Elliptic segnala un exploit da 285 milioni di dollari su Drift, probabile operazione legata alla Corea del Nord

Elliptic ha indicato che l’attacco al Drift Protocol, pari a 285 milioni di dollari e il più rilevante registrato quest’anno, mostra «molteplici indicatori» di possibile coinvolgimento del gruppo di hacker statali della DPRK.

Il Drift Protocol, la maggiore piattaforma decentralizzata per contratti perpetual sulla blockchain Solana, ha subito un crollo del valore del proprio token, che è diminuito di oltre il 40% attestandosi intorno a 0,06 dollari dopo l’exploit.

Attribuzione e portata delle perdite

Elliptic ha messo in rilievo elementi osservati on‑chain, tecniche di riciclaggio e segnali a livello di rete che combaciano con attacchi precedentemente collegati allo Stato nordcoreano.

Elliptic ha affermato:

“Se confermato, questo incidente rappresenterebbe il diciottesimo atto attribuito alla DPRK che Elliptic ha tracciato quest’anno, con oltre 300 milioni di dollari sottratti finora.”

Elliptic ha aggiunto:

“Si tratta di una prosecuzione della campagna sostenuta della DPRK su larga scala per il furto di criptoasset, che il governo degli Stati Uniti ha collegato al finanziamento dei suoi programmi di armamenti.”

I dati preliminari forniti da Arkham indicavano che oltre 250 milioni di dollari erano stati trasferiti dal Drift Protocol a un portafoglio intermedio e quindi smistati verso diversi indirizzi, a conferma della rapidità e complessità della movimentazione.

Rapporti precedenti, tra cui un’analisi di Chainalysis, avevano già segnalato che gruppi collegati alla DPRK hanno accumulato somme ingenti in cripto negli anni recenti, con cifre che raggiungono livelli record in alcuni periodi.

Modalità operative e schema del riciclaggio

Piuttosto che concentrarsi esclusivamente sulla tecnica dell’exploit, l’analisi di Elliptic mette in luce uno schema operativo consolidato: transazioni di prova preliminari, portafogli predisposti e movimenti studiati che precedono l’azione principale.

Elliptic ha scritto:

“L’attività appare premeditata e accuratamente pianificata.”

Dopo l’esecuzione dell’attacco, i fondi vengono rapidamente consolidati, scambiati, bridgati verso altre catene e convertiti in asset più liquidi: un flusso di riciclaggio strutturato e ripetibile pensato per offuscare l’origine degli asset mantenendo comunque il controllo sugli stessi.

Sfide tecniche sulla blockchain Solana

Un’ulteriore complicazione individuata nel rapporto riguarda il modello di account di Solana, in cui ogni token è detenuto in un account separato. Questo può frammentare l’attività legata a un singolo attore su molteplici indirizzi, rendendo difficile ricostruire l’intera operazione senza correlazioni avanzate.

Elliptic ha evidenziato:

“Senza il collegamento tra questi account, gli investigatori rischiano di osservare solo frammenti dell’attività dell’attaccante, non il quadro completo.”

Per superare questa barriera, il report sottolinea l’importanza di tecniche di clustering che ricondurranno i diversi account token a un’unica entità, rendendo così possibile individuare l’esposizione complessiva indipendentemente dall’indirizzo analizzato.

Tracciamento cross‑chain e implicazioni geopolitiche

L’episodio dimostra inoltre come il riciclaggio sia diventato intrinsecamente cross‑chain: i fondi, una volta prelevati da Solana, sono stati trasferiti su Ethereum e altre reti, il che richiede capacità investigative che possano seguire il denaro attraverso ecosistemi differenti.

Elliptic ha dichiarato:

“È necessaria una capacità olistica di tracciamento cross‑chain.”

Le autorità finanziarie hanno ripetutamente avvertito che proventi di attacchi informatici di questo tipo possono essere impiegati per finanziare programmi militari. In particolare, il Dipartimento del Tesoro degli Stati Uniti ha collegato in passato l’uso di asset sottratti con il finanziamento di programmi di armi di distruzione di massa.

L’evento rafforza la necessità di una cooperazione internazionale tra forze dell’ordine, regolatori e provider di servizi blockchain per migliorare strumenti di tracciamento, applicazione delle sanzioni e misure preventive che riducano la vulnerabilità delle piattaforme decentralizzate.

Per i mercati e gli operatori, la lezione è chiara: oltre alla sicurezza del codice e dei protocolli, occorrono procedure di monitoraggio on‑chain avanzate e una migliore condivisione delle informazioni tra attori pubblici e privati per limitare gli impatti finanziari e strategici di attacchi su larga scala.