Un complotto di sei mesi della Repubblica Democratica Popolare di Corea dietro l'exploit da 285 milioni di dollari di Drift sconvolge la comunità delle criptovalute

Drift Protocol ha rilasciato un aggiornamento dettagliato in seguito all' exploit del 1° aprile che ha causato perdite per oltre 285 milioni di dollari, offrendo nuove informazioni su come è stato orchestrato l'attacco e sul motivo per cui il suo impatto si è esteso ben oltre un singolo protocollo.

L'incidente, ora collegato con "fiducia medio-alta" a un gruppo di minacce affiliato allo Stato nordcoreano, non solo ha sollevato seri interrogativi sulle pratiche di sicurezza operativa in tutta la DeFi, ma ha anche coinciso con un forte calo del valore totale bloccato di Solana. Nei giorni successivi all'exploit, il TVL di Solana è sceso da 6,34 miliardi di dollari a 5,55 miliardi di dollari, con un calo di circa il 12,5%.

Escludendo i fondi rubati, il calo netto di circa l'8% riflette un cambiamento significativo nella fiducia degli utenti, anche se rimane al di sotto delle medie storiche registrate dopo gli exploit più importanti.

Una campagna di infiltrazione durata sei mesi

Secondo l'aggiornamento di Drift del 5 aprile, l'exploit non è stato il risultato di una singola vulnerabilità, ma di un'operazione strutturata che si è svolta nell'arco di diversi mesi.

L'attacco è iniziato nell'autunno del 2025, quando alcuni individui che si spacciavano per una società di trading quantitativo hanno avvicinato i collaboratori di Drift durante una conferenza sulle criptovalute. Nei sei mesi successivi, questi individui hanno mantenuto contatti costanti, incontrando di persona i collaboratori in occasione di diversi eventi globali del settore.

Hanno dimostrato una forte conoscenza tecnica, hanno presentato un background professionale credibile e si sono impegnati in discussioni dettagliate sulle strategie di trading e sulle integrazioni dei caveau. Queste interazioni rispecchiavano il tipico comportamento di onboarding delle società di trading, consentendo alla relazione di svilupparsi senza destare immediati sospetti.

Tra il dicembre 2025 e il gennaio 2026, il gruppo ha approfondito il proprio coinvolgimento con l'onboarding di un Ecosystem Vault su Drift, partecipando a sessioni di lavoro e depositando oltre 1 milione di dollari di capitale nel protocollo. Questa attività ha stabilito la legittimità operativa e ha ulteriormente rafforzato la fiducia.

Nel corso della relazione, il gruppo ha condiviso collegamenti a strumenti, applicazioni e repository come parte dei flussi di lavoro standard di integrazione. Queste interazioni sono diventate in seguito centrali per l'indagine.

I probabili vettori di attacco

I risultati preliminari di Drift indicano due percorsi di intrusione principali.

Un collaboratore potrebbe essere stato compromesso dopo aver clonato un repository di codice collegato a un frontend del vault condiviso dagli aggressori. Un altro collaboratore avrebbe scaricato un'applicazione TestFlight presentata come il prodotto portafoglio del gruppo.

I ricercatori di sicurezza hanno anche notato un potenziale collegamento con una vulnerabilità nota che ha colpito ambienti di sviluppo come VSCode e Cursor tra la fine del 2025 e l'inizio del 2026. Questa vulnerabilità consentiva l'esecuzione di codice arbitrario semplicemente aprendo un repository dannoso, senza richiedere l'interazione dell'utente.

Dopo l'exploit, l'analisi forense ha rivelato che i canali di comunicazione e il software dannoso degli aggressori sono stati rapidamente cancellati, indicando uno sforzo coordinato per rimuovere le tracce.

Valutazione della minaccia e risposta

Gli investigatori, compreso il team SEAL 911, hanno valutato con un livello di confidenza medio-alto che l'operazione presenta analogie sia a livello di catena che di funzionamento con l'hack di Radiant Capital dell'ottobre 2024. Quell'incidente era stato precedentemente attribuito a UNC4736, un gruppo affiliato allo stato nordcoreano noto anche come AppleJeus o Citrine Sleet.

Drift ha chiarito che gli individui che hanno incontrato di persona i collaboratori di Drift erano probabilmente intermediari piuttosto che membri diretti del gruppo di minaccia. Ciò è in linea con le tattiche note in cui gli attori legati allo Stato impiegano terze parti per costruire relazioni ed eseguire campagne di social engineering.

