Drift rubato 285 milioni di dollari: gli hacker hanno inflitto un colpo mortale al DeFi del mercato ribassista?

Editore | Wu parla di blockchain
Intorno al 2 aprile 2026, diversi monitor e media on-chain hanno concentrato le loro rivelazioni: il protocollo Drift Protocol, integrato con derivati e prestiti nell'ecosistema Solana, ha mostrato un'anomala fuoriuscita di fondi, e il progetto ha confermato di essere sotto attacco, portando infine al furto di circa 280 milioni di dollari. Il protocollo ha sospeso i depositi e i prelievi e sta collaborando con agenzie di sicurezza, ponti cross-chain e piattaforme di trading per gestire la situazione.
Cos'è Drift Protocol?
Drift è un protocollo DeFi composito di tipo "exchange": uno dei principali protocolli di trading lanciati nel 2021, partendo dai contratti perpetui di Solana, successivamente si è espanso a spot, prestiti e più narrazioni di "protocollo one-stop". Drift ha dichiarato ufficialmente nel 2024 che il protocollo ha oltre 350 milioni di dollari di TVL, più di 175.000 trader e oltre 20 miliardi di dollari di volume totale; nello stesso mese di settembre ha completato un finanziamento di 25 milioni di dollari nella Serie B, portando il totale dei finanziamenti a 52,5 milioni di dollari.
A livello meccanico, la documentazione di Drift riconosce esplicitamente la sua dipendenza da conti oracle esterni e ha progettato barriere di "protezione" che includono la validità degli oracle, la potatura TWAP, il controllo della larghezza di banda delle deviazioni di prezzo e l'aggiornamento delle informazioni di mercato quando necessario per limitare azioni specifiche. La sua narrativa storica esterna ha anche sottolineato: se il prezzo dell'oracle è "non valido o manipolato", potrebbe portare a un drenaggio rapido degli asset degli exchange, quindi è necessario usare controlli a più fasi e "interruzioni multiple" per cercare di guadagnare una finestra di reazione.
Tuttavia, questo attacco dimostra che anche se un protocollo dispone di "barriere di protezione" di mercato relativamente complete, finché l'aggressore può accedere o influenzare il "livello di autorizzazione" (chiavi amministrative, multi-firma, canali di governance dei parametri di rischio), potrebbe trasformare la barriera stessa in uno strumento utilizzabile - ad esempio, regolando alcuni valori soglia in modo distorto, aumentando il peso di collateralizzazione di un certo asset a livelli irrazionali, permettendo infine al sistema di eseguire trasferimenti di asset "legalmente" sotto la condizione che le "regole siano riscritte".
Drift Protocol risponde a una perdita di 280 milioni di dollari: ingegneria sociale e attacco meccanico di durable nonce
Drift Protocol ha rilasciato una dichiarazione sull'incidente di sicurezza odierno, affermando che un attore malevolo ha ottenuto accesso non autorizzato al protocollo attraverso un nuovo tipo di attacco che coinvolge durable nonce, e ha rapidamente preso il controllo delle autorizzazioni di gestione del comitato di sicurezza di Drift. Drift ha dichiarato che si tratta di un'azione di attacco altamente complessa, presumibilmente preparata per settimane e eseguita in fasi, comprensiva dell'uso di transazioni pre-firmate di durable nonce e di esecuzioni ritardate.
Secondo i risultati attuali dell'indagine di Drift, questo evento non è stato causato da un difetto nel programma o nei contratti intelligenti, e non ci sono prove che le relative parole chiave siano state compromesse. Drift ritiene che l'aggressore abbia ottenuto approvazioni di transazione non autorizzate o travisate prima dell'esecuzione, e che il meccanismo di durable nonce e tecniche di ingegneria sociale complesse abbiano probabilmente giocato un ruolo chiave. Questo evento ha portato a circa 280 milioni di dollari di asset trasferiti dal protocollo.
Drift ha dichiarato che l'aggressore è stato in grado di completare questo attacco principalmente attraverso diversi passaggi: prima ha pre-implementato un percorso di accesso tramite conti di durable nonce; poi ha ottenuto un numero sufficiente di approvazioni multi-firma, ovvero 2/5 delle approvazioni multi-firma; successivamente ha eseguito, in pochi minuti, il trasferimento delle autorizzazioni dell'amministratore malevolo, ottenendo il controllo delle autorizzazioni a livello di protocollo; infine, ha usato tali autorizzazioni per introdurre asset malevoli e rimuovere tutte le limitazioni ai prelievi esistenti, attuando così l'attacco sui fondi esistenti.
