Solana lance STRIDE : le plan de sécurité DeFi né du casse nord coréen de 270 millions de dollars

Six jours après le plus important piratage DeFi de 2026, la Fondation Solana passe à l'offensive. Le 7 avril 2026, l'organisation a dévoilé STRIDE (Structured Threat Response and Intelligence for DeFi Ecosystems) et le SIRN (Solana Incident Response Network), deux programmes conçus pour renforcer la sécurité de l'ensemble de son écosystème. Cette annonce répond directement à l'exploit de 270 millions de dollars qui a frappé Drift Protocol le 1er avril, une attaque que les enquêteurs attribuent avec une « confiance moyenne à élevée » à des acteurs étatiques nord coréens.

L'anatomie d'un casse numérique à 270 millions de dollars

L'attaque contre Drift Protocol restera comme un cas d'école en matière d'ingénierie sociale appliquée à la finance décentralisée. Selon l'enquête menée par l'équipe SEAL 911, le groupe identifié comme UNC4736 (également connu sous les noms AppleJeus et Citrine Sleet) a consacré six mois à infiltrer le protocole en se faisant passer pour une société de trading quantitatif.

Le premier contact remonte à l'automne 2025, lors d'une grande conférence crypto où les infiltrés ont noué des relations avec des contributeurs de Drift. Un groupe Telegram a été créé dès cette première rencontre, puis les échanges se sont poursuivis lors d'événements dans plusieurs pays. Entre décembre 2025 et janvier 2026, le groupe a intégré un Ecosystem Vault sur Drift, remplissant les formulaires standards, participant à des sessions de travail et déposant plus d'un million de dollars de capital propre pour asseoir sa crédibilité.

Comment des « nonces durables » ont permis un vol en 12 minutes

La technique utilisée exploite une fonctionnalité légitime de Solana : les durable nonces. Ce mécanisme permet de pré signer des transactions qui restent valides indéfiniment, contrairement aux transactions classiques dont la durée de vie est limitée. Les attaquants ont obtenu deux des cinq signatures requises par le multisig du Conseil de sécurité de Drift, en compromettant les appareils de contributeurs via une application TestFlight malveillante et une vulnérabilité dans les éditeurs de code VS Code et Cursor.

Le 11 mars, la phase de préparation on chain a débuté avec le retrait de 10 ETH depuis Tornado Cash. Le 12 mars, les attaquants ont déployé un jeton fictif baptisé CarbonVote Token (CVT), en frappant 750 millions d'unités avec un pool de liquidité initial d'environ 500 dollars sur Raydium. Par une série de transactions entre portefeuilles qu'ils contrôlaient, ils ont artificiellement établi un historique de prix autour de 1 dollar, trompant les oracles de prix de Drift pour que ce jeton sans valeur soit traité comme un collatéral légitime valant des centaines de millions.

Le 27 mars, Drift a exécuté une migration légitime de son Conseil de sécurité vers un seuil de 2 signatures sur 5 sans timelock, éliminant toute fenêtre de détection. Le 1er avril, les transactions pré signées ont été exécutées : 31 retraits en environ 12 minutes, drainant 285 millions de dollars répartis sur près de 20 coffres (vaults). Les actifs volés comprenaient de l'USDC, du JLP, de l'USDT, du JUP, du USDS, du WBTC et du WETH.

Un impact sismique sur l'écosystème Solana

Les conséquences financières se sont propagées rapidement. La valeur totale verrouillée (TVL) de Drift s'est effondrée de 550 millions à 230 millions de dollars en quelques heures. Le jeton DRIFT a chuté de plus de 40 % dans les 24 heures suivant l'annonce. Le cours de Solana (SOL) lui même a plongé sous les 80 dollars, s'établissant à 78,82 dollars le 7 avril, soit une baisse de 65,5 % sur six mois par rapport à son plus haut annuel de 253,61 dollars.

La TVL globale de l'écosystème Solana est passée de plus de 9 milliards à environ 5,5 milliards de dollars ces dernières semaines, un recul que les analystes attribuent en partie à la crise de confiance provoquée par l'exploit. Le volume d'échange de SOL (26,4 millions le 7 avril) reste très inférieur à sa moyenne de 101,3 millions, signe d'une prudence marquée des investisseurs.

Que révèle cette attaque sur la sécurité DeFi ?

« Les contrats intelligents ont tenu. Les véritables cibles sont désormais les humains : l'ingénierie sociale et les failles de sécurité opérationnelle, bien plus que les bugs de code », a déclaré Lily Liu, présidente de la Fondation Solana. Cette analyse est partagée par Charles Guillemet, directeur technique de Ledger : « La sécurité ne se résume pas aux audits de code. Il s'agit de donner aux opérateurs et aux utilisateurs la bonne information au bon moment, pour qu'ils prennent des décisions éclairées sur ce qu'ils signent. »

L'attaque s'inscrit dans un schéma plus large. Selon les données d'Elliptic, il s'agit du 18e vol de cryptoactifs lié à la Corée du Nord identifié en 2026, avec plus de 300 millions de dollars dérobés depuis le début de l'année. Depuis 2017, l'appareil cybernétique nord coréen a siphonné environ 7 milliards de dollars au secteur crypto selon les analystes de R3ACH, incluant le piratage de Ronin Bridge (625 millions de dollars en 2022), de WazirX (235 millions en 2024) et de Bybit (1,4 milliard en 2025).

