Hack del Drift Protocol: Un Attacco Terrificante
Il co-fondatore di Solana, Anatoly Yakovenko, ha definito “terrificante” il recente hack del Drift Protocol, avvenuto a causa di un sofisticato attacco di ingegneria sociale orchestrato da hacker nordcoreani.
Dettagli dell’Attacco
Come riportato da U.Today, il Drift Protocol è stato recentemente svuotato di 270 milioni di dollari, segnando il più grande hack mai registrato nell’ecosistema di Solana. Il protocollo ha dovuto sospendere tutti i depositi e prelievi, avvertendo esplicitamente gli utenti che l’incidente non era uno scherzo del pesce d’aprile.
“I malintenzionati dietro questo attacco storico hanno perseguitato fisicamente e ingegnerizzato socialmente gli sviluppatori nella vita reale, dimostrando un’allarmante pazienza e risorse.”
Il Ruolo degli Hacker Nordcoreani
Si sospetta fortemente che l’operazione sia stata condotta da un gruppo di minaccia affiliato allo stato nordcoreano. A partire dalla fine del 2025, intermediari di terze parti (non cittadini nordcoreani) si sono avvicinati fisicamente ai collaboratori di Drift durante importanti conferenze crypto.
Gli attaccanti, che vantavano background professionali verificabili e competenze tecniche, si sono presentati come una società di trading quantitativo in cerca di collaborazioni con il protocollo. Questa falsa società di trading ha onboardato un Ecosystem Vault su Drift tra dicembre 2025 e gennaio 2026, depositando oltre 1 milione di dollari del proprio capitale.
La Strategia degli Attaccanti
Gli attaccanti sono riusciti a mantenere l’illusione per sei mesi, lavorando a stretto contatto con i collaboratori di Drift attraverso numerose sessioni di lavoro e incontri faccia a faccia in varie conferenze internazionali fino a febbraio e marzo 2026. Entro aprile, avevano stabilito con successo una relazione commerciale di fiducia.
I collaboratori di Drift non sospettavano alcun gioco scorretto quando il gruppo condivideva link a progetti che affermavano di stare sviluppando. Un collaboratore ha clonato un repository di codice condiviso dagli attaccanti, il quale conteneva probabilmente una vulnerabilità nota che colpiva gli editor di testo VSCode e Cursor.
Un secondo collaboratore è stato convinto a scaricare una falsa applicazione TestFlight. Gli attaccanti hanno cancellato tutte le loro chat su Telegram e hanno eliminato il software malevolo dopo il successo dell’exploit.
