Actualités Crypto

Circle poursuivi en justice pour inaction présumée après le piratage de 280 millions de dollars sur Drift Protocol

By Telemac

Share

Circle poursuivi en justice pour inaction présumée après le piratage de 280 millions de dollars sur Drift Protocol

Le groupe Circle Internet Financial, émetteur américain de la stablecoin USDC, fait l’objet d’un recours collectif intenté par des investisseurs de Drift Protocol. Ces derniers lui reprochent de n’avoir pris aucune mesure pour geler les fonds volés lors du piratage du 1er avril 2026, alors même que l’entreprise disposait de l’autorité technique et contractuelle pour le faire. Le cabinet d’avocats Gibbs Mura a déposé la plainte mardi 14 avril devant un tribunal californien, qualifiant cet incident de plus grand piratage crypto de l’année 2026. Le montant en jeu : environ 280 millions de dollars, dont 230 millions auraient transité par l’infrastructure de Circle avant que celle-ci n’intervienne. Cette affaire soulève des questions fondamentales sur la responsabilité des émetteurs de stablecoins dans l’écosystème décentralisé et les limites de leur obligation de vigilance.

Contexte

Drift Protocol est un exchange décentralisé (DEX) perpétuel opérant sur la blockchain Solana. Le protocole permet aux utilisateurs de trader des produits dérivés avec effet de levier, de prêter et d’emprunter des actifs, et d’accéder à des vaults de rendement. Au moment de l’incident, Drift totalisait environ 550 millions de dollars de valeur totale verrouillée (TVL), couvrant les positions de trading, les dépôts de lending et les vaults de milliers d’investisseurs. Le protocole se positionnait comme l’un des DEX perpetuels les plus actifs de l’écosystème Solana, attirant des volumes de trading significatifs grâce à ses frais compétitifs et son intégration avec d’autres protocoles de l’écosystème DeFi.

Les piratages DeFi ne sont pas nouveaux dans l’écosystème crypto. Depuis 2021, les protocoles décentralisés ont collectivement perdu plusieurs milliards de dollars à cause d’exploits plus ou moins sophistiqués. Cependant, l’affaire Drift se distingue par plusieurs éléments : l’ampleur du montant dérobé en une seule fois, le profil présumé des attaquants — selon la firme d’analyse blockchain Elliptic, l’attaque serait le fait d’acteurs sponsorisés par le gouvernement nord-coréen, un schéma déjà observé dans plusieurs piratages cryptos visant à financer les programmes du régime de Pyongyang — et surtout, la question de la responsabilité de Circle dans la gestion de la suite de l’incident.

Cette affaire survient par ailleurs dans un contexte de pression réglementaire croissante sur les émetteurs de stablecoins aux États-Unis. USDC, avec une capitalisation boursière de plusieurs dizaines de milliards de dollars, est l’une des stablecoins les plus utilisées au monde. Son émetteur, Circle, est régulièrement évalué par les autorités américaines sur ses pratiques de conformité et de lutte contre le blanchiment d’argent. Selon l’enquêteur on-chain ZachXBT, Circle cumule depuis 2022 plus de 420 millions de dollars de défaillances présumées en matière de conformité, incluant quinze cas où l’entreprise aurait pris une action minimale face à des fonds d’origine illicite. Cette accumulation de cas problématiques a convaincu les avocats des investisseurs que Circle ne pouvait plus invoquer la bonne foi sur ses pratiques de gel des fonds.

Les faits

Le 1er avril 2026, Drift Protocol a été victim d’un exploit d’une ampleur sans précédent dans l’écosystème DeFi de Solana. Le montant total dérobé est estimé entre 280 et 285 millions de dollars, prélevés sur les comptes de trading, de lending et les vault deposits des utilisateurs du protocole. L’attaque a été exécutée via des transactions administratives pré-signées sur Solana, une méthode qui a permis aux attaquants de contourner les mécanismes de sécurité habituels du protocole.

La méthode utilisée par les attaquants témoigne d’un niveau de préparation exceptionnel. Pendant six mois, les pirates se sont fait passer pour une société de trading quantitatif légitime, construisant patiemment une réputation et une crédibilité au sein de l’écosystème avant de passer à l’acte. Cette approche, qualifiée de « sleeping cell » par les experts en sécurité, est signature des opérations sophistiquées liées aux groupes étatiques. Une fois l’accès non autorisé obtenu sur la plateforme Drift, ils ont introduit un actif malveillant et supprimé les limites de retrait, permettant des transferts massifs en quelques heures seulement.

