Drift afferma che l’exploit da 270 milioni di dollari è stata un’operazione di intelligence nordcoreana durata sei mesi

Un’operazione di intelligence della durata di sei mesi ha preceduto l’attacco da 270 milioni di dollari al Drift Protocol ed è stata condotta da un gruppo affiliato allo Stato nordcoreano, secondo un aggiornamento dettagliato sull'incidente pubblicato dal team in precedenza domenica.

Gli attaccanti hanno preso contatto per la prima volta intorno all'autunno 2025 durante una grande conferenza crypto, presentandosi come una società di trading quantitativo interessata a integrarsi con Drift.

Erano tecnicamente competenti, avevano curricula professionali verificabili e comprendevano il funzionamento del protocollo, ha dichiarato Drift. È stato creato un gruppo Telegram e ciò che seguì furono mesi di conversazioni approfondite riguardanti strategie di trading e integrazioni di vault, interazioni che rappresentano la norma per il modo in cui le società di trading si avvicinano ai protocolli DeFi.

Tra dicembre 2025 e gennaio 2026, il gruppo ha istituito un Ecosystem Vault su Drift, ha tenuto diverse sessioni di lavoro con i collaboratori, ha depositato oltre 1 milione di dollari di capitale proprio e ha costruito una presenza operativa funzionante all’interno dell’ecosistema.

I collaboratori di Drift hanno incontrato di persona i membri del gruppo in numerose conferenze di settore di rilievo in diversi paesi durante febbraio e marzo. Al momento del lancio dell'attacco, avvenuto il 1° aprile, il rapporto aveva ormai quasi sei mesi.

La compromissione sembra essere avvenuta attraverso due vettori.

Un secondo ha scaricato un'applicazione TestFlight, la piattaforma di Apple per la distribuzione di app pre-release che bypassa la revisione di sicurezza dell'App Store, che il gruppo ha presentato come il loro prodotto wallet.

Per il repository vector, Drift ha evidenziato una vulnerabilità nota in VSCode e Cursor, due degli editor di codice più utilizzati nello sviluppo software, che la comunità della sicurezza aveva segnalato fin dalla fine del 2025, in cui era sufficiente aprire semplicemente un file o una cartella nell'editor per eseguire silenziosamente codice arbitrario senza alcun prompt o avviso di alcun tipo.

Una volta compromessi i dispositivi, gli aggressori hanno ottenuto ciò di cui avevano bisogno per acquisire le due approvazioni multisig che hanno consentito l'attacco con nonce durevole descritto da CoinDesk all'inizio di questa settimana. Quelle transazioni pre-firmate sono rimaste inattive per oltre una settimana prima di essere eseguite il 1° aprile, prosciugando 270 milioni di dollari dalle casse del protocollo in meno di un minuto.

L'attribuzione punta a UNC4736, un gruppo affiliato allo stato nordcoreano, noto anche come AppleJeus o Citrine Sleet, sulla base sia dei flussi di fondi on-chain che risalgono agli aggressori di Radiant Capital sia della sovrapposizione operativa con persone note collegate alla DPRK.

Le persone che si sono presentate di persona alle conferenze non erano tuttavia cittadini nordcoreani. Gli attori di minaccia della DPRK a questo livello sono noti per impiegare intermediari terzi con identità completamente costruite, storie lavorative e reti professionali create per resistere ai controlli di due diligence.

Drift ha esortato altri protocolli a verificare i controlli di accesso e a considerare ogni dispositivo che interagisce con una multisig come un potenziale obiettivo. L'implicazione più ampia è scomoda per un settore che si basa sulla governance multisig come principale modello di sicurezza.

Ma se gli aggressori sono disposti a spendere sei mesi e un milione di dollari per costruire una presenza legittima all'interno di un ecosistema, incontrare i team di persona, contribuire con capitale reale e attendere, la domanda è quale modello di sicurezza sia progettato per individuare ciò.