Nimeni nu se aștepta ca tocmai 1 aprilie 2026 să fie ziua în care ecosistemul Solana avea să treacă prin cel mai mare atac cibernetic din istoria sa recentă.
Drift Protocol, exchange-ul descentralizat care domina piața contractelor perpetuale pe Solana, a fost golit de active digitale în valoare de circa 285 de milioane de dolari, totul în mai puțin de o oră. Firmele de analiză blockchain PeckShield, Arkham Intelligence și Lookonchain au confirmat independent amploarea pagubelor, cu estimări care variază între 200 și 285 de milioane de dolari, în funcție de momentul evaluării și de fluctuațiile de preț din timpul atacului.
Drift Protocol este un exchange descentralizat construit pe blockchain-ul Solana, folosit în principal pentru tranzacționarea de contracte futures perpetuale. Spre deosebire de contractele futures clasice, cele perpetuale nu au dată de expirare, ceea ce le face populare în rândul traderilor care doresc expunere continuă la mișcările de preț ale unui activ.
Protocolul folosea un market maker automat virtual și permitea depunerea mai multor tipuri de colateral, oferind totodată randament pe depozite. Drift Labs, compania din spatele proiectului, anunțase în 2024 că pregătește o platformă de piețe de predicție menită să concureze cu Polymarket.
Înainte de atac, valoarea totală blocată în protocol depășea 550 de milioane de dolari conform DeFi Llama, iar volumul zilnic al contractelor perpetuale se situa în jurul a 70 de milioane de dolari.
Atacul a început discret. Tranzacții neobișnuit de mari au fost detectate de monitoarele on-chain în jurul orei 16:00 UTC. Fondurile curgeau din vault-urile protocolului către o adresă necunoscută, identificată ulterior prin primele caractere: HkGz4K. Milioane de dolari în token-uri diferite părăseau Drift fără explicație, iar comunitatea crypto a realizat repede că nu era vorba despre o tranzacție obișnuită.
Cum s-a desfășurat hackul Drift Protocol, pas cu pas?
Primele semnale au apărut pe rețeaua socială X. PeckShield, una dintre cele mai cunoscute firme de securitate blockchain, a alertat direct echipa Drift printr-un mesaj public. La scurt timp, Mert Mumtaz, CEO-ul platformei de dezvoltare Helius, a postat un avertisment în care le cerea traderilor să-și verifice pozițiile deschise, adăugând că există indicii puternice ale unui exploit activ.
Prima tranzacție de amploare a implicat circa 41,7 milioane de token-uri JLP (Jupiter Liquidity Pool), cu o valoare de peste 155 de milioane de dolari, mutate dintr-un vault Drift către adresa suspectă. În minutele următoare, atacatorul a extras sistematic și alte active: SOL, USDC, variante de Bitcoin wrapped (cbBTC și wBTC), token-uri de liquid staking precum mSOL, INF și dSOL, dar și memecoin-uri.
Datele on-chain arată că peste 15 tipuri diferite de token-uri au fost scoase din vault-ul principal al protocolului într-o rafală de tranzacții coordonate.
Vault-ul principal al Drift, etichetat intern ca JCNCM și confirmat prin documentația oficială a protocolului, a trecut de la un sold de circa 309 milioane de dolari la doar 41 de milioane.
Aproape jumătate din întreaga lichiditate a protocolului s-a evaporat într-un interval care nu a depășit o oră.
Echipa Drift a reacționat public la aproximativ două ore de la primele tranzacții suspecte. Au publicat un mesaj pe X în care anunțau suspendarea depunerilor și retragerilor și confirmau că se coordonează cu firme de securitate, bridge-uri inter-chain și exchange-uri centralizate. Au precizat că lucrează activ la limitarea daunelor.
Au adăugat, într-o formulare care reflecta gravitatea momentului, că situația nu are nicio legătură cu o farsă de 1 Aprilie.
Cine a organizat atacul cibernetic și cum a obținut accesul?
Investigațiile preliminare ale mai multor analiști blockchain au scos la iveală un tipar pregătit metodic. Adresa principală a atacatorului, cea care începe cu HkGz4Kmo, fusese creată cu opt zile înainte de exploit. În acele prime zile, portofelul a efectuat câteva tranzacții pe platformele OKX și Jupiter, ca o fază de testare, după care a rămas complet inactiv. Această pauză deliberată sugerează că atacatorul a vrut să evite orice suspiciune în perioada premergătoare loviturii.
