Aprile 2026 è diventato il «mese nero» per DeFi, quando le perdite totali da hack hanno superato i $640 milioni. L'attacco a Drift Protocol è stato il più grande hack nella storia di Solana, dimostrando che la principale vulnerabilità dei moderni protocolli non è il codice, ma il fattore umano e le catene di fiducia «contaminate» all'interno dei team.
Se prima gli hacker cercavano falle nella matematica dei smart contract, ora stanno giocando l' 'long game'. L'hack di Drift è stato preparato per sei mesi: i malintenzionati si sono guadagnati la fiducia degli sviluppatori spacciandosi per una rispettabile azienda, per poi, al momento giusto, prelevare centinaia di milioni di dollari con un colpo solo. Approfondiamo.
Punto di ingresso dell'attacco
Il punto di ingresso è stata la social engineering. Gli hacker, spacciandosi per rappresentanti di una società di trading quantitativo, hanno comunicato con il team di Drift per 6 mesi in conferenze e chat private. Attraverso link malevoli a repository di codice, hanno compromesso i dispositivi dei firmatari dei portafogli multisig.
Area degli eventi
Ottenendo accesso alle firme del consiglio di sicurezza, gli hacker hanno disattivato il ritardo temporale sull'aggiornamento del protocollo. Hanno creato un asset fittizio, il CarbonVote Token (CVT), gonfiando artificialmente il suo prezzo tramite operazioni interne e costringendo gli oracoli Drift a riconoscerlo come una garanzia legale del valore di centinaia di milioni di dollari. Sotto questa 'spazzatura' hanno immediatamente preso in prestito e prelevato asset reali (USDC, SOL, ETH).
In parole semplici
Per capire cosa hanno fatto gli hacker, immagina una banca automatizzata che funziona senza persone — solo con un programma.
Preparazione e fiducia
Gli hacker non hanno sfondato le porte della banca, non sono scesi attraverso le ventole, come nei bei film d'azione, e non hanno costruito dispositivi tecnologici sovradimensionati. Invece, hanno finto per sei mesi di essere clienti rispettabili ed esperti. Hanno parlato così bene ai proprietari che gli hanno dato la 'chiave dell'amministratore', che consente di aggiungere nuovi tipi di asset in banca, per i quali è possibile prendere prestiti.
Creazione di 'asset preziosi'
I malintenzionati hanno creato la propria moneta fittizia. Sul mercato libero non valeva nulla. Ma, avendo accesso alle impostazioni della banca, gli hacker l'hanno inserita nell'elenco degli asset preziosi.
Gonfiaggio del prezzo
Con manipolazioni speciali all'interno del sistema, hanno costretto i sistemi bancari a credere che questo 'asset' valesse più dell'oro. Hanno semplicemente trasferito questa moneta tra i loro portafogli a prezzi stellari, e il computer della banca ha creduto: 'Wow, questo asset è molto popolare e costoso!'.
Atto principale
Gli hacker portano in banca un'intera valigia dei loro 'asset preziosi' gratuiti. Il sistema intelligente vede il 'tesoro' e, secondo le regole, eroga denaro reale (USDC e SOL) a garanzia di esso, che in cassa apparteneva a persone comuni.
Uscita e legalizzazione
La maggior parte dei fondi ($285 mln) è stata prelevata attraverso il ponte Circle CCTP nell'ecosistema Ethereum nelle prime ore. Successivamente, i malintenzionati hanno utilizzato il protocollo THORChain per convertire gli asset in Bitcoin, poiché questo percorso è attualmente il più difficile da bloccare.
Chi c'è dietro l'attacco
Le aziende di analisi Chainalysis e TRM Labs attribuiscono con alta certezza l'attacco al gruppo nordcoreano UNC4736 (noto anche come AppleJeus o Citrine Sleet), che in precedenza ha hackerato Radiant Capital.
Team di indagine
Drift Labs e il team di sicurezza
Il team di sicurezza di Drift, insieme a un gruppo di risposta rapida specializzato in tali incidenti, ha condotto un audit tecnico, identificato le firme compromesse e bloccato le funzioni del protocollo per salvare i resti dei fondi.
Arbitrum Security Council
Sebbene l'attacco sia iniziato su Solana, una parte significativa dei fondi è passata attraverso la rete Arbitrum, dove il consiglio di sicurezza coordinava le azioni con gli investigatori.
FBI (Cyber Division)
Identifica i malintenzionati e traccia i legami con le strutture statali della Corea del Nord.
Tether
Hanno svolto un ruolo chiave, bloccando rapidamente una parte significativa dei fondi rubati in stablecoin USDT. Chainalysis e TRM Labs forniscono strumenti per tracciare il denaro 'sporco' in tempo reale attraverso mixer e ponti interchain.
Compensazione
Grazie alla pronta reazione e al supporto degli emittenti di stablecoin (in particolare Tether), parte dei fondi è riuscita a essere congelata. Attualmente è stato sviluppato un pacchetto di recupero che copre circa il 52% degli asset persi dagli utenti.
Lezione per l'intera industria
L'hack di Drift e Kelp DAO nel 2026 ha segnato una nuova era di minacce informatiche — il passaggio da exploit tecnici a una profonda infiltrazione sociale. È una lezione per l'intera industria: la sicurezza non inizia dall'audit del codice, ma dalla verifica di chi scrive e firma quel codice.