Il 1° aprile 2026, una piattaforma di futures perpetui basata su Solana ha perso 286 milioni di dollari in 12 minuti, dopo che gli hacker avevano trascorso tre settimane a creare in segreto garanzie false e a manipolare psicologicamente i firmatari del protocollo. L'incidente è stato l'argomento più discusso negli ambienti delle criptovalute negli ultimi giorni.
L'attacco hacker al Drift Protocol del 2026: cosa è successo, chi ha perso denaro e quali saranno i prossimi passi
SCRITTO DA
CONDIVIDI
Il gruppo nordcoreano Lazarus è sospettato del furto di 286 milioni di dollari su Solana dal protocollo Drift
Drift Protocol, la più grande piattaforma decentralizzata di futures perpetui sulla rete Solana, ha confermato l'attacco dopo aver visto il proprio valore totale bloccato (TVL) crollare da circa 550 milioni di dollari a meno di 250 milioni in una sola mattinata, attestandosi ora a 232 milioni. Bitcoin.com News è stato il primo a riportare la notizia. Il token DRIFT ha perso tra il 37% e il 42% nelle ore successive, toccando un minimo compreso tra 0,04 e 0,05 dollari.
I rapporti indicano che l'attacco non è iniziato con un bug nel codice, ma con un prelievo da Tornado Cash. L'11 marzo, l'autore dell'attacco ha prelevato ETH dal protocollo di privacy basato su Ethereum e ha utilizzato quei fondi per distribuire il token carbonvote, o CVT, il 12 marzo. Gli analisti blockchain hanno notato che il timestamp della distribuzione corrispondeva a circa le 09:00, ora di Pyongyang, un dettaglio che ha immediatamente destato sospetti.
Diversi rapporti descrivono in dettaglio che nelle tre settimane successive, l'autore dell'attacco ha immesso una liquidità minima per il CVT sull'exchange decentralizzato Raydium e ha utilizzato il wash trading per mantenere un prezzo vicino a 1,00 $. Gli oracoli di Drift hanno interpretato quel prezzo come legittimo. L'autore dell'attacco aveva creato garanzie false che sembravano reali a ogni sistema automatizzato che le monitorava.
"Nella giornata di oggi, un attore malintenzionato ha ottenuto l'accesso non autorizzato al Drift Protocol attraverso un attacco innovativo che ha coinvolto nonce durevoli, con conseguente rapida acquisizione dei poteri amministrativi del Consiglio di Sicurezza di Drift", ha scritto il team di Drift. L'account X del progetto ha aggiunto:
"Si è trattato di un'operazione altamente sofisticata che sembra aver richiesto diverse settimane di preparazione e un'esecuzione in più fasi, compreso l'uso di account con nonce durevoli per pre-firmare transazioni che ne ritardavano l'esecuzione."
Apparentemente, tra il 23 e il 30 marzo, l'autore dell'attacco a Drift è passato al livello umano. Utilizzando una funzionalità legittima di Solana chiamata nonce durevoli, l'autore dell'attacco avrebbe indotto i membri del multisig del Consiglio di Sicurezza di Drift a pre-firmare transazioni che sembravano di routine. Quelle firme sono diventate chiavi di accesso pre-approvate, tenute in riserva fino a quando l'autore dell'attacco non fosse stato pronto.
La finestra si è chiusa il 27 marzo, quando Drift ha migrato il suo Consiglio di sicurezza a una soglia di firma 2 su 5 e ha rimosso completamente il suo timelock. Un timelock impone tipicamente un ritardo da 24 a 72 ore sulle azioni amministrative, dando alla comunità il tempo di individuare e annullare qualsiasi cosa sospetta. Senza di esso, l'autore dell'attacco aveva l'autorità di esecuzione a ritardo zero. Le transazioni pre-firmate sono diventate attive nel momento in cui il timelock è stato rimosso.
Il 1° aprile, l'autore dell'attacco ha attivato tali transazioni, ha indicato CVT come garanzia valida, ha aumentato i limiti di prelievo e ha depositato centinaia di milioni in token CVT a fronte dei quali il motore di rischio di Drift ha emesso asset reali. Il protocollo ha consegnato milioni in token JLP, milioni in USDC, milioni in SOL e importi minori di bitcoin e ethereum wrapped. Trentuno transazioni di prelievo sono state completate in circa 12 minuti.
L'autore dell'attacco ha convertito i token rubati in USDC utilizzando Jupiter, li ha trasferiti su Ethereum e li ha scambiati con decine di migliaia di ETH. Alcuni fondi sono stati instradati attraverso Hyperliquid, mentre una parte è stata trasferita direttamente su Binance. Il 3 aprile, Drift ha inviato un messaggio on-chain da un indirizzo Ethereum a quattro portafogli controllati dall'hacker. Il sito cryptonomist.ch riporta che il messaggio recitava:
"Siamo pronti a parlare."
