Drift Protocol violato per 285 milioni di dollari: cosa è andato storto e cosa succederà ora?

Il 1° aprile 2026, il protocollo Drift, basato su Solana, è stato vittima di un attacco hacker che ha causato una perdita di circa 285 milioni di dollari, diventando così il più grande attacco DeFi dell'anno fino ad oggi. L'attaccante ha utilizzato una strategia di diverse settimane, che prevedeva l'utilizzo di un token falso, la manipolazione dei feed di prezzo e transazioni pre-firmate, per assumere il controllo amministrativo del protocollo e prosciugare i fondi degli utenti reali in meno di 12 minuti.

Che fine ha fatto Drift Protocol il 1° aprile?

L'attacco non è arrivato dal nulla. Secondo il team di Drift Protocol, è stato il risultato di giorni di preparazione, resisi visibili solo quando il danno era ormai fatto.

Il valore totale bloccato (TVL) di Drift è sceso da circa 550 milioni di dollari a meno di $300 milioni in meno di un'ora. Il token DRIFT è crollato di oltre il 40% durante l'incidente. La società di sicurezza PeckShield confermato La perdita ha superato i 285 milioni di dollari, pari a oltre il 50% del TVL (Total Value Line) del protocollo all'epoca.

La tempistica ha generato immediata confusione. Il team di Drift ha pubblicato un messaggio su X per chiarire che la situazione era reale, scrivendo: "Non si tratta di uno scherzo del primo aprile. Procedete con cautela fino a nuovo avviso."

Il protocollo ha sospeso tutti i depositi e i prelievi all'inizio dell'indagine.

Come ha fatto l'attaccante a preparare l'exploit con giorni di anticipo?

Secondo le ricostruzioni, l'aggressore avrebbe impiegato almeno 9 giorni per predisporre le condizioni necessarie al furto prima di metterlo in atto.

Il token falso e la trappola dell'oracolo

L'attaccante ha creato un token chiamato CarbonVote Token (CVT), coniando circa 750 milioni di unità. Hanno avviato un pool di liquidità su Raydium con soli 500 dollari e hanno utilizzato il wash trading, comprando e vendendo il token tra i propri portafogli, per costruire una falsa cronologia dei prezzi vicina a 1 dollaro. Nel tempo, gli oracoli dei prezzi on-chain hanno rilevato questo prezzo artificiale e hanno trattato CVT come un asset legittimo del valore di circa 1 dollaro per token.

Un oracolo è un servizio che fornisce dati di prezzo esterni a uno smart contract. Quando a un oracolo vengono forniti dati manipolati, lo smart contract non ha modo di sapere che il prezzo è falso.

L'attacco persistente del pedofilo

Inoltre, l'attaccante ha utilizzato una funzionalità di Solana chiamata "nonce durevoli" per pre-firmare le transazioni e ritardarne l'esecuzione. Un nonce durevole sostituisce il normale meccanismo di scadenza delle transazioni, consentendo di conservare una transazione firmata e di inviarla in qualsiasi momento futuro.

Scopri progetti promettenti...

Progetti promettenti...

(Annuncio pubblicitario)

L'articolo continua...

La cronologia:

• March 23: Sono stati creati quattro account nonce durevoli. Due erano collegati a membri reali del Consiglio di sicurezza di Drift con firma multipla. Due erano controllati dall'attaccante.
• March 27: Drift ha migrato il suo Consiglio di Sicurezza a causa di un cambio di membri programmato. L'attaccante ha ottenuto l'accesso anche a due firmatari nella firma multipla aggiornata.
• March 30: È stato creato un nuovo account nonce durevole per un membro del multisig aggiornato.
• Aprile 1: L'attaccante ha eseguito due transazioni con nonce durevole pre-firmate, a quattro slot di distanza l'una dall'altra, completando un trasferimento amministrativo che gli ha conferito il controllo delle autorizzazioni a livello di protocollo.

