Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un attacco attribuito al gruppo nordcoreano UNC4736 ha causato perdite fino a 285 milioni di dollari a Drift Protocol. Gli hacker hanno manipolato gli algoritmi di prezzo tramite specifici token falsi e hanno sfruttato tecniche di social engineering per ottenere degli accessi privilegiati. In soli 12 minuti hanno drenato moltissimi fondi reali. Il caso dimostra che la sicurezza del mondo DeFi non dipende solo dal codice, ma anche dai processi, dalla governance e soprattutto dalla fiducia umana.
Drift Protocol ha perso 285 milioni di dollari a seguito di un attacco hacker nordcoreano pianificato per oltre sei mesi. Il gruppo UNC4736 ha condotto un’operazione su vasta scala utilizzando tecniche di ingegneria sociale, instaurando un rapporto di fiducia con i collaboratori del progetto a partire dall’autunno del 2025.
Drift Protocol è una piattaforma DeFi costruita sulla blockchain di Solana, che opera come exchange non custodial in cui i trader mantengono il pieno controllo dei propri fondi. Alla fine del 2024, la piattaforma contava 200.000 trader, con un volume di scambi totale superiore a 55 miliardi di dollari.
Secondo quanto riportato da Drift, i preparativi per l’attacco sono iniziati già l’11 marzo. Gli hacker hanno prelevato 10 ETH da Tornado Cash e hanno utilizzato questi fondi per creare un token completamente fittizio, CarbonVote Token (CVT), con 750 milioni di unità. Sull’exchange decentralizzato Raydium, hanno creato un pool di liquidità, aggiungendovi solo 500 dollari, e nel corso di diverse settimane hanno gonfiato i volumi utilizzando il wash trading (scambi fittizi con se stessi), mantenendo artificialmente il prezzo del CVT intorno a 1 dollaro. Gli oracoli di prezzo di Drift hanno accettato questa cronologia di trading come reale e hanno iniziato a trattare il CVT come un asset legittimo.
Parallelamente, dal 23 al 30 marzo, gli aggressori hanno creato account con nonce durevoli. I nonce durevoli sono un meccanismo legittimo di Solana che consente di firmare una transazione in anticipo ed eseguirla in un secondo momento, aggirando la finestra di scadenza standard (solitamente di 60-90 secondi).
Sfruttando tecniche di ingegneria sociale, gli hacker hanno convinto due dei cinque membri del Consiglio di Sicurezza a firmare transazioni che sembravano di routine, tanto da superare la soglia delle firme multiple.
Un fattore cruciale è stato anche il fatto che il 27 marzo Drift ha effettuato una migrazione programmata del Consiglio di sicurezza e rimosso il blocco temporaneo, un ritardo amministrativo che in genere dà alla community dalle 24 alle 72 ore per rilevare attività sospette.
Il 1° aprile, tutti gli eventi sopra descritti si sono verificati contemporaneamente. Innanzitutto, è stato effettuato un prelievo di prova e, un minuto dopo, gli aggressori hanno lanciato transazioni con nonce durevole pre-firmate e hanno assunto il controllo amministrativo.
Avendo ottenuto privilegi, hanno aggiunto CVT come asset di garanzia accettabile su Drift, hanno innalzato i limiti di prelievo a cifre enormi (500 trilioni, disabilitando di fatto la protezione) e hanno depositato centinaia di milioni di token CVT come garanzia. In base al prezzo falsificato dagli oracoli, questa garanzia appariva preziosa e gli hacker hanno prelevato asset reali, tra cui USDC, JLP e altri token, utilizzando 31 transazioni in soli 12 minuti.
Drift stima le perdite totali intorno ai 280 milioni di dollari, sebbene gli analisti blockchain di PeckShield stimino i danni a 285 milioni di dollari.
Drift sottolinea che non sono state scoperte vulnerabilità negli smart contract o nel codice software della piattaforma e che le frasi di recupero (seed phrase) non sono state compromesse.
I ricercatori di Elliptic e TRM Labs hanno presto collegato l’attacco agli hacker nordcoreani sulla base di indicatori on-chain: l’uso di Tornado Cash, schemi di bridging cross-chain e riciclaggio di denaro rapido, tutti elementi caratteristici dei gruppi nordcoreani.
Gli esperti, con un grado di certezza moderato, attribuiscono la responsabilità di questo incidente a UNC4736 (noto anche come AppleJeus, Citrine Sleet, Golden Chollima e Gleaming Pisces). Questo gruppo di hacker attacca il settore delle criptovalute almeno dal 2018 ed è noto soprattutto per l’ attacco del 2023 alla catena di approvvigionamento di 3CX e per il furto da 53 milioni di dollari ai danni della piattaforma DeFi Radiant Capital nell’ottobre del 2024.
Sono stati inoltre rivelati i dettagli degli attacchi di ingegneria sociale condotti dagli hacker a partire dall’autunno del 2025. Fingendosi dipendenti di una società di trading, gli aggressori hanno contattato i collaboratori di Drift in occasione di importanti conferenze sulle criptovalute. Erano esperti di tecnologia, vantavano un background professionale verificabile ed erano ben informati sulla struttura di Drift. Dopo questa presentazione, le conversazioni sono proseguite su Telegram, con mesi di discussioni dettagliate su strategie di trading e integrazione con il protocollo.
“Le persone che hanno incontrato di persona i nostri collaboratori non erano cittadini nordcoreani”, ha spiegato Drift. “Ma è risaputo che gli hacker nordcoreani che operano a questo livello si avvalgono di intermediari terzi per costruire relazioni personali con le loro vittime.”
Tra dicembre 2025 e gennaio 2026, il gruppo ha implementato il proprio Ecosystem Vault su Drift, ha compilato un modulo strategico e ha contribuito con oltre 1 milione di dollari di fondi propri. Tutto ciò è stato fatto per costruire fiducia e stabilire una presenza all’interno dell’ecosistema. I membri di spicco hanno continuato a comunicare con i contributori fino al momento dell’attacco.
In definitiva, l’indagine ha identificato due potenziali vettori di compromissione. Un collaboratore potrebbe essere stato compromesso dopo aver clonato un repository di codice fornito dagli aggressori. Il progetto Visual Studio Code dannoso utilizzava un file tasks.json con l’opzione runOn:folderOpen, che eseguiva automaticamente il codice dannoso all’apertura del progetto nell’IDE.
Il secondo collaboratore ha installato un portafoglio tramite Apple TestFlight, presumibilmente per i test beta.
L’attacco ha colpito i depositi di prestito/mutuo, i fondi custoditi e i fondi di trading. Tutte le funzioni del protocollo sono attualmente bloccate, sebbene Drift segnali che DSOL non è interessato e il fondo assicurativo è protetto.
Gli sviluppatori stanno collaborando con esperti di sicurezza, piattaforme di scambio di criptovalute e forze dell’ordine per rintracciare e congelare i fondi rubati. Un rapporto più dettagliato sull’incidente verrà pubblicato nei prossimi giorni.