L’effondrement de la TVL a été brutal : de 550 millions de dollars à moins de 250 millions en quelques heures. Les pertes se sont ensuite propagées à au moins 20 autres protocoles DeFi connectés à Drift, illustrant les risques de contagion systémique inhérents à l’écosystème interconnecté de la finance décentralisée.

Le 3 avril, l’investigateur on-chain ZachXBT a publié une analyse détaillée révélant que Circle avait eu six heures entières pour agir avant que l’attaquant ne transfère plus de 230 millions de dollars d’USDC de Solana vers Ethereum via le Cross-Chain Transfer Protocol (CCTP) de Circle. La plainte dépose précise un détail particulièrement significatif : neuf jours avant le hack de Drift, Circle avait déjà gelé 16 portefeuilles non liés dans le cadre d’une procédure civile distincte, démontrant ainsi sa capacité technique et sa volonté d’intervenir dans certaines circonstances précises. Cette contradiction entre l’inaction dans le cas Drift et l’action rapide dans d’autres cas alimente l’argument des plaignants selon lequel Circle disposait bien du pouvoir de bloquer les fonds.

Le cabinet Gibbs Mura, accompagné du Joshua Joseph Law Firm LLC, a officiellement intenté le recours collectif le 14 avril. Le plaignant Joshua McCollum allègue que Circle a délibérément permis aux attaquants — présumés liés à la Corée du Nord selon lesAnalystes de Elliptic — de transférer 230 millions de dollars via son infrastructure USDC et CCTP sur une période de huit heures sans geler les actifs, alors même que l’émetteur disposait du pouvoir technique et contractuel de le faire. La plainte vise à récupérer les pertes subies par les investisseurs de Drift Protocol et à établir la responsabilité de Circle dans cette affaire.

La réponse de Circle n’a pas tardé. Lors d’une conférence de presse, le PDG Jeremy Allaire a défendu la position de son entreprise avec fermeté. Le dirigeant a maintenu que Circle ne gèle les portefeuilles USDC qu’à la demande des forces de l’ordre ou des tribunaux, et qu’intervenir en dehors de ces cadres pourrait créer un dangereux précédent et un dilemme moral significatif. Cette position, si elle est juridiquement défendable, laisse néanmoins plusieurs questions ouvertes sur les délais de réponse en cas d’incident majeur et sur le rôle des émetteurs de stablecoins dans la sécurité globale de l’écosystème DeFi.

Analyse

Cette procédure soulève une question juridique majeure pour l’ensemble de l’écosystème crypto : un émetteur de stablecoin peut-il être tenu responsable de son inaction face à des transferts de fonds volés qu’il a techniquement la capacité de bloquer ? Les avocats des investisseurs font valoir que Circle ne se contente pas de gérer une simple monnaie numérique, mais opère un protocole d’infrastructure critique dont dépendent des millions d’utilisateurs à travers le monde. La notion de « devoir de vigilance » appliquée aux émetteurs de stablecoins est au cœur de l’argumentation juridique des plaignants.

La défense de Circle repose sur une interprétation stricte de ses obligations réglementaires. En agissant en dehors des demandes officielles des autorités, l’entreprise pourrait non seulement violer ses propres conditions contractuelles, mais aussi créer un précédent dangereux pour l’ensemble du secteur stablecoin. Chaque intervention non demandée pourrait être perçue comme une censure arbitraire, chaque refus comme une compliité passive. Cette ligne de défense, si elle est cohérente avec une posture de conformité réglementaire stricte, n’en reste pas moins delicada à défendre devant un tribunal quand les pertes subies par les investisseurs sont chiffrées à près de 300 millions de dollars.

Pour les analystes juridiques spécialisés dans la fintech, ce cas pourrait établir un précédent judiciaire significatif qui résonnera bien au-delà de Circle et de Drift Protocol. Si le tribunal donne raison aux plaignants, les émetteurs de stablecoins pourraient être contraints de définir des protocoles de réponse aux incidents en temps réel, avec des seuils d’intervention clairs. Les régulateurs pourraient également s’appuyer sur cette décision pour renforcer les exigences de conformité des stablecoins. À l’inverse, si Circle prévaut, cela confirmerait que la conformité réglementaire, même interprétée strictement, peut servir de bouclier juridique même en cas d’inaction gravement préjudiciable aux utilisateurs.