Dopo aver ottenuto l'accesso amministrativo, l'attaccante ha elencato CVT come mercato valido su Drift, ha rimosso tutti i limiti di prelievo, ha depositato centinaia di milioni di token CVT come garanzia e ha quindi eseguito 31 prelievi rapidi, svuotando asset reali, tra cui USDC, JLP, SOL, wrapped BTC, Jito (JTO) e la memecoin Fartcoin (FRT), in circa 12 minuti.

Drift ha confermato che l'attacco non è derivato da un bug nei suoi smart contract o da frasi di recupero compromesse. Si è invece trattato di "approvazioni di transazione non autorizzate o falsificate ottenute prima dell'esecuzione".

Le verifiche di sicurezza condotte da Trail of Bits nel 2022 e da ClawSecure nel febbraio 2026 avevano scagionato Drift, ma nessuna delle due aveva individuato l'introduzione sul mercato di CVT o i cambiamenti nella governance che avevano reso possibile l'attacco.

Dove sono finiti i fondi rubati?

Dopo aver sfruttato la vulnerabilità, l'aggressore si è mosso rapidamente per cancellare le tracce.

I beni rubati sono stati convertiti in USDC e SOL, quindi trasferiti da Solana a Ethereum utilizzando il Cross-Chain Transfer Protocol (CCTP) di Circle. Su Ethereum, l'attaccante ha convertito i fondi in ETH. Secondo il tracciamento on-chain, l'attaccante ha accumulato in definitiva 129,066 ETH, per un valore approssimativo $273 milioni al tempo.

L'attaccante ha inoltre depositato SOL sia su HyperLiquid che su Binance, complicando le operazioni di tracciamento su più piattaforme e portafogli.

Circle ha fatto abbastanza per fermare il furto?

Investigatore on-chain ZachXBT criticato pubblicamente Circle dopo l'exploit, sottolineando che grandi quantità di USDC rubati sono state trasferite da Solana a Ethereum durante l'orario lavorativo statunitense senza essere bloccate.

ZachXBT ha contrapposto questa risposta alla recente decisione di Circle di congelare 16 portafogli digitali aziendali non correlati in una causa civile statunitense tenuta segreta, sostenendo che Circle aveva sia la capacità che il precedente per intervenire, ma non è riuscita ad agire abbastanza rapidamente da limitare i danni.

Quali protocolli sono stati interessati oltre Drift?

Le ripercussioni si sono estese all'intero ecosistema DeFi di Solana. Diverse piattaforme connesse alla liquidità di Drift hanno sospeso le operazioni o segnalato perdite:

• PiggyBank_fi ha segnalato un'esposizione di circa 106,000 dollari attraverso strategie delta-neutrali e ha coperto direttamente gli utenti utilizzando i fondi del team.
• Reflect Money ha sospeso la coniazione e il riscatto di USDC+ e USDT+.
• Ranger Finance ha sospeso i depositi e i prelievi su RGUSD, con un'esposizione stimata superiore a 900,000 dollari.
• A titolo precauzionale, Project0 ha interrotto i prestiti garantiti dalle posizioni in Drift.
• TradeNeutral, GetPyra, xPlace, Uselulo ed Elemental DeFi hanno tutti sospeso funzionalità chiave o segnalato un'esposizione limitata.
• Jupiter Exchange ha confermato che il suo fondo JLP rimane interamente garantito.

Cosa succederà ora a Drift?

Drift sta collaborando con diverse società di sicurezza, exchange, bridge e forze dell'ordine per rintracciare e recuperare i beni rubati. Il protocollo multisig è stato aggiornato per rimuovere il wallet compromesso. Tutte le restanti funzioni del protocollo rimangono bloccate.

Secondo Immunefi Amministratore delegato Mitchell AmadorL'impatto sul prezzo del token spesso persiste anche dopo la fine dell'attacco. I dati di Immunefi mostrano che l'83% dei token nativi dei protocolli hackerati non torna mai ai prezzi pre-attacco.

Nei prossimi giorni è prevista un'analisi dettagliata da parte di Drift.

Risorse

1. PeckShield su XPost (1-2 aprile)

2. Lookonchain su XPost (1-2 aprile)

3. Drift Protocol su XPost (1-2 aprile)

4. Mitchell Amador su X: Post del 25 marzo