Attualmente, tutti i fondi depositati nei moduli di prestito, nei tesorerie e nei conti di trading sono stati influenzati. Gli asset non influenzati includono: DSOL non depositati in Drift, inclusi gli asset messi in staking presso Drift Validator; e gli asset del fondo assicurativo, che saranno ritirati dal protocollo e trasferiti in un ambiente più sicuro per la protezione.
A scopo precauzionale, Drift ha congelato tutte le rimanenti funzionalità del protocollo e ha aggiornato la configurazione multi-firma, rimuovendo i wallet colpiti.
Questo evento si è esteso a diversi protocolli DeFi nell'ecosistema Solana. I progetti Reflect Money, Ranger Finance, Neutral Trade, Elemental DeFi, Project 0, Lulo Finance, Asgard Finance, DeFi Carrot, Pyra, xPlace, Fuse Wallet hanno confermato di essere stati colpiti, e alcuni progetti hanno sospeso l'emissione, il rimborso o le funzionalità di deposito e prelievo. Ranger Finance ha dichiarato di affrontare un'esposizione al rischio di circa 900.000 dollari, che rappresenta circa il 6% del suo TVL; Pyra ha affermato che gli utenti a causa dei fondi guadagnati in Drift sono stati influenzati e hanno sospeso le relative funzionalità delle carte.
Analisi tecnica: token CVT falsi e manipolazione degli oracoli
Secondo una precedente analisi degli sviluppatori di Helius, l'evento di Drift Protocol potrebbe essere correlato alla costruzione di token CVT falsi da parte dell'aggressore e alla manipolazione dell'oracle Switchboard, formando così un percorso di attacco; affermano che l'aggressore ha poi partecipato al processo di governance del comitato di sicurezza tramite ingegneria sociale, e ha promosso il token come asset collaterale ad alto peso, nel contesto di una possibile compromissione dei diritti multi-firma; l'aggressore ha coniato "token falsi" settimane prima, e ha utilizzato una liquidità molto bassa (circa 500 dollari) per creare un "ancoraggio di prezzo" su Raydium, continuando a realizzare transazioni di wash trading per generare tracce di prezzo e transazione per la successiva storia del prezzo dell'oracle. Va notato che l'aggressore ha depositato circa 20 milioni di token CVT dal valore prossimo allo zero, e dopo che il prezzo è stato sovrastimato a oltre 100 milioni di dollari, ha utilizzato questo come collaterale per prendere in prestito asset reali dal protocollo e trasferire fondi, con una scala complessiva stimata superiore ai 200 milioni di dollari.
Reazione immediata del mercato
Dopo l'attacco al Drift Protocol, il suo token di governance DRIFT è crollato di oltre il 40% nelle ultime 24 ore, e il tasso di finanziamento negativo annualizzato dei contratti perpetui DRIFT U su exchange principali come Binance è balzato al massimo, superando il 6000%, con un grande sussidio da short a long.
La cronologia di questo evento
Il 23 marzo, l'aggressore ha completato la distribuzione iniziale del nonce. Quel giorno sono stati creati 4 conti di durable nonce, di cui due correlati ai membri multi-firma del comitato di sicurezza di Drift, e altri due controllati dall'aggressore. Drift ritiene che ciò significhi che almeno 2/5 dei firmatari multi-firma avevano già firmato transazioni relative ai conti di durable nonce, rendendo così possibile l'esecuzione ritardata.
Il 25 marzo: l'indirizzo del wallet principale sospettato dell'aggressore (HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES) ha ottenuto fondi iniziali tramite Near Intents, poi è rimasto inattivo a lungo, fino a quando il giorno dell'attacco non si è attivato improvvisamente ricevendo fondi ingenti dal tesoro di Drift.
Il 27 marzo, Drift ha eseguito un trasferimento multi-firma del comitato di sicurezza come programmato, a seguito del cambiamento dei membri del comitato di sicurezza.
Il 30 marzo, è riemersa un'attività di durable nonce. Un nuovo conto di durable nonce è stato creato per un membro del multi-firma aggiornato. Drift ritiene che ciò indichi che l'aggressore ha nuovamente ottenuto l'effettivo accesso a 2/5 dei firmatari del multi-firma aggiornato.
