Il 5 aprile, Drift Protocol (DRIFT) ha pubblicato un aggiornamento dettagliato sull'incidente, rivelando che l'attacco informatico da 285 milioni di dollari avvenuto il 1° aprile è stato il risultato di un'operazione di intelligence durata sei mesi e attribuita ad attori sostenuti dallo stato nordcoreano.
La rivelazione descrive un livello di ingegneria sociale che va ben oltre i tipici tentativi di phishing o le truffe di reclutamento, coinvolgendo incontri di persona, investimenti reali e mesi di costruzione della fiducia.
Una finta società di trading che ha giocato sul lungo termine
Secondo Drift, un gruppo che si spacciava per una società di trading quantitativo si è rivolto per la prima volta ai partecipanti a un'importante conferenza sulle criptovalute nell'autunno del 2025.
Nei mesi successivi, queste persone hanno partecipato a numerosi eventi in diversi paesi, tenuto sessioni di lavoro e mantenuto conversazioni continue su Telegram in merito all'integrazione dei vault.
Seguiteci su X per ricevere le ultime notizie in tempo reale.
Tra dicembre 2025 e gennaio 2026, il gruppo ha attivato un Ecosystem Vault su Drift, ha depositato oltre 1 milione di dollari di capitale e ha partecipato a discussioni approfondite sul prodotto.
Entro marzo, i collaboratori di Drift avevano incontrato queste persone di persona in diverse occasioni.
"…gli hacker più pericolosi non sembrano hacker", ha commentato Gautham, sviluppatore di criptovalute.
Anche gli esperti di sicurezza informatica trovano la cosa preoccupante: la ricercatrice Tay ha dichiarato di essersi inizialmente aspettata una tipica truffa da parte di un reclutatore, ma di aver trovato la portata dell'operazione molto più allarmante.
Come sono stati compromessi i dispositivi
Drift ha identificato tre probabili vettori di attacco:
- Un collaboratore ha clonato un repository di codice condiviso dal gruppo per un'interfaccia utente di Vault.
- Un secondo utente ha scaricato un'applicazione TestFlight presentata come prodotto per portafoglio digitale.
- Per quanto riguarda il vettore del repository, Drift ha indicato una vulnerabilità nota di VSCode e Cursor che i ricercatori di sicurezza avevano segnalato dalla fine del 2025.
Tale falla consentiva l'esecuzione silenziosa di codice arbitrario non appena un file o una cartella venivano aperti nell'editor, senza alcuna interazione da parte dell'utente.
Dopo l' attacco del 1° aprile , gli aggressori hanno eliminato tutte le chat di Telegram e il software dannoso. Da allora, Drift ha bloccato le restanti funzioni del protocollo e rimosso i portafogli compromessi dalla rete multisig.
Il team SEALS 911 ha valutato con un grado di certezza medio-alto che gli stessi autori della minaccia abbiano condotto l'attacco informatico a Radiant Capital nell'ottobre 2024, che Mandiant ha attribuito a UNC4736 .
I flussi di fondi on-chain e le sovrapposizioni operative tra le due campagne confermano tale connessione.
L'industria chiede un ripristino della sicurezza
Armani Ferrante, uno dei principali sviluppatori di Solana, ha invitato tutti i team del settore crypto a sospendere le strategie di crescita e a sottoporre a verifica l'intera infrastruttura di sicurezza.
"Ogni team nel settore delle criptovalute dovrebbe sfruttare questa opportunità per rallentare e concentrarsi sulla sicurezza. Se possibile, dedicate un intero team a questo… non si può crescere se si subisce un attacco informatico", ha affermato Ferrante .
Drift ha osservato che gli individui che si sono presentati di persona non erano cittadini nordcoreani. È noto che gli attori della RPDC a questo livello si avvalgono di intermediari terzi per gli incontri diretti.
Mandiant, a cui Drift si è affidata per l'analisi forense dei dispositivi, non ha ancora formalmente attribuito la responsabilità dell'attacco.
La rivelazione funge da monito per l'intero ecosistema. Drift ha esortato i team a verificare i controlli di accesso, a considerare ogni dispositivo che si connette a una rete multifirma come un potenziale bersaglio e a contattare SEAL 911 in caso di sospetto di attacchi simili.
L'articolo " La rapina da 285 milioni di dollari di Drift Protocol è iniziata con una stretta di mano e 6 mesi di fiducia" è apparso per la prima volta su BeInCrypto .