse le plus, c’est la méthode de l’attaquant. Ils ont mis en place leur plan sur une période de six mois. D’abord, ils se sont déguisés en une grande société de trading quantitatif, ont investi de l’argent réel dans l’écosystème Drift, participé à diverses conférences cryptographiques, et ont établi des relations avec l’équipe centrale. Ce hacker de haut niveau portait un masque très professionnel — ce n’était pas une simple tentative de phishing, mais une démarche progressive consistant à fournir des conseils de test de produits de haute qualité et des avis stratégiques, pour obtenir peu à peu l’accès aux groupes de communication internes.

La deuxième étape est encore plus rusée. Ils ont exploité le mécanisme unique de Solana, les "Durable Nonces" — conçu à l’origine pour faciliter la signature hors ligne de transactions, mais qu’ils ont transformé en une bombe à retardement. Par le biais de requêtes de test falsifiées, ils ont induit en erreur les membres du comité de sécurité de Drift pour qu’ils effectuent des "signatures à l’aveugle" (Blind Signing). Ce qui semblait être une transaction ordinaire, en réalité, le payload transférait les droits de gestion maximale du protocole.

Puis, la situation a rapidement dégénéré. Le 27 mars, Drift a effectué une mise à jour de gouvernance apparemment progressive : ils ont remplacé le comité de sécurité par une architecture multisignature 2/5. Mais le problème, c’est qu’ils ont supprimé le time lock. Cela signifiait qu’avec seulement deux signatures, toute instruction modifiant la logique centrale du protocole serait exécutée immédiatement. Sans délai de réaction.

Le 1er avril, tout était prêt. L’attaquant a simultanément déclenché la commande multisignature précédemment volée, obtenant instantanément le contrôle administratif. La suite des opérations ressemblait à un retrait dans leur propre portefeuille — ils ont ajouté un faux jeton appelé CVT à la liste blanche, augmenté la limite de prêt au maximum, manipulé le prix via l’oracle, et en utilisant ces jetons sans valeur comme collatéral, ils ont légitimement "emprunté" 285 millions de dollars en USDC, SOL et ETH.

Ce qui est le plus ironique, c’est qu’du point de vue de la blockchain, chaque étape de l’attaquant était parfaitement légale. Ils n’ont pas exploité de débordement d’entier ou d’attaque par réentrée, ils ont simplement obtenu la clé privée d’administrateur réelle, puis ont utilisé un processus normal pour retirer l’argent.

Cela met en lumière le problème central de la gouvernance actuelle en DeFi : nous utilisons des outils multisignatures de niveau retail pour gérer des fonds valant des dizaines de milliards de dollars. La plupart des protocoles DeFi mainstream dépendent encore des multisignatures classiques de contrats intelligents (comme Safe), qui présentent deux défauts fondamentaux. Premièrement, ils ne peuvent pas prévenir les attaques par ingénierie sociale — tant que l’attaquant parvient à contrôler quelques personnes clés détenant la clé privée, la défense s’effondre. Deuxièmement, ils ne vérifient pas l’intention — une multisignature ne peut que confirmer "est-ce bien leur signature ?", mais ne peut pas comprendre "qu’est-ce qu’ils signent ?".

Je pense que cet incident marque un tournant dans la sécurité DeFi. Passant d’un laboratoire de geeks à une infrastructure financière véritable, les standards de sécurité doivent évoluer. Un consensus commence à se former dans l’industrie : la prochaine génération de protections DeFi devrait inclure plusieurs directions :

D’abord, une mise à niveau au niveau matériel. Remplacer la multisignature logicielle par un HSM (Module de Sécurité Matériel) — où la clé privée est stockée dans une puce cryptographique de niveau militaire, impossible à exporter. Cette isolation physique et ce contrôle matériel peuvent éliminer complètement les risques d’ingénierie sociale interne et de compromission des appareils.

Ensuite, introduire un moteur de stratégie basé sur l’intention. La gestion des autorisations en DeFi ne devrait pas se limiter à "vérifier la signature". Le système doit intégrer une logique de gestion des risques — par exemple, lorsqu’une transaction tente de modifier la limite de prêt d’un jeton inconnu à l’infini, le moteur de stratégie doit automatiquement détecter une intention anormale, déclencher une interruption, et forcer une vérification de niveau supérieur (comme une revue manuelle à plusieurs niveaux, une vérification vidéo ou un time lock obligatoire).

Enfin, introduire une garde indépendante tierce. Avec l’augmentation continue du TVL, les développeurs de protocoles devraient se concentrer sur la logique du code et l’innovation commerciale, et confier le contrôle et la protection des dizaines de milliards de dollars à des institutions de garde professionnelles, conformes à la réglementation. Comme dans la finance traditionnelle, une plateforme d’échange ne mettrait pas les actifs des utilisateurs dans un coffre privé du propriétaire. L’intégration de processus de gestion des risques audités, robustes contre les attaques, est une étape incontournable pour une adoption massive de la DeFi.

Les 285 millions de dollars perdus par Drift pourraient être la leçon de sécurité la plus coûteuse. Mais d’un autre point de vue, cet incident pourrait aussi marquer le point de basculement de la nouvelle paradigme de sécurité en DeFi — passant d’une gouvernance décentralisée lâche à une architecture matérielle, une vérification d’intention, et une garde professionnelle. En renforçant ces défenses, le Web3 pourra réellement porter la valeur de plusieurs billions de dollars à l’avenir.