L'attacco hacker da 285 milioni di dollari a Drift Protocol è durato sei mesi, secondo quanto accusato un gruppo nordcoreano.

Il 1° aprile 2026 sfruttare of solarioL'attacco al protocollo Drift, che ha sottratto circa 285 milioni di dollari alla piattaforma, non è stato un attacco spontaneo. Secondo le indagini preliminari di Drift indagineSi trattava del risultato di un'operazione di intelligence strutturata, iniziata almeno sei mesi prima e attribuita con un grado di certezza medio-alto a UNC4736, un gruppo terroristico affiliato allo stato nordcoreano, noto anche come AppleJeus o Citrine Sleet.

Come è iniziato l'attacco hacker al protocollo Drift?

Secondo il team di Drift Protocol, l'operazione è iniziata durante un'importante conferenza sulle criptovalute nell'autunno del 2025, dove alcuni individui che si presentavano come società di trading quantitativo hanno avvicinato i collaboratori di Drift. Ciò che ne è seguito non è stato un rapido tentativo di phishing. Si è trattato di una deliberata campagna di costruzione di relazioni, durata mesi e condotta attraverso numerosi incontri di persona, in diverse conferenze di settore e in diversi paesi.

Il gruppo era tecnicamente competente, vantava un background professionale verificabile e una conoscenza approfondita del funzionamento di Drift. Dopo il primo incontro, è stato creato un gruppo Telegram e per mesi sono proseguite discussioni approfondite su strategie di trading e integrazioni con i vault. Il team di Drift ha osservato che queste interazioni erano del tutto coerenti con le modalità con cui le società di trading legittime interagiscono solitamente con il protocollo.

Da dicembre 2025 a gennaio 2026, il gruppo ha attivato un Ecosystem Vault su Drift. Questo processo ha comportato la presentazione dei dettagli della strategia tramite un modulo di adesione formale, la partecipazione a numerose sessioni di lavoro con i collaboratori di Drift e il deposito di oltre 1 milione di dollari di capitale proprio. Hanno costruito una presenza operativa funzionante all'interno del protocollo, con metodo e pazienza.

Gli ultimi mesi prima dello sfruttamento

Le conversazioni sull'integrazione sono proseguite per tutto febbraio e marzo 2026. I collaboratori di Drift hanno incontrato nuovamente di persona alcuni membri del gruppo in occasione di importanti eventi di settore. Ad aprile, la collaborazione durava ormai da quasi sei mesi. Non si trattava di estranei: erano persone con cui il team di Drift aveva già lavorato e che aveva incontrato di persona in diverse occasioni.

Durante questo periodo, il gruppo ha condiviso link a progetti, strumenti e applicazioni che affermavano di star sviluppando. La condivisione di tali risorse è una pratica standard nei rapporti tra società commerciali, ed è proprio questo che ha reso il meccanismo di distribuzione efficace.

Quali erano i vettori di attacco tecnici?

In seguito all'attacco del 1° aprile, Drift ha condotto un'analisi forense dei dispositivi, degli account e delle cronologie delle comunicazioni interessati. Le chat di Telegram e il software dannoso utilizzato dal gruppo erano stati completamente eliminati nel momento stesso in cui si è verificato l'attacco. L'indagine di Drift ha identificato tre probabili vettori di intrusione:

• Uno dei collaboratori potrebbe essere stato compromesso dopo aver clonato un repository di codice condiviso dal gruppo, presentato come strumento di implementazione front-end per il loro vault.
• Un secondo collaboratore è stato indotto a scaricare un'applicazione TestFlight che il gruppo ha descritto come il proprio prodotto di portafoglio digitale. TestFlight è la piattaforma di Apple per la distribuzione di versioni beta delle app iOS prima del loro rilascio pubblico.
• Per quanto riguarda il vettore basato sui repository, il meccanismo più probabile era una vulnerabilità nota negli editor di codice VSCode e Cursor, che i ricercatori di sicurezza avevano segnalato attivamente tra dicembre 2025 e febbraio 2026. L'apertura di un file, una cartella o un repository nell'editor interessato era sufficiente per eseguire silenziosamente codice arbitrario, senza alcun avviso, richiesta di autorizzazione, finestra di dialogo o indicazione visibile all'utente.

Al momento della pubblicazione, l'analisi forense completa dell'hardware interessato era ancora in corso.

Quanto tempo è stato impiegato per eseguire l'attacco?

La fase di configurazione potrebbe aver richiesto sei mesi, ma l'esecuzione è stata rapidissima. Una volta ottenuto il controllo amministrativo del protocollo, i fondi degli utenti reali sono stati prosciugati in meno di 12 minuti. Il valore totale bloccato (TVL) di Drift è crollato da circa 550 milioni di dollari a meno di 300 milioni di dollari in meno di un'ora. Il token DRIFT ha perso oltre il 40% del suo valore durante l'incidente. La società di sicurezza PeckShield ha confermato che la perdita totale ha superato i 285 milioni di dollari, pari a oltre il 50% del TVL del protocollo in quel momento.

Il team di Drift ha pubblicato un messaggio su X durante il caos per chiarire che la situazione era reale, scrivendo: "Non si tratta di uno scherzo del primo aprile. Procedete con cautela fino a nuovo avviso". Tutti i depositi e i prelievi sono stati sospesi all'inizio delle indagini.

Scopri progetti promettenti...

Progetti promettenti...

(Annuncio pubblicitario)

L'articolo continua...

Dove sono finiti i 285 milioni di dollari?

Dopo l'attacco, l'attaccante si è mosso rapidamente per occultare le tracce dei fondi. Gli asset rubati sono stati convertiti in USDC e SOL, quindi trasferiti da Solana a Ethereum utilizzando il Cross-Chain Transfer Protocol (CCTP) di Circle. Il CCTP è l'infrastruttura di bridging nativa di Circle che consente agli USDC di spostarsi tra diverse blockchain senza bisogno di wrapping. Su Ethereum, i fondi sono stati convertiti in ETH. Il tracciamento on-chain ha confermato che l'attaccante ha accumulato complessivamente 129,066 ETH, per un valore di circa 273 milioni di dollari all'epoca.

L'attaccante ha inoltre depositato SOL sia su HyperLiquid che su Binance, distribuendo l'attività su più piattaforme per complicare le operazioni di tracciamento.

Circle ha risposto abbastanza velocemente?

L'investigatore on-chain ZachXBT ha criticato pubblicamente Circle dopo l'attacco, sottolineando che grandi quantità di USDC rubati sono state trasferite da Solana a Ethereum durante l'orario lavorativo statunitense senza essere congelate. ZachXBT ha contrapposto questo episodio alla recente decisione di Circle di congelare 16 portafogli digitali aziendali non correlati in una causa civile statunitense tenuta segreta, sostenendo che Circle aveva sia la capacità tecnica che un chiaro precedente per intervenire, ma non è riuscita ad agire con sufficiente rapidità per limitare i danni.

Chi si cela dietro l'attacco?

Con un grado di certezza medio-alto, e supportato dalle indagini condotte dal team SEALS 911, l'inchiesta di Drift attribuisce l'operazione agli stessi gruppi di hacker responsabili dell'attacco informatico a Radiant Capital dell'ottobre 2024. Tale attacco era stato formalmente attribuito da Mandiant a UNC4736, un gruppo affiliato allo stato nordcoreano.

La base di questo collegamento è sia on-chain che operativa. I flussi di fondi utilizzati per organizzare e testare l'operazione Drift risalgono a portafogli collegati agli autori dell'attacco Radiant. Inoltre, i profili utilizzati nella campagna Drift presentano sovrapposizioni identificabili con schemi di attività noti legati alla Corea del Nord.

Un chiarimento importante da parte del team di Drift: le persone che si sono presentate di persona alle conferenze non erano cittadini nordcoreani. A questo livello operativo, è noto che gli attori terroristici legati alla RPDC si avvalgono di intermediari terzi per gestire la creazione di relazioni di persona, mantenendo gli agenti operativi a distanza.

Mandiant è stata formalmente incaricata delle indagini, ma non ha ancora rilasciato un'attribuzione ufficiale per l'exploit di Drift. Tale attribuzione richiede il completamento delle analisi forensi del dispositivo, che sono tuttora in corso.

Misure di risposta attuali

Al momento della pubblicazione, Drift ha intrapreso le seguenti azioni:

• Tutte le restanti funzioni del protocollo sono state congelate
• I portafogli compromessi sono stati rimossi dal sistema multisig.
• I portafogli degli hacker sono stati segnalati su tutti gli exchange e gli operatori di bridge.
• Mandiant è stata incaricata come partner principale per le indagini forensi.

Drift ha dichiarato di aver reso pubblici questi dettagli affinché gli altri team dell'ecosistema possano comprendere come si presenta effettivamente questo tipo di attacco e adottare le misure necessarie per proteggersi.

Conclusione

L'attacco hacker a Drift Protocol non è la storia di una vulnerabilità del codice sfuggita a un controllo di sicurezza. È la storia di un inganno umano protratto nel tempo. Gli hacker hanno impiegato sei mesi per costruirsi credibilità attraverso incontri di persona, un'integrazione funzionante con un sistema di sicurezza e oltre un milione di dollari di capitale proprio depositato, prima di effettuare un furto di 285 milioni di dollari in soli 12 minuti.

 I vettori tecnici, un repository di codice dannoso e una falsa app TestFlight, si sono rivelati efficaci proprio perché la fiducia necessaria per aprirli era già stata accuratamente costruita. 

Per i protocolli DeFi, la lezione è chiara: la superficie di attacco non si limita agli smart contract. Include ogni dispositivo di contributo, ogni repository di terze parti e ogni relazione instaurata durante una conferenza di settore. UNC4736 lo ha dimostrato due volte, la prima a Radiant Capital nell'ottobre 2024 e la seconda a Drift nell'aprile 2026, adottando in entrambi i casi lo stesso approccio paziente e supportato da risorse.

Risorse

1. Drift Protocol su X: Post del 5 marzo

2. PeckShield su XPost (1-2 aprile)

3. Lookonchain su XPost (1-2 aprile)