Il 1 aprile, l'attacco è entrato nella fase esecutiva. Per prima cosa, Drift ha eseguito una transazione di prelievo di prova dal fondo assicurativo. Circa 1 minuto dopo, l'aggressore ha rapidamente eseguito due transazioni di durable nonce già firmate, con sole 4 slot di distanza tra le due transazioni. La prima transazione è stata utilizzata per creare e approvare il trasferimento a un amministratore maligno, mentre la seconda transazione è servita per approvare ed eseguire quel trasferimento dell'amministratore maligno. A questo punto, l'aggressore ha ufficialmente preso il controllo delle autorizzazioni chiave del protocollo.
Dal pomeriggio alla sera del 1 aprile, lo strumento di monitoraggio on-chain MLM ha già rilevato movimenti anomali di fondi da parte degli indirizzi correlati, per un totale di circa 270,6 milioni di dollari (circa il 50% del TVL di Drift), principalmente riguardanti asset come JLP e USDC. Il CEO di Helius, mert, ha affermato che i segnali on-chain indicano che il protocollo potrebbe essere stato attaccato; Drift ha subito rilasciato una dichiarazione confermando che stava osservando attività anomale nel protocollo e consigliava agli utenti di non depositare fondi fino a ulteriore avviso.
Drift ha dichiarato che la realizzazione di questo attacco si basa su due punti combinati: il primo è la transazione di durable nonce pre-firmata, che consente all'aggressore di ritardare l'esecuzione in un momento futuro; il secondo è che le approvazioni di più firmatari multi-firma sono state compromesse, e ciò è molto probabilmente avvenuto tramite attacchi di ingegneria sociale mirati o travisamento delle informazioni sulle transazioni.
Opinioni degli esperti del settore e riflessioni sulla governance
Il CTO di Ledger, Charles Guillemet, ha dichiarato che questo attacco non è stato causato da un difetto nei contratti intelligenti, ma è stata la meccanica multi-firma a subire un danno latente prolungato. Si sospetta che l'hacker abbia controllato i dispositivi o le chiavi private dei detentori di multi-firma, ingannando gli operatori per approvare transazioni malevole. Questa tecnica è molto simile all'incidente di Bybit dello scorso anno, presumibilmente legato a un'organizzazione di hacker della Corea del Nord (DPRK). Ha esortato il settore a migliorare la capacità di rilevamento degli endpoint e a utilizzare firme in chiaro supportate da hardware per prevenire rischi a livello operativo.
Il fondatore di Uniswap, Hayden Adams, ha affermato che è necessario fermare i progetti centralizzati che si autodefiniscono DeFi; se la chiave amministrativa può svuotare tutti i fondi, essenzialmente è CeFi. Il fondatore di Chaos Labs, Omer Goldberg, ha aggiunto che le chiavi di firma del protocollo Drift hanno il controllo completo sulla creazione di mercato, sull'assegnazione degli oracoli e sui limiti di prelievo, e mancano di un blocco temporale, l'aggressore ha presumibilmente completato il furto di fondi in circa 10 secondi.
Tracciamento dei fondi e reazione successiva
Il tracciamento on-chain mostra che l'indirizzo sospettato dell'aggressore (HkGz4KmoZ7Zmk7HN6ndJ31UJ1qZ2qgwQxgVqQwovpZES) ha rapidamente trasferito/scambiato fondi dopo l'attacco, e ha trasferito tramite Wormhole cross-chain su Ethereum. Alcuni USDC sono stati trasferiti tramite il ponte CCTP di Circle e, mentre Circle non ha congelato tempestivamente il flusso di fondi, ciò ha sollevato critiche da parte del co-fondatore di Delphi Digital Tommy Shaughnessy e dell'investigatore on-chain ZachXBT, che ritengono che Circle abbia reagito lentamente nonostante avesse la capacità di congelamento centralizzato.
Attualmente, Drift sta collaborando con diverse aziende di sicurezza per indagare sulle cause dell'incidente, e sta anche collaborando con ponti cross-chain, exchange e agenzie di enforcement per rintracciare e congelare gli asset rubati. Drift ha dichiarato che nei prossimi giorni verrà pubblicato un rapporto di analisi post-evento più dettagliato e accoglie qualsiasi informazione utile all'indagine.