Finanțarea inițială a portofelului s-a realizat prin NEAR Intents, o metodă cross-chain care face extrem de dificilă urmărirea originii fondurilor. Alegerea acestui canal de finanțare trădează un nivel ridicat de sofisticare și o planificare atentă a întregii operațiuni.
Jiang Xuxian, fondatorul PeckShield, a oferit pentru publicația Decrypt una dintre cele mai relevante declarații despre natura atacului. Conform analizei sale, cheile de administrare ale Drift Protocol au fost compromise, cel mai probabil prin scurgere sau furt. Atacatorul nu s-a limitat la extragerea fondurilor. A mers mai departe și a schimbat cheile de administrare ale protocolului, blocând efectiv echipa legitimă din propriul sistem. Drift a fost scos din ecuație chiar în timpul în care fondurile erau sifonizate, fără posibilitate de intervenție.
Acest detaliu transformă incidentul Drift într-un caz diferit față de exploiturile obișnuite care vizează erori logice în codul smart contract-urilor. Aici, atacatorul a obținut acces la nivelul cel mai înalt al protocolului, echivalentul digital al spargerii seifului principal dintr-o bancă, cu schimbarea combinației în timp real.
Traseul fondurilor furate după hackul de 285 de milioane de dolari
Imediat după golirea vault-urilor, atacatorul a început să miște și să convertească fondurile prin mai multe canale, urmând o strategie rapidă și coordonată. Lookonchain a documentat că o parte importantă din active au fost transformate în USDC prin Jupiter, cel mai mare agregator de exchange-uri descentralizate din ecosistemul Solana. Stablecoin-urile obținute au fost apoi transferate prin bridge-uri cross-chain către rețeaua Ethereum, unde au servit la cumpărarea de ETH.
La momentul primelor rapoarte detaliate, atacatorul acumulase aproximativ 19.913 ETH, cu o valoare de circa 42,6 milioane de dolari. O altă parte din fonduri a ajuns pe exchange-ul centralizat Binance și pe platforma Hyperliquid, iar transferuri suplimentare au tranzitat protocoalele Raydium, Orca și Meteora prin portofelele intermediare pregătite în prealabil.
Un detaliu care a atras atenția cercetătorilor a fost utilizarea ChainFlip pentru conversia unei părți din active în USDC. Aici apare o fereastră de intervenție teoretică: Circle, compania care emite USDC, deține capacitatea tehnică de a îngheța token-uri specifice pe rețeaua Ethereum.
Mert Mumtaz a solicitat public și urgent ca reprezentanți ai Circle să intervină. Până la închiderea zilei, nu exista o confirmare oficială privind blocarea vreunei sume semnificative.
Într-un gest provocator care nu este fără precedent în cultura hackerilor crypto, atacatorul a creat pe blockchain un token nou, ca un fel de semnătură lăsată la locul faptei.
Cum a reacționat piața crypto la exploitul Drift?
Token-ul DRIFT a suferit imediat o corecție severă. Prețul a coborât de la aproximativ 0,072 dolari până la un minim de 0,045 dolari, o scădere de peste 28% în câteva ore. Volumul de tranzacționare a explodat, crescând cu aproape 200% și depășind 22 de milioane de dolari, dar activitatea era dominată masiv de vânzări. Capitalizarea totală a token-ului a scăzut sub pragul de 32 de milioane de dolari.
Solana, blockchain-ul gazdă al Drift, a resimțit și ea efectul. Prețul SOL a scăzut temporar la un minim de 83,82 dolari, deși a recuperat parțial pe parcursul zilei, rămânând ușor pe plus în cadrul sesiunii de tranzacționare. Reacția mai blândă a SOL sugerează că piața a separat, cel puțin deocamdată, riscul asociat unui protocol individual de sănătatea generală a rețelei.
Portofelul Phantom, cel mai utilizat portofel digital din ecosistemul Solana, a implementat avertismente automate pentru utilizatorii care încercau să acceseze Drift. Analiștii de securitate au recomandat revocarea imediată a tuturor aprobărilor acordate Drift din portofelele personale, o practică standard după un exploit de această amploare. Utilizatorii Phantom pot face acest lucru direct din interfața portofelului, verificând aplicațiile conectate.
Drift și locul său în clasamentul celor mai mari hackuri DeFi
Atacul asupra Drift nu există într-un vid. Industria finanțelor descentralizate poartă cicatricile a zeci de breșe de securitate majore, iar pierderile cumulate de la apariția DeFi depășesc de mult echivalentul a zece miliarde de dolari.