La dimension géopolitique de cette affaire n’est pas négligeable non plus. L’implication présumée d’acteurs étatiques nord-coréens ajoute une couche de complexité réglementaire. Les acteurs sponsorisés par l’État nord-coréen sont soumis à des sanctions internationales strictes, ce qui pourrait obliger Circle à signaler tout transfert suspect lié à ces entités. Cette dimension pourrait jouer en faveur des plaignants, Circle disposant d’une obligation légale de bloquer les fonds liés à des entités sanctionnées.

Réactions du marché

Les réactions du marché ont été vives dès l’annonce du piratage. La TVL de Drift Protocol s’est effondrée de plus de 50% en quelques heures, illustrant la perte de confiance immédiate des utilisateurs et des apporteurs de liquidités. Sur les réseaux sociaux et les forums crypto, les détenteurs de fonds sur Drift ont immédiatement signalé des activités suspectes, créant une vague de panique dans la communauté Solana et au-delà.

L’annonce du dépôt de plainte le 14 avril a relancé le débat au sein de la communauté crypto. D’un côté, une partie des acteurs a soutenu la démarche judiciaire, considérant que Circle avait une responsabilité claire dans la protection des fonds de ses utilisateurs indirects via les protocoles qui utilisent USDC. De l’autre, des voix expérimentées ont rappelé que Circle opère dans un cadre légal strict et que la régulation existe précisément pour éviter les décisions unilatérales non encadrées. Ce debate illustre les tensiones fundamentales entre décentralisation, autorégulation et conformité réglementaire dans l’écosystème crypto.

Le cours de l’USDC, par nature, est resté stable tout au long de l’incident. En tant que stablecoin adossée à des réserves en dollars et soumise à des mécanismes de redemption, l’USDC maintient son pegging indépendamment des événements affectant les protocoles qui l’utilisent. Aucune fuite significative vers d’autres stablecoins n’a été observée, ce qui suggère que la confiance dans l’USDC elle-même n’a pas été affectée par cet incident. Cette stabilité contraste fortement avec d’autres incidents DeFi où des Stablecoins ont perdu leur ancrage suite à des piratages de protocoles.

Les pertes indirectes subies par les protocoles DeFi connectés à Drift ont en revanche ravivé les préoccupations sur les risques systémiques dans l’écosystème de la finance décentralisée. La contagion d’un incident de sécurité à plusieurs protocoles simultanément souligne l’urgence de normes de sécurité plus strictes pour les DEX et les plateformes de lending décentralisées. Plusieurs acteurs du secteur ont appelé à une meilleure ségrégation des risques et à des mécanismes de sécurité plus robustes pour les intégrations cross-protocoles.

Perspectives

Drift Protocol n’est pas resté inactif face à la crise. Le protocole a annoncé avoir sécurisé un package de récupération de 127,5 millions de dollars de la part de Tether, Alongside avec 20 millions de dollars d’autres partenaires, soit un total de 147,5 millions de dollars. Cette structure vise à soutenir la récupération des utilisateurs et à faciliter le redémarrage de Drift en tant que plus grand DEX perpétuel basé sur USDT sur Solana. Le montant récupéré représente environ 53% des fonds perdus lors de l’exploit, un taux de récupération significatif pour un incident de cette ampleur.

Sur le plan réglementaire, cette affaire pourrait accélérer l’adoption de cadres légaux plus stricts pour les émetteurs de stablecoins aux États-Unis. Le Congrès américain débat depuis plusieurs années de législation spécifique pour les stablecoins, et ce cas concret de défaillance présumée de conformité pourrait peser dans la balance lors des prochaines négociations réglementaires. Les régulateurs pourraient être tentés d’imposer des obligations de réponse rapide en cas de piratage majeur impliquant des fonds en stablecoins.

Pour les investisseurs DeFi, cet incident constitue un rappel brutal des risques associés aux protocoles décentralisés. La possibilité qu’un émetteur de stablecoin refuse ou soit incapable de geler des fonds volés, même en présence d’évidence claire d’activité illicite, invite à une réflexion approfondie sur les hypothèses de sécurité dans l’écosystème. Les audits de smart contracts, les mécanismes de délais de retrait progressifs et les assurances décentralisées sont autant de pistes explorées par le secteur pour réduire ces risques. Cette affaire pourrait galement accélérer l’adoption de normes de sécurité minimales pour les protocoles DeFi interopérant avec des stablecoins réglementées.

Sources

Telemac
Telemachttp://cryptoinfo.ch

Contenu [hide]

Lire la Suite

Articles