Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Hack Drift su Solana: 285 milioni spariti in 10 secondi tra multisig ingannate e durable nonce
Il decentralized exchange Drift basato su Solana ha confermato un grave incidente di sicurezza avvenuto il primo aprile 2026 con una sottrazione di circa 285 milioni di dollari. Le analisi indicano che non si è trattato di un classico bug nei programmi o negli smart contract del protocollo e non emergono segnali di seed phrase compromesse.
Il punto centrale è invece una combinazione di social engineering e uso di durable nonce, un meccanismo che consente di pre-firmare transazioni e rimandarne l’esecuzione, rendendo più difficile individuare in tempo l’intento malevolo.
Secondo quanto ricostruito, gli attaccanti avrebbero ottenuto approvazioni multisig tramite autorizzazioni presentate in modo ingannevole o non correttamente rappresentato ai firmatari. Una volta raccolte abbastanza firme, è stata eseguita in pochi minuti una migrazione amministrativa che ha trasferito i poteri del Security Council, eliminando di fatto le ultime barriere operative. Con il controllo delle autorizzazioni a livello protocollo, gli aggressori hanno introdotto un asset malevolo e rimosso i limiti di prelievo pre-impostati, aprendo la strada al drenaggio dei fondi dai vault.
Una ricostruzione temporale mostra che la preparazione potrebbe essere iniziata già dal 23 marzo 2026, segno di un’operazione pianificata e non improvvisata. In base a un’analisi on-chain, la fase di sottrazione principale sarebbe durata circa dieci secondi, con un ritmo compatibile con un’esecuzione automatizzata e coordinata. Drift ha dichiarato di collaborare con più società di sicurezza e di lavorare con bridge, exchange e forze dell’ordine per tracciare e congelare gli asset rubati.
Sul fronte attribuzione, diverse evidenze on-chain sono state ritenute coerenti con tattiche già osservate in furti di criptovalute collegati alla Corea del Nord. Tra gli indicatori citati figurano l’uso di servizi di mixing come Tornado Cash per lo staging iniziale, pattern di bridging cross-chain e velocità e scala del laundering post-hack. Inoltre è stato descritto un token fittizio usato come collaterale, supportato da liquidità iniziale limitata e wash trading, ma trattato dagli oracoli come asset legittimo con valutazioni enormi.