Il protocollo Drift su Solana ha subito un furto di 285 milioni di dollari in asset digitali, attribuito da TRM Labs ed Elliptic a gruppi legati alla Corea del Nord. L’operazione è il risultato di sei mesi di ingegneria sociale, durante i quali gli aggressori hanno infiltrato il team spacciandosi per rappresentanti di una società di trading. L’attacco finale, durato 12 minuti il 1° aprile 2026, è stato reso possibile dalla manipolazione del sistema di firme multi-sig (ridotte da 5 a 2) e dalla creazione di 750 milioni di token falsi (CVT) usati come collaterale fraudolento. Le indagini suggeriscono che le chiavi private siano state compromesse tramite repository di codice infetti (VSCode/Cursor) e app malevole distribuite via TestFlight.
Il protocollo Drift, piattaforma per il trading di futures perpetui su Solana, è stato colpito da un attacco informatico che ha sottratto circa 285 milioni di dollari in asset digitali. L’operazione si è consumata in appena 12 minuti il primo aprile, ma sarebbe stata preparata attraverso sei mesi di infiltrazione e contatti diretti con i membri del team. Due società specializzate nel tracciamento blockchain, TRM Labs ed Elliptic, hanno collegato l’attacco a gruppi criminali affiliati al regime nordcoreano.
Come si è svolta l’operazione
L’attacco ha avuto inizio a metà marzo 2026. Gli aggressori hanno utilizzato Tornado Cash, un servizio di mixing, per nascondere il movimento iniziale di fondi e preparare account speciali che consentivano di impostare transazioni in anticipo. Il 27 marzo, il team di sicurezza di Drift ha modificato il sistema di approvazione delle operazioni critiche, riducendo a due su cinque il numero di firmatari necessari ed eliminando i tempi di attesa che avrebbero potuto generare allerte.
A quel punto, gli hacker hanno creato 750 milioni di token fasulli chiamati CarbonVote Token (CVT) e manipolato l’attività di trading in modo che gli strumenti di verifica dei prezzi della piattaforma li considerassero asset legittimi e ad alto valore. Questi token sono stati utilizzati come collaterale per autorizzare prelievi massicci di risorse reali.
Il primo aprile, le transazioni preparate sono state eseguite in rapida sequenza: aggiunta del token falso al sistema, innalzamento dei limiti di prestito, immissione di centinaia di milioni di CVT e drenaggio di asset autentici attraverso 31 prelievi veloci. Il bottino è stato convertito in USDC su un exchange di Solana e spostato sulla rete Ethereum per coprire le tracce.
Sei mesi di preparazione e contatti diretti
Secondo il rapporto pubblicato dal team di Drift, l’operazione sarebbe iniziata nell’autunno 2025. Alcune persone, presentatesi come rappresentanti di una società di trading quantitativo, avrebbero avvicinato i contributor di Drift durante una conferenza crypto. I contatti sono proseguiti di persona in eventi organizzati in diversi paesi, attraverso un gruppo Telegram in cui venivano discusse strategie di trading dettagliate e integrazioni con vault.
Il gruppo ha persino depositato oltre un milione di dollari in un Ecosystem Vault del protocollo, simulando un comportamento del tutto coerente con quello di controparti legittime. Dopo l’attacco, ogni traccia delle conversazioni e dei software condivisi è stata cancellata.
Le analisi forensi hanno identificato tre possibili vettori di compromissione delle chiavi private: il primo riguarda un contributor che avrebbe clonato un repository di codice sfruttando una vulnerabilità nota di VSCode o Cursor, capace di eseguire codice arbitrario in modo silenzioso. Un secondo membro del team sarebbe stato convinto a scaricare un’app tramite TestFlight, presentata come prodotto wallet della presunta società. Un terzo vettore è ancora sotto esame da parte delle autorità.
Responsabilità e questioni di sicurezza
L’attribuzione dell’attacco agli attori nordcoreani è stata effettuata con un livello di confidenza medio-alto dal team SEAL 911, che ha collegato l’operazione agli stessi gruppi responsabili dell’hack a Radiant Capital nell’ottobre 2024. Gli individui incontrati di persona non erano cittadini nordcoreani, ma intermediari di terze parti, tattica coerente con il modus operandi del regime di Pyongyang.
Diversi osservatori hanno sollevato dubbi sulla gestione della sicurezza da parte del team di Drift. Alcuni si sono chiesti come sia stato possibile permettere il download di applicazioni non verificate su hardware collegato a sistemi di firma multi-signature che gestivano centinaia di milioni di dollari. Altri hanno evidenziato la mancanza di compartimentazione tra ambienti di sviluppo e chiavi di firma, sostenendo che le misure basilari di sicurezza operativa avrebbero dovuto impedire la violazione.
L’avvocato specializzato in crypto Ariel Givner ha commentato che la vicenda potrebbe configurare un caso di negligenza civile. Allo stesso tempo, ricercatori di sicurezza hanno avvertito che un’operazione di intelligence di questa portata suggerisce che campagne simili potrebbero già essere in corso contro altri progetti.
Un metodo collaudato per finanziare il regime
La Corea del Nord utilizza il furto di criptovalute come meccanismo di finanziamento da diversi anni. Tra gli episodi più noti figurano il drenaggio della Ronin Network nel 2022, che ha fruttato oltre 600 milioni di dollari, e numerosi attacchi a exchange centralizzati. Nel 2025, secondo un rapporto di Chainalysis, gli hacker del regime hanno stabilito un nuovo record annuale sottraendo 2,02 miliardi di dollari.
La combinazione di collaborazione remota, posta in gioco elevata e strumenti di offuscamento delle tracce crea condizioni favorevoli per gruppi determinati e sofisticati, inclusi quelli legati a servizi di intelligence statali. Quando in gioco ci sono centinaia di milioni o miliardi di dollari, gli attori sono disposti a investire mesi di preparazione per costruire fiducia prima di colpire. I dati indicano inoltre che l’uso criminale delle criptovalute è in crescita, con trasferimenti illeciti e attacchi fisici a detentori noti che hanno raggiunto nuovi massimi storici.
