Durante il tremendous settimana, il group dietro Drift, un protocollo crittografico per lo scambio di futures perpetui su Solana, ha fornito un aggiornamento su un attacco informatico al progetto avvenuto il 1° aprile. Nel rapporto, un’operazione di intelligence durata sei mesi gestita da un gruppo di hacking criminale collegato al regime nordcoreano viene indicata come fonte dell’attacco. Tuttavia, alcuni osservatori puntano il dito contro il group Drift per motivi di incompetenza o peggio.
L’hacking ha prelevato circa 285 milioni di dollari dai pool di archiviazione di Drift, che contenevano stablecoin come USDC, insieme a JLP, SOL e altri asset crittografici. Due società di tracciamento blockchain, Laboratori TRM E Ellitticaho messo insieme l’intera sequenza.
Tutto è iniziato a metà marzo 2026. Gli aggressori hanno prima spostato denaro attraverso un servizio di mixaggio chiamato Twister Money per nascondere le loro tracce e creare conti speciali che consentissero loro di preparare in anticipo determinate transazioni. Il 27 marzo, il group di sicurezza di Drift è passato a un nuovo sistema di approvazione che richiedeva che solo due detentori di chiavi su cinque approvassero le modifiche principali e rimuoveva qualsiasi periodo di attesa integrato che avrebbe potuto attivare un avviso. Gli hacker hanno quindi creato 750 milioni di nuovi token falsi chiamati CarbonVote Token o CVT. Hanno manipolato l’attività di buying and selling in modo che gli strumenti di controllo dei prezzi di Drift trattassero questi token senza valore come garanzie legittime e di alto valore che potevano sostenere enormi prelievi.
Il 1° aprile hanno avviato le transazioni pre-preparate. Ciò ha consentito loro di aggiungere token falsi alla piattaforma, aumentare i limiti di prestito, scaricare centinaia di milioni di token fasulli nel sistema e drenare risorse reali attraverso 31 prelievi rapidi. L’intero processo ha richiesto circa 12 minuti. Hanno rapidamente scambiato i fondi rubati in USDC su un change Solana e hanno spostato tutto sulla rete Ethereum per coprire le loro tracce.
Prego tutti coloro che lavorano nel mondo delle criptovalute di leggerlo per intero.
Mi aspettavo che questo fosse un altro caso di ingegneria sociale, probabilmente qualche stronzata di reclutatori/offerte di lavoro.
Mi sbagliavo di grosso.
E la profondità dell’operazione e dei personaggi mi fanno pensare che abbiano già molte altre squadre bloccate.
— Tay 💖 (@tayvano_) 5 aprile 2026
In particolare, questo approccio fa eco a un recente exploit sul protocollo Resolv e sulla sua stablecoin USR. Lì, un utente malintenzionato ha ottenuto il controllo di una chiave di firma AWS privilegiata, ha coniato quasi 80 milioni di nuovi token USR contro solo poche centinaia di migliaia di dollari in garanzia effettiva e ha incassato circa 25 milioni di dollari. Entrambi i casi si basavano sull’accesso con chiave privata piuttosto che su una pura vulnerabilità del codice, combinata con la capacità di emettere o garantire asset ben oltre i limiti normali.
TRM Labs ed Elliptic hanno segnalato la connessione nordcoreana pochi giorni dopo l’incidente del 1 aprile. Gli indicatori includevano una stadiazione a catena allineata con l’ora locale di Pyongyang e modelli comportamentali corrispondenti a precedenti attività legate alla RPDC.
Aggiornamento pubblico di Drift su X ha fornito maggiori dettagli su come si sarebbe svolta l’operazione nell’arco di sei mesi. Nell’autunno del 2025, individui che si spacciavano per rappresentanti di una società di buying and selling quantitativo si sono rivolti ai contributori di Drift in un’importante conferenza sulle criptovalute. Hanno continuato i contatti di persona in occasione di eventi in più paesi, hanno creato un gruppo Telegram, hanno discusso strategie di buying and selling dettagliate e integrazioni di caveau e hanno persino integrato il proprio Ecosystem Vault con oltre 1 milione di dollari di depositi. Le conversazioni e la condivisione delle risorse sembravano una routine per le controparti legittime. Dopo l’hacking, il gruppo ha cancellato la cronologia di Telegram e qualsiasi software program associato.
La scientifica ha individuato tre potenziali vettori per la compromissione della chiave privata coinvolta nell’attacco: un collaboratore potrebbe aver clonato un repository di codice che sfruttava una vulnerabilità nota di VSCode o Cursor consentendo l’esecuzione silenziosa di codice arbitrario; un secondo è stato convinto a scaricare un’app TestFlight incorniciata come prodotto di portafoglio dell’azienda; e un terzo vettore rimane sotto esame attivo da parte delle forze dell’ordine. Con un livello di sicurezza medio-alto, il group SEAL 911 ha attribuito l’iniziativa agli stessi attori affiliati allo stato nordcoreano dietro l’attacco hacker a Radiant Capital dell’ottobre 2024. Inoltre, le persone coinvolte di persona non erano cittadini nordcoreani ma intermediari di terze parti, una tattica coerente con le pratiche commerciali della RPDC.
Più ci penso, più non posso fare a meno di pensare che abbiamo a che fare con un problema di negligenza civile.
Mi scuso per quanto tempo durerà in anticipo questo sfogo, ma sono così arrabbiato.
Il Drift Protocol gestiva centinaia di milioni di denaro degli utenti. Sapevano che le criptovalute sono piene di hacker -… https://t.co/qhdzuII0gc
— Ariel Givner (@GivnerAriel) 5 aprile 2026
In termini di colpevolezza del group Drift nell’incidente, alcuni si sono chiesti perché un protocollo che gestisce centinaia di milioni consentirebbe il obtain di app non controllate come il portafoglio TestFlight su {hardware} legato all’accesso multi-firma. Altri hanno sottolineato la mancanza di una compartimentazione più rigorosa tra gli ambienti di sviluppo e le chiavi di firma, sostenendo che la sicurezza operativa di base avrebbe dovuto prevenire la violazione indipendentemente dalla sofisticatezza dell’aggressore. “Più ci penso, più non posso fare a meno di pensare che abbiamo a che fare con un problema di negligenza civile”, L’avvocato specializzato in criptovalute Ariel Givner ha scritto su X.
Allo stesso tempo, i ricercatori sulla sicurezza hanno avvertito che una vera campagna di intelligence di questo calibro, durata sei mesi, suggerisce che operazioni simili potrebbero già essere in corso contro altri progetti. Il livello di pazienza e di investimento delle risorse implica che gli attori non si siano limitati a un unico obiettivo.
La Corea del Nord fa affidamento da anni sul furto di criptovaluta come meccanismo di finanziamento coerente. Gli incidenti gravi del passato includono il drenaggio di Ronin Community nel 2022 di oltre 600 milioni di dollari e ripetuti compromessi di scambio. Nel 2025 gli hacker del regime stabiliscono un nuovo report annuale rubando 2,02 miliardi di dollari, secondo un rapporto di Chainalysis.
La combinazione di fumo e specchi, collaborazione remota e alti interessi finanziari nelle criptovalute crea condizioni in cui gruppi determinati e sofisticati, comprese le agenzie di intelligence, possono investire mesi nella costruzione della fiducia prima di colpire. E quando centinaia di milioni o addirittura miliardi saranno potenzialmente disponibili, gli attori perseguiranno gli attacchi attraverso mezzi estesi ed esaustivi. I dati mostrano inoltre chiaramente che l’uso criminale delle criptovalute è in aumento, come di entrambi trasferimenti illeciti E attacchi fisici contro noti detentori di criptovalute raggiunto nuovi massimi storici lo scorso anno.