STRIDE et SIRN : la réponse structurelle de Solana

Le programme STRIDE, piloté par la société de sécurité Asymmetric Research, évaluera les protocoles DeFi sur huit piliers de sécurité couvrant non seulement le code des contrats intelligents, mais aussi la gouvernance, le contrôle d'accès et la sécurité opérationnelle. Les résultats seront rendus publics.

Le dispositif prévoit deux niveaux de soutien financé par des subventions de la Fondation Solana. Les protocoles dont la TVL dépasse 10 millions de dollars bénéficieront d'une surveillance continue des menaces et d'un monitoring opérationnel. Ceux dépassant 100 millions de dollars de TVL recevront en plus un financement pour la vérification formelle de leur code. L'ensemble de ces services est proposé sans frais pour les développeurs. Les membres fondateurs du programme incluent OtterSec, Neodyme, Squads et ZeroShadow.

Le SIRN (Solana Incident Response Network) fonctionne comme un réseau de réponse aux incidents en temps réel, regroupant des entreprises de sécurité et des chercheurs spécialisés. Le réseau a établi des relations avec les opérateurs de ponts inter chaînes, les plateformes d'échange centralisées et les émetteurs de stablecoins pour coordonner les réponses en cas de crise.

Des limites reconnues par ses propres concepteurs

La Fondation Solana elle même reconnaît que STRIDE n'aurait pas empêché l'attaque contre Drift. Les exploiteurs ont obtenu des approbations multisig valides en utilisant des appareils compromis : une vulnérabilité humaine, pas une faille de contrat intelligent. L'enquêteur blockchain ZachXBT a par ailleurs critiqué publiquement Circle Internet Financial pour ne pas avoir gelé 230 millions de dollars en USDC volés pendant une fenêtre de six heures où le gel était techniquement possible, contrastant cette inaction avec la décision récente de Circle de geler des portefeuilles dans le cadre d'un litige civil.

Quels enseignements pour les investisseurs en cryptoactifs ?

L'exploit de Drift soulève des questions fondamentales sur la maturité sécuritaire de la finance décentralisée. Trois leçons pratiques se dégagent pour les investisseurs :

• La sécurité du code ne suffit plus. Les audits de contrats intelligents, aussi rigoureux soient ils, ne protègent pas contre l'ingénierie sociale ciblant les opérateurs humains. Les protocoles doivent désormais intégrer des procédures de sécurité opérationnelle comparables à celles du secteur bancaire traditionnel.
• Les timelocks sont essentiels. La migration du Conseil de sécurité de Drift sans délai de verrouillage a supprimé la dernière ligne de défense. Les investisseurs doivent vérifier si les protocoles qu'ils utilisent imposent des délais sur les opérations administratives critiques.
• La diversification reste la meilleure protection. La concentration d'actifs sur un seul protocole DeFi expose à un risque de perte totale. Répartir son capital entre plusieurs plateformes et plusieurs chaînes limite l'impact d'un incident isolé.

Le lancement de STRIDE et SIRN marque une étape dans la professionnalisation de la sécurité DeFi sur Solana. Le programme couvre la surveillance, l'audit et la réponse aux incidents, mais la faille exploitée par UNC4736 rappelle que le maillon le plus fragile reste l'humain. Pour les investisseurs en cryptoactifs, la vigilance sur les pratiques de gouvernance des protocoles devient aussi importante que l'analyse de leurs rendements.

Sources

• CoinDesk, « Solana Foundation Unveils Security Overhaul Days After $270 Million Drift Exploit », 7 avril 2026
• CoinDesk, « Drift Says $270 Million Exploit Was a Six-Month North Korean Intelligence Operation », 5 avril 2026
• Bloomberg, « Drift DeFi Project on Solana Suffers $285 Million Crypto Exploit », 1er avril 2026
• TRM Labs, « North Korean Hackers Attack Drift Protocol in $285 Million Heist », avril 2026
• The Cyber Express, « North Korea Spent 6 Months To Drain $285M From Drift Protocol In 12 Mins », avril 2026
• CryptoNews, « Solana Foundation Unveils Security Overhaul Days After $270 Million Drift Exploit », 7 avril 2026
• CryptoBriefing, « Solana Foundation Launches STRIDE and SIRN DeFi Security Programs », avril 2026
• Bitcoin.com News, « Solana Foundation Launches STRIDE Security Program for DeFi Protocols Following Drift Incident », avril 2026
• Yahoo Finance, « Bitcoin and Ethereum Price Today, April 7 2026 », 7 avril 2026
• CoinMarketCap, « Solana Drops 4.5% as $270M Drift Exploit Hits », avril 2026
• Chainalysis, « 2025 Crypto Theft Reaches $3.4 Billion », 2026