Le società di sicurezza Elliptic e TRM Labs hanno attribuito l'attacco ad attori malintenzionati legati alla Corea del Nord, citando l'origine Tornado Cash, la firma di distribuzione in orario di Pyongyang, l'attenzione al social engineering e la velocità di riciclaggio post-hacking. Il Gruppo Lazarus ha utilizzato la stessa pazienza e lo stesso approccio mirato alle persone nell'attacco al ponte Ronin del 2022. Il governo degli Stati Uniti ha collegato questi furti al finanziamento del programma di armamento della Corea del Nord, ed Elliptic ha tracciato oltre 300 milioni di dollari rubati solo nel primo trimestre del 2026. Il contagio si è diffuso a più di 20 protocolli. Prime Numbers Fi ha riportato perdite nell'ordine dei milioni. Carrot Protocol ha sospeso le funzioni di emissione e riscatto dopo che il 50% del suo TVL è stato colpito. Pyra Protocol ha disabilitato completamente i prelievi, rendendo inaccessibili tutti i fondi degli utenti. Piggybank ha perso 106.000 dollari e ha rimborsato gli utenti attingendo dalla propria tesoreria. DeFi Development Corp., una società quotata al Nasdaq con una strategia di tesoreria basata su Solana, ha confermato il 1° aprile di non avere alcuna esposizione a Drift. Il suo quadro di rischio escludeva completamente il protocollo. Questo fatto ha attirato più attenzione di quanto la società probabilmente intendesse.
Una vulnerabilità nel protocollo Drift su SOL ha causato la sottrazione di oltre 200 milioni di dollari: il più grande attacco hacker alla DeFi del 2026?
Secondo quanto riferito, il 1° aprile 2026 il protocollo Drift su Solana avrebbe subito una perdita di oltre 200 milioni di dollari a seguito di un presunto attacco informatico. Il token nativo del progetto ha registrato un calo significativo. read more.
Leggi ora
Una vulnerabilità nel protocollo Drift su SOL ha causato la sottrazione di oltre 200 milioni di dollari: il più grande attacco hacker alla DeFi del 2026?
Secondo quanto riferito, il 1° aprile 2026 il protocollo Drift su Solana avrebbe subito una perdita di oltre 200 milioni di dollari a seguito di un presunto attacco informatico. Il token nativo del progetto ha registrato un calo significativo. read more.
Leggi oraUna vulnerabilità nel protocollo Drift su SOL ha causato la sottrazione di oltre 200 milioni di dollari: il più grande attacco hacker alla DeFi del 2026?
Leggi oraSecondo quanto riferito, il 1° aprile 2026 il protocollo Drift su Solana avrebbe subito una perdita di oltre 200 milioni di dollari a seguito di un presunto attacco informatico. Il token nativo del progetto ha registrato un calo significativo. read more.
L'incidente di Drift ha prodotto una lezione chiara che la maggior parte del settore già conosceva ma non aveva applicato pienamente: un timelock non è facoltativo. La rimozione di quella singola misura di sicurezza il 27 marzo ha trasformato un attacco complesso, durato diverse settimane, in un prelievo di 12 minuti. La governance di un protocollo senza un meccanismo di ritardo è una governance a porte aperte.
Le 48 ore successive all'attacco DeFi sono state descritte come cruciali per la capacità di Drift di mantenere la fiducia degli utenti e tracciare un percorso di ripresa. Al 3 aprile non era stato annunciato alcun piano di rimborso completo.
FAQ 🔎
- Cosa è successo a Drift Protocol? Il 1° aprile 2026 gli hacker hanno sottratto 286 milioni di dollari da Drift Protocol, utilizzando garanzie false e transazioni amministrative pre-firmate per svuotare i caveau principali del protocollo in 12 minuti.
- Chi è responsabile dell'hacking di Drift Protocol? Le società di sicurezza, tra cui Elliptic e TRM Labs, hanno attribuito l'attacco ad attori malintenzionati legati alla Corea del Nord, citando modelli di riciclaggio e timestamp on-chain coerenti con le tecniche operative del Lazarus Group.
- I miei soldi sono al sicuro su Drift Protocol? Drift ha sospeso tutti i depositi e i prelievi a seguito dell'attacco; gli utenti dei protocolli colpiti, come Pyra e Carrot, non sono ancora in grado di accedere ai fondi al 3 aprile 2026.
- Che cos'è un attacco "durable nonce" nella DeFi di Solana? Un attacco "durable nonce" sfrutta una funzionalità legittima di Solana per pre-firmare transazioni che sembrano di routine, conservandole come chiavi di autorizzazione attive fino a quando l'autore dell'attacco non decide di eseguirle.
