Secondo Elliptic, società di analisi blockchain, la violazione da 286 milioni di dollari ai danni di Drift Protocol, con sede a Solana, è molto probabilmente collegata alla Repubblica Popolare Democratica di Corea (RPDC).
Solana è stata vittima di uno dei più grandi attacchi informatici nel settore delle criptovalute della storia.
Il 1° aprile, il protocollo DEX Drift ha subito un grave attacco informatico che ha sottratto quasi 300 milioni di dollari in criptovalute dai suoi caveau principali. L'exchange ha segnalato l'accaduto sul suo account ufficiale X mentre era ancora in corso:
Drift Protocol è attualmente sotto attacco. Depositi e prelievi sono stati sospesi. Ci stiamo coordinando con diverse società di sicurezza, bridge ed exchange per contenere l'incidente. Non si tratta di uno scherzo del primo aprile. Forniremo ulteriori aggiornamenti su questo account non appena possibile… https://t.co/03SRPq4fHj
— Drift (@DriftProtocol) 1 aprile 2026
L'attacco si è svolto in meno di 20 minuti, con circa 286 milioni di dollari sottratti da una serie di asset presenti in quasi 20 caveau. Drift è il più grande exchange decentralizzato di future perpetui su Solana. Si tratta del più grande exploit nel settore delle criptovalute registrato finora nel 2026 e si colloca tra i più grandi di sempre, superando la violazione di WazirX da 235 milioni di dollari.
In seguito all'attacco, il valore totale bloccato (TVL) di Drift è crollato da circa 550 milioni di dollari a meno di 250 milioni di dollari. La risposta di emergenza del team è consistita nel sospendere depositi e prelievi e nel coordinarsi con società di sicurezza e piattaforme di scambio.
Il protocollo ha successivamente reso noti i dettagli dell'incidente, affermando che si trattava di "un'operazione altamente sofisticata che sembra aver richiesto diverse settimane di preparazione ed un'esecuzione a fasi". Oltre a ciò, i canali ufficiali della borsa si sono astenuti dall'attribuire responsabilità.
Nella giornata odierna, un malintenzionato ha ottenuto l'accesso non autorizzato a Drift Protocol tramite un nuovo attacco che sfrutta i nonce persistenti, riuscendo così a prendere rapidamente il controllo dei poteri amministrativi del Consiglio di Sicurezza di Drift.
Si è trattato di un'operazione altamente sofisticata che sembra aver coinvolto…
— Drift (@DriftProtocol) 2 aprile 2026
Ora, la società di analisi Elliptic ha pubblicato un'indagine in cui afferma che il comportamento on-chain, i metodi di riciclaggio e gli indicatori a livello di rete corrispondono alle tecniche osservate in precedenti operazioni legate alla RPDC, rendendo questo non solo un altro rug DeFi, ma un sospetto attacco sponsorizzato dallo stato.
Gli hacker nordcoreani colpiscono ancora
Charles Guillement, CTO di Ledger, ha inoltre collegato il metodo di attacco di Drift all'attacco hacker da 1,4 miliardi di dollari subito da Bybit, attribuito a gruppi di hacker nordcoreani. Il sito web gemello di NewsBTC, Bitcoinist, ne ha parlato ieri.
Drift Protocol, uno dei principali DEX perpetui su Solana, è stato vittima di un attacco hacker che ha causato una perdita di circa 213 milioni di dollari. Questo lo rende il più grande attacco hacker del 2026 finora, e uno dei più grandi mai subiti dalla blockchain di Solana, subito dopo l'exploit del Wormhole Bridge del 2022.
I dettagli completi del…
— Charles Guillemet (@P3b7_) 2 aprile 2026
Secondo Elliptic, l'attaccante avrebbe probabilmente compromesso le chiavi private dell'amministratore di Drift, ottenendo il controllo privilegiato sui prelievi e sui parametri delle chiavi. L'attacco ha svuotato sistematicamente tre principali vault: JLP Delta Neutral, SOL Super Staking e BTC Super Staking, incluso un singolo trasferimento JLP da 41,7 milioni di dollari, per un valore complessivo di circa 155 milioni di dollari.
Elliptic ha rintracciato i fondi rubati e ha concluso che l'attaccante ha creato il portafoglio circa otto giorni prima dell'attacco e ha persino ricevuto un piccolo bonifico di prova da un vault di Drift. Ciò suggerisce un'operazione pianificata e orchestrata, piuttosto che un furto improvviso.
Una volta completato l'attacco, l'attaccante ha utilizzato Jupiter, un aggregatore DEX di Solana, per convertire i token rubati in USDC, ha trasferito i fondi su Ethereum e li ha poi reinvestiti in ETH e altri asset su diversi wallet.
Secondo Elliptic, tali schemi di riciclaggio cross-chain, metodi di occultamento e indicatori a livello di rete corrispondono alle tecniche osservate in precedenti attacchi attribuiti alla Corea del Nord. Se confermata ufficialmente, si tratterebbe della diciottesima operazione di questo tipo, con oltre 300 milioni di dollari già rubati.
Che sia confermato o meno, è innegabile che attori legati allo Stato stiano prendendo di mira sistematicamente i protocolli crittografici ad alta liquidità per finanziare i programmi di armamento della Corea del Nord. Non dimentichiamo che il gruppo Lazarus, affiliato alla Corea del Nord, ha riciclato miliardi di dollari provenienti da denaro rubato attraverso reti di criptovalute.
Elliptic ha già raggruppato tutti gli account di token collegati agli hacker su Solana ed Ethereum, in modo che gli exchange e i protocolli possano individuare i fondi contaminati in tempo quasi reale.
L'attacco informatico probabilmente intensificherà il controllo sulla governance DeFi di Solana, sulla progettazione delle chiavi amministrative e sulla sicurezza multisig, anche se l'ecosistema continua a inseguire la liquidità di livello istituzionale dei perpetratori.
Immagine di copertina da Perplexity. Grafico SOLUSD da Tradingview.