TechFlow rapporte, le 2 mai, qu’après une analyse publiée par Forbes, le secteur DeFi vient de traverser le mois le plus coûteux de son histoire enregistrée : en moins de trois semaines, 12 protocoles ont été piratés pour un montant total dépassant 606 millions de dollars américains. L’incident survenu sur Drift a entraîné une perte de 285 millions de dollars, tandis que celui affectant Kelp DAO s’est soldé par une perte de 292 millions de dollars ; ces deux attaques représentent collectivement environ 95 % des pertes totales.
Drift, la plus grande bourse décentralisée de contrats perpétuels sur Solana, a été victime d’une cyberattaque. Selon le rapport d’analyse post-incident, celle-ci aurait été « planifiée pendant six mois », et on l’attribue, avec un degré de confiance modéré, à une organisation de hackers soutenue par l’État nord-coréen. Les attaquants se sont fait passer pour une société de trading quantitatif, établissant progressivement la confiance auprès des contributeurs du protocole, puis ont exploité la fonctionnalité « durable nonces » de Solana afin d’inciter les membres du comité de sécurité à pré-signer des transactions apparemment banales. Après que Drift eut supprimé son verrou temporel (time lock) et adopté un schéma de signature multi-signatures 2-sur-5, les attaquants introduisirent un actif fictif, le jeton CarbonVote Token, comme garantie, contournant ainsi les mécanismes de sécurité du protocole. La dernière audit du protocole datait de février de cette année ; la faille exploitée n’était pas liée à un défaut de code dans les contrats intelligents, mais plutôt à une compromission physique des équipements et à la manipulation des signataires.
L’attaque contre Kelp DAO ciblait, quant à elle, les infrastructures périphériques du protocole. Son pont interchaînes, implémenté via LayerZero, utilisait une configuration de validateur « 1-sur-1 ». Les attaquants ont compromis un nœud RPC et falsifié les données, provoquant la libération de 116 500 jetons rsETH via le pont — soit environ 18 % de l’offre en circulation de ce jeton. Ces rsETH volés ont ensuite été déposés sur Aave en tant que garantie pour obtenir des prêts, propageant ainsi le risque vers d’autres marchés majeurs de prêt tels que Compound et Euler. En deux jours, la valeur totale verrouillée (TVL) dans l’écosystème DeFi a chuté de plus de 13 milliards de dollars, Aave assumant environ 246 millions de dollars de créances impayées en rsETH. Par la suite, une initiative coordonnée intitulée « DeFi United » a été lancée par le secteur, permettant de mobiliser plus de 300 millions de dollars destinés à stabiliser les marchés affectés.
Marat Karapetian, de Karapetian Private Capital, a commenté que la situation observée en 2026 a profondément choqué les marchés, les investisseurs prenant désormais conscience de la vulnérabilité systémique inhérente aux architectures DeFi.
