Il più grande exploit DeFi dell'anno è iniziato a un evento di networking con drink gratuiti — Drift Protocol ha rivelato il 5 aprile che il suo Apr. 1 hack è stato il risultato di un’operazione di intelligence durata sei mesi, ora collegata con una confidenza medio‑alta ad attori affiliati allo Stato nordcoreano.
Dettagli dell’attacco a Drift Protocol
L’infiltrazione è iniziata nell’autunno 2025, quando un gruppo che si spacciava per società di trading quantitativo si è avvicinato ai contributor di Drift durante una grande conferenza crypto. Nei mesi successivi hanno incontrato i membri del team di persona in più eventi del settore in vari Paesi.
Hanno depositato oltre 1 milione di dollari di capitale proprio in un Ecosystem Vault.
Hanno posto domande dettagliate sul prodotto in varie sessioni di lavoro, costruendo quella che sembrava un’operazione di trading legittima all’interno dell’infrastruttura di Drift.
Tra dicembre 2025 e marzo 2026 il gruppo ha approfondito i rapporti tramite integrazioni con i vault e continui incontri di persona alle conferenze. I contributor non avevano motivo di sospettare nulla — al momento dell’exploit, il rapporto durava da quasi mezzo anno e includeva background professionali verificati, conversazioni tecniche sostanziali e una presenza on‑chain funzionante.
Quando l’attacco è scattato il 1° aprile, le chat Telegram del gruppo e il software malevolo erano stati ripuliti. Le analisi forensi hanno individuato due probabili vettori di intrusione: un repository di codice malevolo condiviso con il pretesto di distribuire un frontend per il vault, e un’applicazione TestFlight presentata come wallet del gruppo.
Una vulnerabilità nota negli editor VSCode e Cursor, segnalata attivamente dalla community di sicurezza da dicembre 2025 a febbraio 2026, potrebbe aver consentito l’esecuzione silenziosa di codice semplicemente aprendo un file.
Tutte le restanti funzioni del protocollo sono state congelate e i wallet compromessi rimossi dal multisig. Mandiant è stata incaricata dell’indagine e i wallet degli attaccanti sono stati segnalati presso exchange e operatori di bridge.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Sospetti su attori legati alla Corea del Nord
Le indagini condotte dal team SEALS 911 hanno valutato con confidenza medio‑alta che l’operazione sia stata portata a termine dagli stessi attori dietro l’hack di Radiant Capital dell’ottobre 2024.
Mandiant aveva in precedenza attribuito quell’attacco al gruppo UNC4736, affiliato allo Stato nordcoreano e tracciato anche come AppleJeus o Citrine Sleet.
Il collegamento si basa sia su prove on‑chain sia sui pattern operativi.
I flussi di fondi utilizzati per preparare e testare l’operazione su Drift risalgono agli attaccanti di Radiant, e le identità usate nella campagna si sovrappongono ad attività note collegate alla RPDC. È significativo che le persone apparse di persona non fossero cittadini nordcoreani — gli attori di minaccia della RPDC a questo livello sono noti per usare intermediari terzi per gli incontri faccia a faccia.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline