Cinq jours. C’est le temps qu’il a fallu à la Fondation Solana pour réagir après l’exploit Drift du 1ᵉʳ avril 2026, au cours duquel des hackers affiliés à la Corée du Nord ont vidé 286 millions de dollars en moins de douze minutes. Le 7 avril, la Fondation annonce le lancement de STRIDE Solana Trust, Resilience and Infrastructure for DeFi Enterprises, un programme de sécurité continu couvrant l’ensemble des protocoles DeFi du réseau.
STRIDE : une notation de sécurité en temps réel, pas un audit ponctuel
La distinction est capitale. Les audits de smart contracts traditionnels sont des photographies à un instant T. Ils expirent au premier déploiement de mise à jour. STRIDE fonctionne différemment : c’est un cadre d’évaluation en continu, piloté par la société de sécurité Asymmetric Research, qui évalue chaque protocole sur huit piliers : sécurité des programmes, contrôles d’accès, configuration multisig, risques de gouvernance, intégrité des smart contracts, gestion des clés, sécurité d’infrastructure, et conception économique. Les résultats sont publiés dans un dépôt public accessible à tous les investisseurs.
Un système à paliers selon la TVL du protocole
La logique de STRIDE est construite sur un principe de proportionnalité. Les protocoles dépassant 10 millions de dollars de TVL et ayant passé l’évaluation reçoivent une surveillance des menaces 24h/24, financée par des grants de la Fondation Solana, sans coût pour le protocole. Ceux dont la TVL dépasse 100 millions de dollars accèdent en plus à des outils de vérification formelle, une méthode mathématique qui teste chaque chemin d’exécution possible d’un smart contract. Ce seuil de 100 millions couvre précisément les protocoles dont l’effondrement entraînerait un risque systémique pour l’ensemble de l’écosystème.
Le SIRN : un réseau de réponse coordonnée en cas de crise
En complément de STRIDE, la Fondation lance le Solana Incident Response Network (SIRN), une coalition de cinq sociétés fondatrices : Asymmetric Research, OtterSec, Neodyme, Squads et Zeroshadow. Le réseau partage du renseignement sur les menaces en temps réel et coordonne la réponse lors d’incidents actifs. La priorité d’intervention est déterminée par la TVL et l’impact estimé. STRIDE version 0.1 est déjà en ligne et ouvert à toutes les candidatures.
La limite avouée : STRIDE n’aurait pas empêché Drift
Les analystes sont directs sur ce point. L’attaque Drift n’a exploité aucune faille dans le code. Les smart contracts ont passé tous les audits. La vulnérabilité était humaine : pendant six mois, les hackers ont infiltré l’équipe via du social engineering, compromis des appareils personnels via un faux repository de code et une application TestFlight factice, puis obtenu des validations multisig légitimes avant de les utiliser pour vider les coffres. Ni STRIDE ni une surveillance on-chain 24h/24 n’auraient détecté des transactions techniquement valides. Ce que STRIDE couvre, c’est la surface d’attaque technique. Ce qu’il ne couvre pas encore, c’est le facteur humain.
Ce que ça signifie pour les utilisateurs francophones de DeFi sur Solana
Pour les utilisateurs européens et francophones actifs sur des protocoles DeFi Solana de Jupiter à Raydium en passant par Kamino STRIDE apporte une transparence inédite. La publication publique des résultats d’évaluation permettra, pour la première fois, de comparer objectivement le niveau de sécurité de chaque protocole avant d’y déposer des fonds. C’est un changement de paradigme pour un secteur où l’opacité des audits commandités par les projets eux-mêmes posait un problème de confiance structurel. À surveiller : les premiers rapports d’évaluation publiés par Asymmetric Research dans les prochaines semaines.
⚠️ Cet article est à titre informatif uniquement et ne constitue pas un conseil financier. Les cryptomonnaies sont des actifs hautement volatils. Effectuez toujours vos propres recherches avant tout investissement.
