4 min
Un attacco devastante ha colpito Drift Protocol, uno dei principali exchange decentralizzati su Solana (SOL) specializzato nel trading di futures perpetui: oltre 200 milioni di dollari in fondi sono stati sottratti in quello che si configura come uno degli exploit più gravi dell'ecosistema DeFi nel 2026. Le stime più pessimistiche, elaborate dalla società di analisi blockchain PeckShield, parlano addirittura di 285 milioni di dollari complessivamente drenati dai vault del protocollo. L'attacco, avvenuto il 1° aprile, ha costretto il team a sospendere immediatamente depositi e prelievi, mentre la comunità crypto osservava con sgomento il crollo in tempo reale on-chain.
La sequenza degli eventi è ricostruibile con precisione grazie ai dati del block explorer Solscan: le prime attività sospette sono state segnalate dagli utenti attorno alle 11:06 del mattino (ora della costa est degli Stati Uniti), quando circa 41 milioni di token JLP — equivalenti a circa 155 milioni di dollari — sono stati trasferiti dal Drift Vault a un indirizzo Solana identificato dall'inizio "HkGz4K". Nelle ore successive, ulteriori milioni in diversi token crypto sono stati redistribuiti verso altri wallet, rendendo più complessa la tracciabilità dei fondi.
L'indirizzo del presunto attaccante era stato finanziato con appena 1 SOL la settimana precedente, un segnale che, in retrospettiva, potrebbe indicare una fase preparatoria dell'attacco. I dati on-chain mostrano anche un piccolo trasferimento di circa 2,52 dollari ricevuto dal Drift Vault in quei giorni, suggerendo che l'accesso privilegiato potesse essere attivo già da allora. Secondo i dati aggregati da Arkham Intelligence, il totale dei trasferimenti dall'indirizzo del protocollo verso il wallet dell'attaccante supera i 250 milioni di dollari.
La causa tecnica dell'exploit punta verso un errore umano, non verso una vulnerabilità del codice: ricercatori on-chain e analisti di sicurezza convergono sull'ipotesi di una chiave privata compromessa, che avrebbe garantito all'attaccante accesso alle funzionalità di amministrazione del protocollo e il controllo diretto sui vault. Una dinamica che ricorda altri episodi gravi nel settore, dove la gestione impropria delle credenziali si è rivelata il punto di cedimento più critico.
Jiang Xuxian, fondatore di PeckShield, ha confermato a Decrypt la natura dell'attacco: "Le admin key dietro Drift sono state sicuramente esfiltrate o compromesse", ha dichiarato, sottolineando come il vettore d'attacco non fosse un bug nel contratto intelligente ma un accesso privilegiato ottenuto illecitamente. Questo tipo di exploit — basato sulla compromissione di chiavi private — è particolarmente insidioso perché aggira le difese tecniche del protocollo, sfruttando invece la supply chain umana della sicurezza.
Al momento dell'attacco, Drift Protocol deteneva un TVL (Total Value Locked) di 550 milioni di dollari, secondo i dati di DefiLlama, ed era profondamente integrato nell'ecosistema DeFi di Solana grazie alla varietà di asset supportati. Questa interconnessione ha immediatamente sollevato preoccupazioni di contagio verso altri protocolli e aziende del settore. Alcune società con treasury esposte a Solana, come le società quotate Forward Industries e DeFi Development Corp, hanno prontamente comunicato di non aver subito impatti diretti dai propri fondi in gestione.
A livello di infrastruttura, il wallet provider Phantom — tra i più diffusi nell'ecosistema Solana, popolare anche tra gli utenti europei — ha implementato avvisi automatici per gli utenti che tentavano di interagire con Drift Protocol durante le indagini in corso, una mossa che ha contribuito a limitare l'esposizione della community retail. Il team di Drift ha comunicato di essere in coordinamento con più società di sicurezza, bridge ed exchange per contenere l'incidente e tentare il recupero dei fondi.
Sul fronte dei prezzi, l'impatto sul token nativo DRIFT è stato immediato e brutale: il token ha perso quasi il 28% del proprio valore in un solo giorno, scivolando a circa 0,049 dollari. La prospettiva storica rende il quadro ancora più drammatico: dall'all-time high di 2,60 dollari raggiunto nel novembre 2024, DRIFT ha accumulato un ribasso superiore al 98%, una caduta che colloca questo exploit nel contesto di un asset già sotto forte pressione.
Per gli investitori e gli operatori DeFi, questo episodio riaccende il dibattito sulla sicurezza operativa dei protocolli on-chain, in particolare sulla gestione delle chiavi amministrative. Nell'attuale contesto normativo europeo, dove il framework MiCA sta imponendo standard più stringenti per i fornitori di servizi crypto, la questione della custodia sicura delle credenziali privilegiate diventa un tema sempre più rilevante anche sul fronte della compliance. Nei prossimi giorni sarà cruciale seguire se e quanti fondi riusciranno a essere congelati tramite la collaborazione con exchange centralizzati e bridge, e quale sarà la risposta del protocollo in termini di eventuali rimborsi o piani di recovery per gli utenti colpiti.