Mandiant è stata incaricata di condurre un'indagine forense completa, anche se l'attribuzione formale è ancora in sospeso.

In seguito all'exploit, Drift ha bloccato tutte le funzioni di protocollo rimanenti e ha rimosso i portafogli compromessi dal suo multisig. Il team ha inoltre segnalato gli indirizzi degli aggressori presso le borse e gli operatori di bridge per limitare il flusso di fondi.

Il protocollo sta attualmente collaborando con le forze dell'ordine e i partner della sicurezza per continuare le indagini e valutare le opzioni di recupero.

Le reazioni del settore evidenziano i problemi di sicurezza

L'incidente ha suscitato ampi commenti da parte dei leader del settore, molti dei quali hanno sottolineato la necessità di rafforzare gli standard di sicurezza operativa.

Lucas Bruder, cofondatore e CEO di Jito Labs, ha dichiarato che l'evento avrebbe cambiato il comportamento del settore, aggiungendo che i partecipanti non sono stati "abbastanza paranoici".

Jacob Creech, vicepresidente del settore tecnologico della Solana Foundation, ha sottolineato l'importanza di pratiche di sicurezza rigorose, consigliando ai team di evitare l'installazione di applicazioni sconosciute, di utilizzare dispositivi di firma dedicati e di rivalutare le configurazioni attuali.

Il cofondatore di Solana , Anatoly Yakovenko, ha fatto eco a questo sentimento, descrivendo l'attacco come "terrificante" e raccomandando la separazione fisica tra gli ambienti di sviluppo e di firma, incluso un hardware dedicato per ciascuna funzione.

Un investigatore di onchain noto come Tay ha notato che i lavoratori informatici nordcoreani hanno contribuito alla costruzione di protocolli di crittografia risalenti all'estate della DeFi, citando SushiSwap, THORChain, Harmony, Ankr, Shib e Yearn.

Hanno aggiunto che le dichiarazioni di "7 anni di esperienza di sviluppo di blockchain" sui curriculum di questi attori non dovrebbero essere considerate false.

Stepan Simkin, CEO di Squads Protocol, ha sottolineato la necessità di standard formali di sicurezza operativa, suggerendo quadri simili alle verifiche del codice o alle certificazioni SOC2 per la gestione del protocollo.

Dibattito su responsabilità e negligenza

Non tutte le reazioni sono state positive. Ariel Givner, un esperto legale, ha sostenuto che l'incidente potrebbe costituire una negligenza civile. Ha criticato la commistione tra attività di sviluppo e accesso a sistemi critici, nonché la mancanza di salvaguardie di base come ambienti di firma protetti dall'aria.

I commenti della Givner riflettono un dibattito più ampio sulla responsabilità e sull'opportunità di ritenere i protocolli responsabili di fallimenti operativi evitabili.

Al contrario, Simon Dedic, fondatore e Managing Partner di Moonrock Capital, ha suggerito che la sofisticazione degli attaccanti ha reso estremamente difficile la prevenzione una volta che Drift è diventato un obiettivo.

Un cambiamento più ampio nel modo di pensare la sicurezza

Altre voci hanno inserito l'incidente in un contesto industriale più ampio.

Lily Liu, presidente della Solana Foundation, ha osservato che, sebbene i contratti intelligenti si siano comportati come previsto, gli aggressori stanno prendendo sempre più di mira le vulnerabilità umane piuttosto che il codice.

Redwan Meslem, direttore esecutivo dell'Enterprise Ethereum Alliance, ha fatto un paragone con i settori tradizionali come quello aerospaziale e bancario, dove i controlli di accesso e i protocolli di sicurezza sono standard. Ha sostenuto che la criptovaluta opera ancora con una cultura della sicurezza di livello startup, nonostante la gestione di un rischio finanziario significativo.

Mentre le indagini proseguono, la lezione più ampia rimane chiara. La sicurezza nella DeFi deve andare oltre il codice e includere rigorosi standard operativi, ambienti controllati e una rivalutazione del modo in cui si stabilisce la fiducia in un panorama sempre più avverso.

Per saperne di più su SolanaFloor

Titan Exchange promette performance 4 volte superiori a Binance grazie al nuovo router DART
$BTC si ferma a 69k dollari mentre i colloqui USA-Iran per il cessate il fuoco cadono nel vuoto

Protocollo Drift violato per 285 milioni di dollari