Il 1° aprile, la piattaforma Drift Protocol, uno scambio decentralizzato di perpetual futures basato su Solana, ha confermato una violazione della sicurezza in corso che ha comportato la perdita di circa 280 milioni di dollari di fondi degli utenti. Entro pochi minuti dal rilevamento di transazioni anomale on-chain, il team di Drift ha sospeso tutti i depositi e i prelievi e ha mobilitato i suoi partner di sicurezza per contenere l'incidente. Il rapporto post-mortem di Drift ha poi rivelato che l'attaccante ha sfruttato un meccanismo di nonce durevole pre-firmato per eseguire transazioni ritardate senza rilevamento. Questo approccio ha permesso all'attore malevolo di indurre i firmatari multisig ad approvare quelle che apparivano come operazioni di amministrazione legittime, scatenando un bypass immediato della soglia.
La violazione si è sviluppata in due fasi. In primo luogo, l'attaccante ha ottenuto due delle cinque firme necessarie sull'indirizzo multisig del protocollo, che era stato implementato solo pochi giorni prima come parte di un aggiornamento pianificato. Uno dei firmatari rimasti della precedente configurazione multisig ha involontariamente mantenuto l'accesso, e l'attaccante ha compromesso altri due firmatari tramite fallimenti mirati di sicurezza operativa. In una finestra di timelock di zero secondi, l'attore ha presentato e approvato una proposta che trasferiva tutti gli asset dalla cassaforte di liquidità di Drift — che comprende USDC, Bitcoin avvolto, Ethereum avvolto e altri token SPL — a un portafoglio esterno.
L'analisi blockchain condotta da Elliptic e CertiK indicava che i fondi erano stati trasferiti tramite Cross-Chain Transfer Protocol (CCTP) di Circle su Ethereum pochi minuti dopo il drenaggio. L'intelligence delle minacce di Elliptic ha segnalato indirizzi wallet precedentemente collegati a campagne di cybercrime sponsorizzate dallo Stato della Corea del Nord. Exploits storici legati alla Corea del Nord, tra cui l'hack Wormhole da 1,5 miliardi di dollari nel 2022 e l'incidente Bybit da 2 miliardi di dollari nel febbraio 2025, mostrano somiglianze comportamentali: dipendenza da nonce durevoli o finestre di ritardo temporale e priorizzazione dei flussi di stablecoin ad alta liquiditĂ .
Gli attori del settore hanno reagito rapidamente. La Solana Foundation ha avviato un audit del codice riguardante la gestione dei nonce durevoli, mentre Circle ha messo in pausa i nodi di instradamento legacy mesh per prevenire ulteriori ponti USDC non autorizzati. Drift Protocol ha coinvolto le forze dell'ordine, incluso il National Cryptocurrency Enforcement Team del Dipartimento di Giustizia degli Stati Uniti, per rintracciare gli asset rubati su piattaforme centralizzate e decentralizzate. Le opzioni di recupero on-chain rimangono limitate, ma la governance del protocollo ha proposto un piano di recupero della garanzia finanziato da pool assicurativi dell'ecosistema.
Lo sfruttamento mette in evidenza vulnerabilitĂ persistenti negli schemi multisig e l'elemento umano nella sicurezza operativa. Il fondatore di Drift ha annunciato piani per integrare soluzioni di gestione delle chiavi basate su hardware e imporre approvazioni multi-party tramite schemi di firma a soglia (TSS) con time-lock estesi. Man mano che i TVL DeFi superano i 200 miliardi di dollari tra le reti, l'hack di Drift serve da promemoria che l'igiene della governance e i controlli di rischio cross-chain sono fondamentali per salvaguardare l'infrastruttura finanziaria decentralizzata.
Commenti (0)