L'analisi del recente exploit di Drift Protocol ha indicato hacker nordcoreani, probabilmente lo stesso gruppo che ha sfruttato Bybit per oltre 1,4 miliardi di dollari. L'exploit ha colpito diverse app DeFi nell'ecosistema Solana.
L'analisi del protocollo Drift suggerisce che l'attacco sia stato probabilmente eseguito dal gruppo nordcoreano Lazarus , gli stessi autori dell'attacco Bybit e Ronin Bridge.
Stanno inoltre emergendo nuovi dettagli sulla vulnerabilità, basati sull'analisi di DivergSec e sui report di Elliptic e TRM Labs.
L'attaccante non ha compromesso il protocollo Drift multisig una sola volta. Drift ha migrato alcuni dei suoi wallet multisig verso nuovi membri del Consiglio di Sicurezza. Nel giro di tre giorni, l'attaccante ha compromesso il nuovo multisig e si è preparato con transazioni pre-firmate il 31 marzo, un giorno prima dell'attacco.
L'utilizzo specifico dei wallet indica il modus operandi del Gruppo Lazarus, con un wallet inizialmente finanziato da Tornado Cash, un rapido bridging multi-chain verso ETH e il consolidamento dei fondi per il mixing.
Secondo le ricerche di Elliptic, Lazarus ha effettuato 18 attacchi dall'inizio dell'anno. I ricercatori collaboreranno con il team di Drift Protocol per rintracciare i fondi.
Drift Protocol invia un messaggio agli hacker
Drift Protocol ha annunciato di aver scoperto informazioni cruciali sulle parti coinvolte. Il team ha inviato messaggi ai quattro portafogli identificati che attualmente contengono i proventi dell'attacco informatico.
Sono state identificate informazioni critiche relative alle parti coinvolte nell'attacco. Drift sta ora inviando un messaggio on-chain dall'indirizzo 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105 ai wallet ETH che contengono i fondi rubati.
Portafoglio 1: 0xAa843eD65C1f061F111B5289169731351c5e57C1 (Timestamp…
— Drift (@DriftProtocol) 3 aprile 2026
Il messaggio suggeriva che Drift Protocol potesse essere a conoscenza dell'identità degli hacker. La community ipotizza un possibile accesso interno o un'infiltrazione nel progetto. Nonostante ciò, Drift Protocol è stato comunque criticato per avere un blocco temporale pari a zero sulle modifiche a livello di protocollo, consentendo all'hacker di prosciugare immediatamente la liquidità.
Il Protocollo Drift ha diffuso il contagio all'economia di Solana.
Drift Protocol mantiene 232 milioni di dollari di valore bloccato, in calo rispetto agli oltre 550 milioni di dollari precedenti. Diversi protocolli che utilizzavano Drift per generare rendimenti hanno subito il furto o il congelamento totale o parziale dei propri fondi.
Il titolo SOL ha recuperato terreno superando gli 80 dollari dopo un breve calo in seguito all'attacco hacker.
L'attacco hacker ha colpito Reflect Money, compromettendone il rendimento in USD+. DeFi Carrot ha perso il 50% del suo TVL (Total Value Locked) su Drift, e anche i token CRT sono stati interessati. Ranger Finance è stata esposta tramite rUSD. PiggybankFi ha perso 106.000 dollari dai depositi su Drift Protocol.
Project0 ha sospeso i prestiti garantiti da Drift vault. Altri progetti, tra cui Pyra, che ha perso tutti i suoi fondi, e XPlace, che utilizzava principalmente Drift per ottenere rendimenti, hanno subito la stessa sorte. Elemental DeFi era esposto solo tramite un vault in USDC.
Alcuni protocolli hanno semplicemente bloccato i propri fondi in attesa di miglioramenti alla sicurezza. Finora sono stati interessati undici progetti, senza contare le ripercussioni sul sentiment generale e la perdita di fiducia nei prestiti DeFi.
Nel 2026, ad oggi, sono stati sfruttati complessivamente 35 protocolli DeFi, con un trend in accelerazione e attacchi più organizzati.
Circa 453 milioni di dollari sono stati sottratti dal settore DeFi, a dimostrazione che si tratta ancora di un settore ad alto rischio. Gli attacchi hacker minano la convinzione che la DeFi rappresenti un modo efficace per ottenere rendimenti con rischi minimi.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis .