Exploit de Drift lié au piratage Radiant de 58M$

Drift Protocol a déclaré que l'exploit de 280 millions de dollars apparu début avril 2026 faisait suite à « des mois de préparation délibérée », et l'équipe a une « confiance moyen-élevée » que les mêmes acteurs étaient derrière une brèche de 58 millions de dollars chez Radiant Capital en octobre 2024 (Cointelegraph, 5 avr. 2026). L'attaquant (ou les attaquants) a utilisé une séquence d'opérations on-chain que Drift qualifie de coordonnées et préméditées plutôt que d'un abus opportuniste de prêts flash. La divulgation, publiée le 5 avril 2026, place l'incident parmi les pertes DeFi les plus importantes de ce trimestre et ravive les questions sur la reconnaissance inter-protocoles et le savoir-faire des attaquants. Protocoles, fournisseurs de liquidité et contreparties institutionnelles réévaluent leurs expositions alors que l'analyse judiciaire se poursuit et que la gouvernance communautaire débat des compensations et des mesures de durcissement.

Contexte

La déclaration préliminaire de Drift au public a insisté sur l'ampleur et la préparation derrière l'exploit : 280 millions de dollars siphonnés du protocole et un lien, avec une « confiance moyen-élevée », vers un piratage de Radiant Capital à hauteur de 58 millions de dollars en octobre 2024 (Cointelegraph, 5 avr. 2026). Ce libellé indique que les défenseurs observent des motifs communs dans les adresses de portefeuilles, les outils ou l'OPSEC qui pointent vers des acteurs récurrents plutôt que vers plusieurs adversaires sans lien. La chronologie — Radiant en oct. 2024 et Drift en avr. 2026 — suggère soit un acteur persistant, soit un petit groupe ayant affiné ses capacités sur au moins 18 mois, exploitant des fenêtres au sein des piles de prêts et de produits dérivés.

Ce schéma diffère de nombreuses défaillances médiatisées historiquement qui étaient opportunistes ou résultaient de bogues isolés dans le code. Par exemple, les manipulations motivées par des prêts flash lors de cycles antérieurs surviennent souvent en minutes ou heures ; Drift attribue ici « des mois » de préparation délibérée, ce qui implique un modèle de reconnaissance, de mise en place et d'exécution plus analogue aux menaces persistantes avancées dans la cybercriminalité traditionnelle. Ce changement rehausse la barre de ce que doivent anticiper les défenseurs, depuis la chasse continue aux menaces sur la chaîne jusqu'à l'intelligence hors chaîne liant des portefeuilles à des infrastructures. La transparence de Drift sur les niveaux de confiance et le calendrier est remarquable : elle permet aux contreparties et aux participants du marché d'ajuster leurs réponses et d'éviter des attributions prématurées susceptibles d'entraver la récupération ou l'action judiciaire.

Le calendrier de la communication publique est également important. Drift a publié des constatations préliminaires le 5 avr. 2026, plutôt que d'attendre un rapport médico-légal complet, ce qui a accru l'examen de la part des auditeurs, assureurs et autres équipes DeFi. Les divulgations anticipées peuvent aider à coordonner les efforts de restitution des fonds, comme observé dans des cas antérieurs, mais elles risquent aussi de révéler des vecteurs d'enquête aux adversaires. Les participants institutionnels qui orientent les décisions d'allocation via des comités de gouvernance ou de trésorerie examineront à la fois les revendications techniques et les mesures d'atténuation, en particulier lorsque l'incident croise des événements de marché plus larges tels que la volatilité dans les marchés de financement natifs à la crypto.

Analyse approfondie des données

Des faits numériques clés ancrent le récit public : 280 millions de dollars d'actifs volés (Drift), 58 millions de dollars prélevés chez Radiant Capital en octobre 2024 (post-mortems de Radiant), et la divulgation préliminaire du 5 avr. 2026 (Cointelegraph, 5 avr. 2026). La comparaison arithmétique est frappante : la perte chez Drift est environ 4,8 fois la perte de Radiant, ce qui souligne une escalade soit de l'ambition des attaquants, soit de la valeur de la surface d'attaque exploitable. Ces deux points de données — 58 M$ et 280 M$ — fournissent une base pour que les assureurs, les sociétés médico-légales et les fournisseurs de liquidité dimensionnent des dispositifs de soutien potentiels, déclencheurs de réassurance et remèdes de gouvernance.

Au-delà des chiffres d'appel, la qualification de « mois de préparation délibérée » implique plusieurs actions préparatoires distinctes et mesurables sur la chaîne : transactions tests, sondes de faible valeur, interactions avec des contrats intelligents qui construisent des graphes d'autorisations, et consolidation de portefeuilles avant l'extraction unique. Ce sont des métriques traçables que les équipes médico-légales utilisent pour construire des chronologies et identifier des adresses de préparation. Pour les contreparties institutionnelles, la présence de tels indicateurs avancés peut faire la différence entre reconnaître une menace et réagir après l'événement — une considération désormais prioritaire pour les équipes de trésorerie et de risque contrepartie.

Un autre point mesurable est le niveau de confiance en matière d'attribution. Drift utilise une taxonomie — « confiance moyen-élevée » — qui peut être quantifiée opérationnellement (p. ex. recoupements d'adresses de portefeuilles, infrastructure réutilisée, motifs d'outillage partagés). Cette taxonomie importe pour les voies juridiques : une confiance d'attribution plus élevée augmente la probabilité de coopération des forces de l'ordre, de sanctions par les services de gestion de la chaîne de garde, et d'éventuelles actions diplomatiques ou transfrontalières. Pour des calculs sommaires de risque, les parties prenantes devraient traiter les constats de Drift comme un input pour des analyses de scénarios plutôt que comme une décision définitive tant que des rapports médico-légaux multipartites ne sont pas finalisés.

Implications sectorielles

L'exploit amplifie les préoccupations structurelles à travers les primitives DeFi : la composabilité qui accroît la portée systémique, un marché de relais hors chaîne et d'oracles susceptible d'être manipulé, et la persistance d'adversaires qualifiés. Les protocoles qui reposent sur des constructions composables de prêt, de contrats perpétuels et de marge croisée font désormais face à un risque contrepartie élevé car un exploit dans un protocole peut se propager via le dérapage des pegs d'actifs, les moteurs de liquidation et la dynamique des taux de financement. Les contreparties institutionnelles qui considéraient auparavant la DeFi comme une source d'alpha doivent désormais intégrer une prime opérationnelle plus élevée dans leurs décisions d'accès et de garde.

Les comparaisons avec des chocs industriels antérieurs sont instructives. La compromission du pont Ronin à hauteur de 625 millions de dollars en 2022 reste le plus grand vol DeFi enregistré et a suscité des appels plus larges en faveur d'une conservation centralisée des expositions majeures ; par contraste, Drift et Radiant représentent des assauts ciblés sur la logique des protocoles plutôt que sur des validateurs de ponts inter-chaînes. La différence de modalité signifie que les assureurs et les services de trésorerie doivent adopter des approches de souscription distinctes pour les ponts r