Drift: attacco da 270 milioni di dollari smascherato come operazione di intelligence della Corea del Nord durata sei mesi

Un’operazione di intelligence durata sei mesi ha preceduto lo sfruttamento da $270 milioni ai danni del Drift Protocol, eseguita da un gruppo affiliato allo stato nordcoreano, secondo un aggiornamento dettagliato sulla vicenda pubblicato dal team coinvolto.

Origine del contatto e integrazione nell’ecosistema

L’infiltrazione cominciò con un primo contatto in autunno 2025 durante una grande conferenza del settore crypto, quando i malintenzionati si presentarono come una società di trading quantitativo interessata a integrarsi con il Drift. Il gruppo mostrò competenze tecniche, curricula professionali verificabili e una chiara comprensione del funzionamento del protocollo.

Fu creato un canale su Telegram e nei mesi successivi si svolsero conversazioni sostanziali su strategie di trading e integrazioni con i vault, pratiche tipiche del processo di onboarding per firme di trading in ambito DeFi. Tra dicembre 2025 e gennaio 2026 il gruppo onboardò un Ecosystem Vault su Drift, partecipò a più sessioni di lavoro con i contributori, depositò oltre $1 milione di capitale proprio e stabilì una presenza operativa funzionante all’interno dell’ecosistema.

I contributori di Drift incontrarono membri del gruppo di persona in diverse grandi conferenze del settore, in più paesi, fino a febbraio e marzo. Al lancio dell’attacco il 1° aprile, il rapporto tra le parti era quindi vicino ai sei mesi di sviluppo e fiducia reciproca.

Vettori di compromissione individuati

La compromissione è avvenuta attraverso almeno due vettori distinti. Il primo riguardava il repository di codice: gli investigatori hanno indicato una vulnerabilità nota in VSCode e Cursor, editor ampiamente usati nello sviluppo software, che già dalla fine del 2025 era oggetto di segnalazioni da parte della comunità della sicurezza. In questo scenario, l’apertura di un file o di una cartella poteva innescare l’esecuzione silente di codice arbitrario senza alcuna richiesta di conferma.

Il secondo vettore prevedeva il download di un’app distribuita tramite TestFlight, la piattaforma di Apple per la distribuzione di versioni pre-release che aggira la revisione dell’App Store. Il gruppo la presentò come il proprio prodotto wallet, ottenendo così l’accesso a dispositivi chiave.

Meccanica dell’attacco e dinamica del prelievo

Una volta compromessi i dispositivi, gli aggressori ottennero le approvazioni necessarie da due firmatari di multisig, permettendo l’esecuzione di una tecnica basata su nonce persistenti che portò all’esecuzione di transazioni pre‑firmate. Queste transazioni, firmate in anticipo, rimasero inattive per più di una settimana prima di essere attivate il 1° aprile, svuotando i vault del protocollo per un importo complessivo di $270 milioni in meno di un minuto.

Attribuzione e indicatori operativi

L’attribuzione punta a UNC4736, noto anche con gli alias AppleJeus e Citrine Sleet, sulla base di flussi di fondi on‑chain che riconducono a precedenti attacchi collegati a Radiant Capital e per sovrapposizioni operative con profili legati alla Repubblica Popolare Democratica di Corea (DPRK).

Gli individui incontrati di persona nelle conferenze non risultano essere cittadini nordcoreani: è prassi per operatori a questo livello impiegare intermediari terzi con identità costruite ad arte, storie lavorative e reti professionali sufficienti a superare controlli di due diligence.

Conseguenze per il modello di sicurezza basato su multisig

L’incidente solleva interrogativi significativi sul modello di sicurezza predominante nella DeFi, basato su multisig e governance collettiva. Se gruppi ostili possono impiegare mesi e investire capitali reali per costruire una presenza credibile dentro un ecosistema, partecipare a eventi dal vivo e attendere il momento opportuno, la resilienza di questo modello viene messa a dura prova.

La raccomandazione principale avanzata dai responsabili del protocollo è stata quella di verificare rigorosamente i controlli di accesso e considerare ogni dispositivo che tocca un multisig come un possibile punto di attacco. Questo richiede non solo audit tecnici, ma anche processi di gestione delle identità e pratiche di sicurezza fisica e operativa più stringenti.

Misure preventive e opzioni di difesa

Tra le contromisure pratiche suggerite dagli esperti figurano l’adozione diffusa di signing su dispositivi hardware isolati, la diversificazione geografica e giurisdizionale dei firmatari, l’implementazione di policy che limitino la possibilità di esecuzione di transazioni pre‑firmate e l’uso di controlli di integrità software per gli editor di codice.

Ulteriori strumenti utili includono monitoraggio on‑chain avanzato per individuare flussi sospetti, sistemi di allerta per transazioni anomale e procedure che rendano più costoso e visibile il processo di infiltrazione sociale, come verifiche incrociate rafforzate per nuovi contributori e per proposte di integrazione.

Implicazioni istituzionali e regolatorie

L’attacco evidenzia anche implicazioni più ampie sul piano istituzionale: autorità di vigilanza e operatori del settore dovranno valutare misure coordinate per mitigare rischi sistemici legati a grandi exploit, mentre i fornitori di infrastrutture software hanno l’obbligo di rispondere tempestivamente a vulnerabilità che possono essere sfruttate per compromessi su larga scala.

Per il settore DeFi, la sfida è bilanciare apertura e interoperabilità con pratiche di sicurezza che riducano la superficie di attacco senza soffocare l’innovazione. Questo richiederà collaborazioni tra progetti, audit indipendenti e, dove opportuno, interventi regolatori mirati a rafforzare i requisiti operativi per chi detiene privilegi di firma.

Conclusione e raccomandazioni finali

Drift ha invitato gli altri protocolli a eseguire audit approfonditi sui controlli d’accesso e a trattare ogni dispositivo collegato a un multisig come un potenziale vettore di compromissione. L’episodio sottolinea la necessità, per l’intero ecosistema, di ripensare pratiche operative e modelli di sicurezza alla luce di avversari disposti a operare con pazienza, capitali e coperture credibili.