Drift Protocol Rivela l’Attacco Nonce Dietro il Furto di $280M

Shweta Chakrawarty

April 2nd, 2026Aggiornato about 3 hours ago

Drift Protocol ha confermato una grave violazione della sicurezza che ha portato alla perdita di circa $280 milioni. L'incidente è avvenuto il 1 aprile 2026. Dopo che il team ha notato per la prima volta un'attività insolita.

Drift Protocol Rivela l’Attacco Nonce Dietro il Furto di $280M

Sintesi rapida

Il riassunto è generato dall'IA, rivisto dalla redazione.

Drift Protocol ha subito una violazione della sicurezza che ha portato a una perdita di $280 milioni.
L'incidente è avvenuto il 1 aprile 2026, dopo che il team ha notato attività insolita.
I depositi e i prelievi sono stati sospesi per limitare i danni.
L'attaccante ha eseguito un attacco nonce ben pianificato.
Non ci sono stati bug nei contratti intelligenti, ma una vulnerabilità nella gestione delle approvazioni.
L'attacco ha colpito fondi da prestiti, vault e conti di trading.
Il protocollo ha congelato la maggior parte delle funzioni e sta collaborando con le forze dell'ordine.

Drift Protocol ha confermato una grave violazione della sicurezza che ha portato alla perdita di circa $280 milioni. L’incidente è avvenuto il 1 aprile 2026, dopo che il team ha notato per la prima volta un’attività insolita sulla piattaforma. Inizialmente, il protocollo ha avvertito gli utenti di non depositare fondi.

Drift Protocol is experiencing an active attack. Deposits and withdrawals have been suspended. We are coordinating with multiple security firms, bridges, and exchanges to contain the incident. This is not an April Fools joke. We’ll provide additional updates from this account as… https://t.co/03SRPq4fHj
— Drift (@DriftProtocol) April 1, 2026

Poco dopo, è stato confermato che era in corso un attacco attivo. I depositi e i prelievi sono stati rapidamente sospesi per limitare ulteriori danni. I primi dati on-chain hanno mostrato che una grande quantità di fondi è stata trasferita in pochi minuti. La portata dell’incidente ha sollevato preoccupazioni nell’intero ecosistema DeFi di Solana.

Un Attacco Nonce Ben Pianificato

Secondo il team di Drift Protocol, non si è trattato di un semplice hack. Invece, l’attaccante ha eseguito un assalto ben pianificato dopo settimane di preparazione. L’attaccante ha utilizzato un metodo che coinvolgeva conti “durable nonce”. Queste funzionalità consentono agli utenti di firmare transazioni in anticipo ed eseguirle successivamente. Questo ha aiutato l’attaccante a ritardare le azioni e colpire al momento giusto.

April 1: Execution Phase
Step 1: Legitimate Test Transaction
Drift executed a test withdrawal from the insurance fund:https://t.co/HhTkt4ddnI
Step 2: Admin Takeover (~1 minute later)
The attacker executed two pre-signed durable nonce transactions (4 slots apart):
– Create…
— Drift (@DriftProtocol) April 2, 2026

Più importante, l’attaccante ha ottenuto accesso al controllo a livello di amministratore. Questo è avvenuto dopo aver ottenuto abbastanza approvazioni da un sistema multisig. I rapporti mostrano che l’attaccante ha utilizzato 2 delle 5 approvazioni richieste. Una volta che l’hacker ha ottenuto il controllo, ha agito rapidamente. Ha modificato impostazioni chiave e rimosso i limiti sui prelievi. Questo gli ha permesso di drenare i fondi in breve tempo.

Nessun Bug nel Contratto Intelligente Trovato

Il team di Drift Protocol ha chiarito un dettaglio importante. L’attacco nonce non è avvenuto a causa di un bug nel codice. Non ci sono prove che suggeriscano che gli attaccanti abbiano hackerato i portafogli degli utenti o le frasi seed. Invece, la vulnerabilità derivava da come il sistema gestiva le approvazioni.

L’attaccante ha probabilmente utilizzato ingegneria sociale. Questo significa che ha ingannato o fuorviato le persone per approvare transazioni dannose. L’attaccante ha poi utilizzato queste approvazioni successivamente attraverso il sistema nonce. In termini semplici, il sistema stesso ha funzionato come progettato. Ma l’attaccante ha trovato un modo per abusare delle approvazioni e del tempismo.

Fondi Colpiti e Risposta Immediata

L’impatto dell’attacco nonce è significativo. I fondi provenienti da prestiti, vault e conti di trading sono stati colpiti. Ma non tutti gli asset sono stati persi. Alcuni fondi rimangono al sicuro. Questi includono asset al di fuori del protocollo e quelli nel fondo assicurativo.

All deposits into borrow/lend, vault deposits and funds deposited for trading are affected.
Unaffected:
– DSOL not deposited in Drift (including assets staked to the Drift Validator)
– Insurance Fund assets which will be withdrawn from the protocol for safeguarding
As a…
— Drift (@DriftProtocol) April 2, 2026

Come misura di sicurezza, il protocollo ha congelato la maggior parte delle funzioni. Ha anche aggiornato la sua configurazione multisig per rimuovere l’accesso compromesso. Mentre il team di Drift Protocol sta collaborando con aziende di sicurezza, exchange e forze dell’ordine, l’obiettivo è rintracciare e possibilmente recuperare i fondi rubati.

Cosa Significa Questo per DeFi?

Questo incidente mostra un rischio chiave in DeFi. Anche se i contratti intelligenti sono sicuri, i fattori umani possono ancora creare punti deboli. I sistemi multisig sono progettati per migliorare la sicurezza. Ma se le approvazioni vengono gestite in modo errato, possono diventare un obiettivo.

Per gli utenti, questo è un chiaro promemoria di rimanere cauti. Dimostra la necessità di salvaguardie più forti attorno alle approvazioni e ai controlli amministrativi per gli sviluppatori. Il team di Drift Protocol ha promesso un rapporto completo nei prossimi giorni. Fino ad allora, l’attenzione rimane sul controllo dei danni e sull’indagine. L’attacco nonce su Drift Protocol si distingue come uno dei più grandi incidenti DeFi del 2026 fino ad ora. Inoltre, le sue lezioni potrebbero influenzare il modo in cui i protocolli gestiscono la sicurezza in futuro.

Scritto da: