Drift Protocol (DRIFT) ha pubblicato il 5 aprile un aggiornamento dettagliato sull’incidente, rivelando che l’exploit da 285 milioni di dollari avvenuto il 1° aprile è stato il risultato di un’operazione di intelligence durata sei mesi attribuita ad attori statali nordcoreani.
La comunicazione descrive un livello di social engineering che va ben oltre i tipici tentativi di phishing o le truffe dei finti recruiter, includendo incontri di persona, investimenti di capitale reale e mesi di costruzione della fiducia.
Una società di trading fittizia che ha giocato sul lungo periodo
Secondo Drift, un gruppo che si spacciava per un’azienda di trading quantitativo ha contattato per la prima volta alcuni contributor durante una importante conferenza crypto nell’autunno 2025.
Nei mesi successivi queste persone sono apparse a diversi eventi in vari paesi, hanno tenuto sessioni di lavoro e hanno mantenuto costanti conversazioni su Telegram riguardanti le integrazioni delle vault.
Seguici su X per ricevere le ultime notizie in tempo reale
Tra dicembre 2025 e gennaio 2026 il gruppo ha attivato una Ecosystem Vault su Drift, depositato oltre 1 milione di dollari di capitale e partecipato a discussioni approfondite sul prodotto.
Entro marzo, i contributor di Drift avevano incontrato queste persone faccia a faccia in più occasioni.
“…gli hacker più pericolosi non sembrano hacker”, ha commentato lo sviluppatore crypto Gautham.
Anche gli esperti di sicurezza Web trovano la vicenda preoccupante: la ricercatrice Tay ha condiviso che inizialmente si aspettava una classica truffa da parte di un finto recruiter, ma ha trovato la profondità dell’operazione molto più allarmante.
Come sono stati compromessi i dispositivi
Drift ha identificato tre possibili vettori d’attacco:
- Un contributor ha clonato un repository di codice che il gruppo aveva condiviso per un frontend di una vault.
- Un altro ha scaricato un’applicazione TestFlight presentata come prodotto wallet.
- Per quanto riguarda il repository, Drift ha indicato una nota vulnerabilità di VSCode e Cursor che i ricercatori di sicurezza segnalavano già dalla fine del 2025.
Quella falla consentiva l’esecuzione silenziosa di codice arbitrario non appena veniva aperto un file o una cartella nell’editor, senza alcuna interazione da parte dell’utente.
Dopo il drain del 1° aprile, gli attaccanti hanno cancellato tutte le chat Telegram e il software dannoso. Da allora Drift ha congelato le funzioni rimanenti del protocollo e rimosso i wallet compromessi dal multisig.
Il team SEALS 911 ha valutato con un grado di fiducia medio-alto che gli stessi attori abbiano condotto anche l’hack ai danni di Radiant Capital dell’ottobre 2024, che Mandiant aveva attribuito a UNC4736.
I flussi di fondi on-chain e le sovrapposizioni operative tra le due campagne supportano tale collegamento.
Il settore chiede un ripristino della sicurezza
Armani Ferrante, noto sviluppatore Solana, ha invitato tutti i team crypto a sospendere le attività di crescita e a revisionare l’intero stack di sicurezza.
“Ogni team nel settore crypto dovrebbe cogliere questa occasione per rallentare e concentrarsi sulla sicurezza. Se possibile, dedicateci un intero team… non si può crescere se si viene hackerati”, ha ditto Ferrante.
Drift ha precisato che le persone incontrate di persona non erano cittadini nordcoreani. Gli attori malintenzionati della DPRK a questo livello sono spesso soliti utilizzare intermediari terzi per i contatti diretti.
Mandiant, a cui Drift ha affidato le analisi forensi dei dispositivi, non ha ancora attribuito ufficialmente la responsabilità dell’exploit.
La comunicazione rappresenta un avvertimento per tutto l’ecosistema. Drift ha esortato i team a verificare i controlli di accesso, trattare ogni dispositivo che accede a una multisig come potenziale bersaglio e contattare SEAL 911 in caso di sospetti simili.