Cel mai mare hack DeFi rămâne cel al Ronin Network din martie 2022. Atacatori legați de grupul nord-coreean Lazarus au sustras aproximativ 625 de milioane de dolari în ETH și USDC, compromițând cinci din cele nouă noduri de validare ale bridge-ului care conecta rețeaua Ronin cu Ethereum. Axie Infinity, jocul blockchain care depindea de această rețea, a fost lovit din plin, iar recuperarea fondurilor s-a întins pe luni de zile și a necesitat o rundă specială de finanțare de 150 de milioane de dolari de la investitori precum Binance.
Pe Solana, cel mai grav incident de până la Drift fusese exploitul Wormhole din februarie 2022. Un atacator a exploatat o vulnerabilitate în logica de verificare a bridge-ului și a reușit să creeze din nimic 120.000 de token-uri wETH (Wrapped Ether), evaluate la peste 320 de milioane de dolari la acel moment. Jump Crypto, un fond de investiții cu expunere pe Solana, a acoperit din buzunar întreaga pierdere pentru a menține încrederea în ecosistem.
Poly Network a pierdut în august 2021 circa 611 milioane de dolari, deși în acel caz atacatorul a returnat fondurile, susținând că hackul fusese o demonstrație de vulnerabilitate. Bridge-ul BNB Chain a fost exploitat în octombrie 2022 pentru aproape 566 de milioane de dolari, iar Nomad a pierdut 190 de milioane de dolari în același an.
Mai aproape de prezent, în ianuarie 2026, Step Finance, o altă platformă DeFi de pe Solana, a pierdut circa 27 de milioane de dolari dintr-un atac asupra portofelelor de trezorerie. Consecințele au fost fatale pentru proiect: în februarie 2026, Step Finance a anunțat închiderea completă a operațiunilor, inclusiv a platformelor asociate SolanaFloor și Remora Markets.
Conform clasamentului Rekt, dacă pierderile Drift se confirmă la nivelul de 285 de milioane de dolari, atacul se plasează pe locul doi în istoria exploiturilor de pe Solana, după Wormhole, și intră în primele zece cele mai grave incidente din întreaga istorie a finanțelor descentralizate.
De ce rămân protocoalele DeFi vulnerabile în fața atacurilor cibernetice?
Finanțele descentralizate funcționează pe un principiu care este, simultan, cel mai mare avantaj și cel mai mare risc: absența intermediarilor. Nu există o bancă, un custode sau o autoritate centrală care să supervizeze tranzacțiile. Smart contract-ul este singura autoritate, iar dacă acel cod are o fisură, sau dacă cineva obține acces la cheile care îl controlează, consecințele sunt imediate și greu reversibile.
Ceea ce s-a întâmplat la Drift aparține unei categorii specifice de atacuri: compromiterea cheilor de administrare. Spre deosebire de exploiturile clasice, unde atacatorul identifică o eroare în logica smart contract-ului, aici hackerul a obținut direct controlul administrativ al protocolului.
Cu acces la admin keys, atacatorul poate modifica parametri, autoriza retrageri de orice dimensiune și, așa cum s-a văzut la Drift, schimba cheile pentru a bloca echipa legitimă din sistem.
Problema aceasta pune sub semnul întrebării gradul real de descentralizare al multor protocoale DeFi. Dacă un singur set de chei administrative oferă control total asupra fondurilor utilizatorilor, protocolul este descentralizat doar la suprafață.
Soluțiile discutate de comunitatea de securitate includ sisteme multi-semnătură mai riguroase, unde mai multe părți independente trebuie să autorizeze o tranzacție administrativă, mecanisme de tip timelock care impun o perioadă de așteptare pentru tranzacțiile de valoare mare și sisteme automate de alertă care suspendă operațiunile la detectarea unor anomalii.
Bridge-urile cross-chain continuă să fie veriga cea mai slabă a infrastructurii crypto. Atacatorul Drift a folosit exact aceste canale pentru a muta rapid fondurile din Solana către Ethereum, profitând de faptul că, odată ce activele traversează un bridge, jurisdicțiile se amestecă, protocoalele diferă și urmărirea devine exponențial mai complicată.
Cum a afectat hackul Drift Protocol întregul ecosistem Solana?
Drift nu era un proiect marginal. Era unul dintre pilonii ecosistemului DeFi de pe Solana, cu integrări în numeroase alte protocoale din rețea. Pierderea bruscă a circa jumătate din lichiditatea sa pune presiune pe toate proiectele care depindeau de vault-urile Drift pentru lichiditate sau strategii de hedging.
Câteva companii listate la bursă, cu expunere directă pe Solana, au emis comunicări publice. Forward Industries și DeFi Development Corp au confirmat că trezoreriile lor nu au fost afectate de exploit, o clarificare necesară pentru a calma investitorii din piețele tradiționale. Totuși, incidentul apare într-un moment delicat. Solana revenise puternic ca destinație preferată pentru tradingul descentralizat de token-uri și contracte futures, iar un hack de această amploare pune o umbră pe acel avânt.
Ecosistemul Solana a mai absorbit șocuri de securitate. Hackul Wormhole din 2022 a necesitat intervenția financiară a Jump Crypto. Închiderea Step Finance în februarie 2026 a arătat că pentru proiectele mai mici, un atac de câteva zeci de milioane de dolari poate fi letal. Cu Drift, miza este de un ordin de mărime superior, iar modul în care echipa și comunitatea gestionează criza va influența percepția investitorilor asupra întregului ecosistem Solana pentru lunile care urmează.
Ce opțiuni are Drift Protocol pentru recuperarea fondurilor?
Situația rămânea în desfășurare la momentul publicării acestui material. Drift Protocol confirma atacul, menținea suspendarea tuturor operațiunilor și anunța colaborarea cu multiple firme de securitate, bridge-uri și exchange-uri centralizate.
Există câteva scenarii prin care o parte din fonduri ar putea fi recuperată. Circle, emitentul USDC, are capacitatea de a îngheța token-uri asociate adreselor marcate ca frauduloase pe rețeaua Ethereum. Dacă intervenția vine suficient de rapid, o parte din stablecoin-urile furate ar putea fi blocate.
Exchange-urile centralizate precum Binance, unde au ajuns fonduri din portofelul atacatorului, pot de asemenea suspenda conturile și colabora cu autoritățile. Precedentul Ronin arată că o mobilizare coordonată între exchange-uri și firme de analiză blockchain poate duce la recuperarea parțială a fondurilor, chiar dacă procesul durează luni de zile.
Fondurile deja convertite în ETH sau trecute prin mixere de confidențialitate vor fi mult mai greu de recuperat. Traseul prin ChainFlip, Raydium și alte protocoale intermediare complică și el urmărirea. Atacatorul a demonstrat un nivel de pregătire care sugerează familiaritate cu metodele de obscurizare utilizate în hackurile DeFi anterioare.
Riscurile reale ale finanțelor descentralizate, dincolo de randamente
Fiecare hack major generează aceleași discuții: audituri mai riguroase, programe de recompense pentru descoperirea de vulnerabilități, arhitecturi de securitate mai sofisticate. Iar apoi, câteva luni mai târziu, un nou incident demonstrează că distanța dintre teorie și practică rămâne mare.
Oricine interacționează cu protocoale DeFi trebuie să accepte un lucru pe care industria evită adesea să îl spună clar: fondurile depuse în smart contracts nu au garanțiile pe care le oferă sistemul bancar tradițional. Nu există o asigurare a depozitelor, nu există un fond de compensare, iar când un protocol este compromis, recuperarea este incertă și poate dura foarte mult.
Specialiștii în securitate crypto recomandă câteva practici de bază pentru reducerea riscului. Diversificarea expunerii între mai multe protocoale limitează pierderile în cazul unui exploit singular. Verificarea periodică a aprobărilor acordate din portofel și revocarea celor care nu mai sunt necesare reduce suprafața de atac. Utilizarea unor sume limitate, proporționale cu apetitul real de risc, protejează portofoliul total. Iar monitorizarea constantă a comunicărilor oficiale ale protocoalelor cu care interacționezi permite reacții rapide în situații de criză.
Hackul Drift Protocol din 1 aprilie 2026 va rămâne un punct de referință în istoria securității DeFi pe Solana. Amploarea pierderilor, sofisticarea atacului și rapiditatea cu care fondurile au fost dispersate prin multiple blockchain-uri ilustrează un nivel de risc pe care comunitatea crypto nu-și poate permite să-l ignore.
Răspunsul echipei Drift, cooperarea cu firmele de securitate și eventuala recuperare a fondurilor vor determina dacă protocolul poate supraviețui celui mai grav test al existenței sale.
