Gli hacker nordcoreani probabilmente responsabili dell’exploit da 286 milioni di dollari su Drift Protocol: Elliptic

Elliptic ha dichiarato giovedì che il Drift Protocol da 285 milioni di dollari l’exploit, il più grande di quest’anno, presenta “molteplici indicatori” del coinvolgimento del gruppo di hacker sponsorizzato dallo stato della DPRK della Corea del Nord.

La società di ricerca ha indicato specificamente il comportamento onchain, le metodologie di riciclaggio e i segnali a livello di rete, tutti elementi che si allineano con attacchi precedenti collegati a stati nazionali.

Drift Protocol, il cui token è sceso di oltre il 40% arrivando a circa 0,06 $ dalla data dell'hack, è la più grande piattaforma decentralizzata di futures perpetui sulla blockchain di Solana.

“Se confermato, questo incidente rappresenterebbe il diciottesimo atto della DPRK che Elliptic ha monitorato quest'anno, con oltre 300 milioni di dollari sottratti finora,” si legge nel rapporto.

“Si tratta di una continuazione della campagna sostenuta della DPRK di furto su larga scala di criptoattivi, che il governo degli Stati Uniti ha collegato al finanziamento dei suoi programmi di armi. Gli attori legati alla DPRK sono ritenuti responsabili di furti di criptoattivi per miliardi di dollari negli ultimi anni,” ha aggiunto Elliptic.

Ore prima, I dati di Arkham hanno mostrato che oltre 250 milioni di dollari era stato trasferito da Drift a un wallet provvisorio, quindi a vari altri indirizzi.

A dicembre, un Il rapporto di Chainalysis ha rivelato Gli hacker della DPRK hanno rubato un record di 2 miliardi di dollari in criptovalute nel 2025, inclusa la violazione da 1,4 miliardi di dollari su Bybit, rappresentando un aumento del 51% rispetto all'anno precedente. Il Dipartimento del Tesoro degli Stati Uniti il mese scorso ha dichiarato che la Corea del Nord utilizza gli asset rubati per finanziare il programma di armi di distruzione di massa del paese.

Piuttosto che concentrarsi sull'exploit in sé, l'analisi di Elliptic evidenzia un modello operativo noto. L'attività appare «premeditata e attentamente pianificata», con transazioni di prova iniziali e wallet preposizionati che precedono l'evento principale.

Il rapporto spiega che, una volta eseguite, le somme sono state rapidamente consolidate e scambiate, trasferite tramite ponte tra diverse blockchain e convertite in asset più liquidi, riflettendo un flusso di riciclaggio strutturato e ripetibile progettato per oscurarne l'origine mantenendo al contempo il controllo.

Una sfida centrale, osserva Elliptic, è il modello di conto di Solana. Poiché ogni asset è detenuto in un conto token separato, l'attività legata a un singolo attore può apparire frammentata su più indirizzi. Senza collegarli, gli investigatori rischiano di vedere “frammenti dell'attività dell'attaccante, non l'intero quadro.”

Questo è il punto in cui il rapporto di Elliptic evidenzia l'approccio di clustering, che collega gli account token a una singola entità, consentendo di identificare l'esposizione indipendentemente dall'indirizzo analizzato. In un incidente che coinvolge più di una dozzina di tipi di asset, questa visione a livello di entità diventa cruciale.

Il caso sottolinea inoltre, aggiunge Elliptic nel suo rapporto, come il riciclaggio sia diventato intrinsecamente cross-chain. I fondi sono stati trasferiti da Solana a Ethereum e oltre, dimostrando la necessità di quelle che Elliptic ha definito “capacità olistiche di tracciamento cross-chain.”