Il più grande exploit DeFi dell'anno è iniziato a un evento di networking con drink offerti — Drift Protocol ha rivelato il 5 aprile che il suo Apr. 1 hack è stato il risultato di un'operazione di intelligence durata sei mesi, ora collegata con fiducia medio-alta ad attori affiliati allo Stato nordcoreano.
Dettagli dell'attacco a Drift Protocol
L'infiltrazione è iniziata nell'autunno 2025, quando un gruppo che si spacciava per società di trading quantitativo si è avvicinato ai contributor di Drift durante una grande conferenza crypto. Nei mesi successivi, hanno incontrato i membri del team di persona in più eventi del settore in diversi paesi.
Hanno depositato oltre 1 milione di dollari di capitale proprio in un Ecosystem Vault.
Hanno posto domande dettagliate sul prodotto in molteplici sessioni di lavoro, costruendo quella che sembrava un'operazione di trading legittima all'interno dell'infrastruttura di Drift.
Tra dicembre 2025 e marzo 2026, il gruppo ha approfondito i legami tramite integrazioni con i vault e ha continuato gli incontri di persona alle conferenze. I contributor non avevano motivo di sospettare nulla — al momento dell'exploit, la relazione durava quasi sei mesi e includeva background professionali verificati, conversazioni tecniche sostanziali e una presenza on-chain funzionante.
Quando l'attacco è avvenuto il 1° aprile, le chat su Telegram del gruppo e il software malevolo erano stati completamente ripuliti. L'analisi forense ha identificato due probabili vettori di intrusione: un repository di codice malevolo condiviso con il pretesto di distribuire un frontend per il vault e un'applicazione TestFlight presentata come il wallet del gruppo.
Una vulnerabilità nota negli editor VSCode e Cursor, segnalata attivamente dalla community di sicurezza da dicembre 2025 a febbraio 2026, potrebbe aver consentito l'esecuzione silenziosa di codice semplicemente aprendo un file.
Tutte le restanti funzioni del protocollo sono state congelate e i wallet compromessi sono stati rimossi dal multisig. Mandiant è stata ingaggiata per l'indagine e i wallet degli attaccanti sono stati segnalati su exchange e operatori di bridge.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Sospetti su attori legati alla Corea del Nord
Le indagini condotte dal team SEALS 911 hanno valutato con fiducia medio-alta che l'operazione sia stata portata avanti dagli stessi attori della minaccia responsabili dell'hack di Radiant Capital dell'ottobre 2024.
Mandiant ha precedentemente attribuito quell'attacco a UNC4736, un gruppo affiliato allo Stato nordcoreano noto anche come AppleJeus o Citrine Sleet.
Il collegamento si basa sia su prove on-chain che su modelli operativi.
I flussi di fondi utilizzati per preparare e testare l'operazione su Drift risalgono agli attaccanti di Radiant, e le identità utilizzate lungo tutta la campagna si sovrappongono ad attività note collegate alla DPRK. È significativo che le persone apparse di persona non fossero cittadini nordcoreani — è noto che gli attori della minaccia della DPRK a questo livello usano intermediari terzi per i contatti faccia a faccia.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline