Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Furto Record su Drift: 285 milioni svaniti dopo 6 mesi di social engineering legato alla Corea del Nord
Il maxi furto da 285 milioni di dollari che ha colpito Drift, exchange decentralizzato basato su Solana, viene ricondotto a una lunga operazione di social engineering durata circa sei mesi e avviata nell’autunno 2025. L’attacco, avvenuto il primo aprile 2026, non sarebbe stato un evento improvviso ma il risultato di una campagna mirata e meticolosamente pianificata, attribuita con confidenza media a un gruppo di hacker legato alla Corea del Nord noto come UNC4736, già associato a diverse intrusioni nel settore crypto.
Secondo la ricostruzione, gli aggressori avrebbero costruito un rapporto di fiducia con specifici contributor di Drift incontrandoli di persona durante importanti conferenze internazionali sulle criptovalute. Un elemento chiave è che le persone viste dal vivo non sarebbero state cittadini nordcoreani, ma intermediari di terze parti incaricati di gestire la fase relazionale. Il gruppo si presentava come società di trading quantitativo interessata a integrare strategie e vault nel protocollo. Dopo il primo contatto, la conversazione si è spostata su Telegram e si è protratta per mesi con scambi credibili su strategie di trading, onboarding e integrazioni.
Tra dicembre 2025 e gennaio 2026 gli attori malevoli avrebbero anche avviato un Ecosystem Vault, depositando oltre un milione di dollari per rendere la presenza credibile e operativa all’interno dell’ecosistema Drift. Nei mesi successivi sarebbero stati condivisi link a strumenti e progetti in sviluppo, potenzialmente usati come vettori di infezione. In prossimità dell’hack, chat e software sospetti risultavano eliminati, complicando l’analisi forense.
Vettori di attacco ipotizzati
- Compromissione tramite repository malevolo (Visual Studio Code): compromissione di un contributor tramite clonazione di un repository contenente un progetto malevolo per Visual Studio Code. In questo scenario viene abusato il file tasks.json con l’opzione runOn folderOpen per eseguire codice dannoso all’apertura del progetto nell’IDE.
- Wallet in beta via Apple TestFlight: download di un wallet in beta tramite Apple TestFlight, installato su richiesta per testare l’applicazione.
Il caso Drift conferma come la sicurezza nel mondo DeFi e criptovalute dipenda sempre più dalla protezione dei processi umani e di sviluppo, oltre che dai controlli on chain e cloud, inclusi IAM e risorse in ambienti cloud.