Un avvocato: Drift Protocol potrebbe dover risarcire i danni dopo l’attacco

L’hack ai danni della piattaforma DeFi basata su Solana, Drift Protocol, che ha portato alla sottrazione di circa 280 milioni di dollari, avrebbe potuto essere evitato se fossero state rispettate le procedure operative di sicurezza standard, e potrebbe configurare una responsabilità per “negligenza civile”, secondo l’avvocata Ariel Givner.

Ariel Givner ha detto:

“In termini semplici, la negligenza civile significa che hanno mancato il loro dovere fondamentale di proteggere i fondi che gestivano.”

Secondo l’analisi della legale, il team di Drift Protocol non ha seguito pratiche basilari di sicurezza: non ha mantenuto le chiavi di firma su sistemi separati e air-gapped esclusi dal lavoro quotidiano degli sviluppatori, non ha effettuato la necessaria due diligence sugli sviluppatori blockchain incontrati in contesti pubblici e ha consentito l’uso di dispositivi collegati ai controlli multisignature per attività potenzialmente rischiose.

Ariel Givner ha detto:

“Ogni progetto serio conosce queste regole. Drift non le ha seguite.”

Ariel Givner ha detto:

“Sapevano che il mondo crypto è pieno di hacker, in particolare di gruppi con legami statali. Eppure il loro team ha passato mesi a chattare su Telegram, incontrare persone sconosciute in conferenze, aprire repository di codice sospetti e scaricare app ingannevoli su dispositivi collegati ai controlli multisignature.”

In seguito alla compromissione, sono già comparse inserzioni che promuovono azioni collettive (class action) contro il protocollo. L’episodio sottolinea come la social engineering e l’infiltrazione diretta dei progetti rappresentino vettori d’attacco primari per il furto di fondi e per l’erosione della fiducia degli utenti nelle piattaforme compromesse.

Dettagli sull’attacco

Il team di Drift Protocol ha pubblicato un aggiornamento in cui descrive la dinamica dell’exploit, sostenendo che gli aggressori hanno pianificato l’operazione per diversi mesi prima dell’esecuzione. Secondo la ricostruzione, gli attori malevoli si sono avvicinati al team in occasione di una conferenza importante del settore, iniziando a presentarsi come potenziali partner per integrazioni e collaborazioni.

Nelle settimane successive, i malintenzionati hanno costruito un rapporto di fiducia con alcuni sviluppatori del progetto. Una volta guadagnata la confidenza, hanno iniziato a inviare link dannosi e a distribuire codice malevolo in grado di compromettere le macchine degli sviluppatori, consentendo così l’acquisizione di credenziali e chiavi operative.

Il team di Drift ha inoltre indicato, con grado di confidenza medio-alto, che gli stessi attori potrebbero essere responsabili dell’attacco subito da Radiant Capital nell’ottobre 2024. Sempre secondo la versione del progetto, alcuni degli individui coinvolti si sarebbero presentati di persona agli sviluppatori ma non sarebbero cittadini della Corea del Nord.

Implicazioni legali e operative

La qualificazione dell’evento come possibile negligenza civile apre potenziali scenari legali: azioni risarcitorie da parte degli utenti, indagini da parte di autorità regolatorie e richieste di risarcimento collettivo. Sul piano operativo, incidenti di questa entità attirano l’attenzione delle istituzioni di vigilanza, che possono richiedere misure di compliance più stringenti per i protocolli decentralizzati che gestiscono capitali rilevanti.

Per l’ecosistema DeFi in generale, il caso evidenzia rischi sistemici legati alla gestione delle chiavi, alla governance dei protocolli e ai processi di verifica dei collaboratori esterni. La perdita di fiducia degli utenti può tradursi in deflussi di capitale duraturi e in una maggiore propensione delle autorità a intervenire con regolamentazioni specifiche.

Misure correttive consigliate

Le raccomandazioni operative e di governance per ridurre il rischio di eventi simili comprendono, tra le altre cose:

– adottare pratiche di gestione delle chiavi che prevedano dispositivi air-gapped dedicati esclusivamente alla firma delle transazioni;

– rafforzare gli schemi di multisignature con hardware wallet e controlli di segregazione dei compiti;

– implementare valutazioni di sicurezza e due diligence approfondite per sviluppatori, collaboratori e contractor incontrati in contesti pubblici;

– eseguire audit di codice indipendenti, monitoraggio continuo delle build e politiche di controllo degli accessi basate sul principio del minimo privilegio;

– avviare programmi di formazione sulla sicurezza per il personale tecnico focalizzati su social engineering e riconoscimento di indicatori di compromissione;

– predisporre piani di risposta agli incidenti, compresa una comunicazione trasparente verso gli utenti, procedure di rotazione delle chiavi e indagini forensi condotte da terze parti.

Conclusioni

Il caso di Drift Protocol sottolinea la necessità, per i progetti che operano nell’ambito delle criptovalute, di adottare standard di sicurezza maturi e pratiche di governance solide. Oltre all’immediata risposta tecnica, la vicenda avrà probabilmente ripercussioni legali e regolamentari che richiederanno maggiore attenzione da parte di sviluppatori, investitori e autorità competenti.