Sfruttamento di Drift Protocol: mesi di preparazione deliberata dietro l’attacco

Il>Drift Protocol, uno scambio decentralizzato di criptovalute (DEX), ha reso noto che l’attacco subito è stato il frutto di un’operazione pianificata e coordinata che si è protratta per circa sei mesi e che ha richiesto risorse organizzative significative.

Indagine preliminare

Drift Protocol ha dichiarato:

“L’indagine preliminare mostra che Drift ha subito un’operazione di intelligence strutturata che ha richiesto supporto organizzativo, risorse importanti e mesi di preparazione deliberata.”

Cronologia e modalità dell’attacco

Secondo quanto comunicato dalla piattaforma, l’intrusione è stata rilevata mercoledì e le stime esterne indicano perdite dell’ordine di circa 280 milioni di dollari. L’analisi ricostruisce una lunga fase preparatoria iniziata intorno a ottobre 2025, quando individui che si presentavano come una società di trading quantitativo hanno avvicinato contributori di Drift Protocol durante un importante convegno del settore.

Nei sei mesi successivi, questi soggetti avrebbero continuato a cercare e coltivare contatti con specifici contributori in occasione di più eventi di settore. Dopo aver guadagnato fiducia e accessi progressivi alla piattaforma, avrebbero impiegato link e strumenti malevoli condivisi per compromettere dispositivi, eseguire l’exploit e quindi cancellare rapidamente le tracce della loro presenza.

Drift Protocol ha aggiunto:

“Si è compreso che si tratta di un approccio mirato, in cui individui del gruppo hanno continuato a cercare deliberatamente e coinvolgere specifici contributori di Drift. Erano tecnicamente preparati, con esperienze professionali verificabili e familiari con il funzionamento di Drift.”

Collegamento con l’attacco a Radiant Capital

La società ha riferito con un livello di fiducia medio-alto che gli stessi attori potrebbero essere responsabili anche dell’exploit che ha colpito Radiant Capital nell’ottobre 2024. In quel caso, l’intrusione era stata ricondotta all’uso di malware distribuito tramite file condivisi su Telegram, dove l’autore si era spacciato per un ex-contraente per ottenere fiducia e collaborazione.

Nel caso di Radiant Capital il vettore individuato era un file ZIP che, una volta condiviso per ricevere feedback da altri sviluppatori, ha veicolato il codice malevolo che ha agevolato l’intrusione successiva. Drift Protocol ha sottolineato che, benché gli intermediari apparsi di persona non fossero cittadini della Corea del Nord, gruppi legati alla DPRK sono noti per impiegare terze parti per attività di relazione faccia a faccia.

Drift Protocol ha dichiarato:

“È importante notare che le persone che si presentavano di persona non erano cittadini della Corea del Nord.”

Cooperazione con le autorità e ricostruzione dell’accaduto

La piattaforma ha affermato di collaborare con forze dell’ordine e altri attori del settore per ricostruire compiutamente gli eventi del 1° aprile e identificare responsabilità e modalità operative degli aggressori. L’indagine punta anche a chiarire come siano stati ottenuti accessi sensibili e quali misure di mitigazione siano necessarie per limitare rischi analoghi in futuro.

Drift Protocol ha inoltre osservato:

“Gli attori della DPRK che operano a questo livello sono noti per impiegare intermediari terzi per costruire rapporti di persona.”

Implicazioni per il settore cripto

L’incidente evidenzia la vulnerabilità delle infrastrutture decentralizzate quando vettori umani e tecnici si combinano: conferenze e incontri dal vivo possono trasformarsi in opportunità per operatori ostili che perseguono attività di ingegneria sociale. Per i DEX e gli altri protocolli decentralizzati diventa quindi cruciale rafforzare procedure di sicurezza delle identità, controlli sugli accessi e pratiche di verifica per aggiornamenti e condivisione di codice.

Tra le azioni consigliate per ridurre il rischio: separazione rigorosa degli ambienti di sviluppo, utilizzo di canali verificati per la condivisione di artefatti, formazione specifica del personale sui rischi dell’ingegneria sociale e controllo delle sessioni remote su dispositivi sensibili. Le autorità competenti e la comunità di settore sono chiamate a collaborare per migliorare intelligence condivisa e misure preventive.

Le indagini proseguono e ulteriori dettagli saranno resi disponibili non appena verranno verificati. Nel frattempo, Drift Protocol invita i partecipanti alla filiera cripto a mantenere elevata la prudenza nelle interazioni professionali, soprattutto durante eventi in presenza.