L'Attacco al Drift Espone una Nuova Era di Guerra Cibernetica Sostenuta dallo Stato

Quello che inizialmente sembrava un altro exploit DeFi si è ora trasformato in qualcosa di molto più serio. L'attacco al Drift Protocol all'inizio di aprile 2026 è sempre più considerato dagli investigatori come un'operazione cibernetica coordinata a livello statale, con forti indicatori che puntano verso attori legati alla Corea del Nord. La scala, la pianificazione e l'esecuzione separano questo incidente dagli hack di routine e lo collocano tra i più sofisticati attacchi cibernetici finanziari visti nello spazio crypto.
Circa 280 milioni di dollari a 285 milioni di dollari sono stati drenati dalla piattaforma in pochi secondi, ma l'operazione effettiva è iniziata settimane prima. Aziende di intelligence blockchain come TRM Labs ed Elliptic hanno osservato attività insolite nei portafogli risalenti a metà marzo, dove gli attaccanti hanno costruito silenziosamente infrastrutture, testato transazioni e simulato comportamenti normali degli utenti. Questo tipo di preparazione non è tipico degli hacker opportunisti. Riflette pazienza, disciplina e un chiaro obiettivo a lungo termine: tratti comunemente associati a gruppi di minaccia persistente avanzata.
Invece di sfruttare un semplice bug nel codice, gli attaccanti si sono concentrati su qualcosa di molto più sottile: la fiducia umana. Drift si basava su un sistema di governance multisignatura che richiedeva due approvazioni su cinque. Gli investigatori credono che gli attaccanti abbiano utilizzato tattiche di ingegneria sociale per manipolare o compromettere firmatari chiave, ottenendo infine l'approvazione per modifiche dannose senza suscitare immediata sospetto. Questo approccio evidenzia un crescente cambiamento negli attacchi informatici, dove sfruttare le persone è spesso più facile ed efficace che sfruttare il software.
Una volta assicurato l'accesso, una debolezza critica nel design del sistema ha permesso agli attaccanti di muoversi istantaneamente. Un timelock a zero ritardo significava che non appena le approvazioni venivano concesse, le modifiche potevano essere eseguite senza alcun periodo di buffer. Questo ha dato agli attaccanti la capacità di alterare i parametri del protocollo, indebolire le protezioni e preparare il sistema per l'estrazione prima che qualcuno potesse intervenire.
Una delle parti tecnicamente più avanzate dell'attacco ha coinvolto la creazione di un asset falso noto come CarbonVote Token (CVT). Manipolando i sistemi oracolo, gli attaccanti hanno gonfiato il valore del token a centinaia di milioni di dollari. Hanno poi usato questo valore artificiale come garanzia per prendere in prestito asset reali dal protocollo. In termini semplici, hanno trasformato qualcosa di privo di valore in uno strumento per drenare fondi legittimi. Questa manipolazione dei feed dei prezzi dimostra quanto possano essere vulnerabili i sistemi DeFi quando si affidano pesantemente a dati esterni senza una rigorosa validazione.
Per garantire che l'attacco si svolgesse senza intoppi, i perpetratori hanno preparato le transazioni in anticipo utilizzando tecniche di nonce durevoli. Questo ha permesso loro di eseguire una sequenza di azioni quasi simultaneamente, comprimendo l'intero exploit in pochi secondi. Quando qualcosa è apparso anomalo, i fondi erano già scomparsi.
L'attribuzione agli attori della Corea del Nord non si basa su un singolo elemento di prova, ma piuttosto su una combinazione di schemi. La struttura dell'attacco, la lunga fase di preparazione, la fusione di ingegneria sociale con sfruttamento tecnico e il rapido riciclaggio di fondi corrispondono tutti ai comportamenti noti di gruppi come Lazarus. Questi gruppi sono stati collegati a numerosi furti crypto di alto profilo nel corso degli anni e si ritiene ampiamente che operino come parte della strategia più ampia della Corea del Nord per generare entrate al di fuori del sistema finanziario globale.
Il movimento dei fondi dopo l'attacco rafforza ulteriormente questa connessione. Gli asset sono stati rapidamente trasferiti da Solana a Ethereum e poi incanalati attraverso una rete complessa di portafogli, mixer e trasferimenti cross-chain. Questa tecnica di stratificazione è progettata per offuscare la pista ed è stata ripetutamente osservata in precedenti operazioni legate alla Corea del Nord. Una volta che i fondi entrano in questo circuito di riciclaggio, il recupero diventa estremamente difficile.
Ciò che rende questo incidente ancora più preoccupante è che potrebbe non essere isolato. Nello stesso periodo, i ricercatori di cybersecurity e rapporti di organizzazioni come Google Threat Intelligence e Reuters hanno evidenziato attacchi separati legati a attori nordcoreani che prendevano di mira le catene di approvvigionamento software, inclusi codici malevoli inseriti in strumenti per sviluppatori ampiamente utilizzati. Queste campagne suggeriscono una strategia più ampia che inizia con l'infiltrazione degli ecosistemi di sviluppo e termina con sfruttamenti finanziari di alto valore. L'attacco a Drift potrebbe rappresentare la fase finale di tale sforzo coordinato.
Le implicazioni per l'industria crypto sono significative. Non si è trattato di un fallimento di un singolo smart contract, ma di un collasso su più livelli: governance, fiducia umana, design degli oracoli e sicurezza operativa. Dimostra che anche i protocolli ben auditati possono essere vulnerabili se gli attaccanti prendono di mira il sistema nel suo insieme piuttosto che solo il codice.
C'è anche un chiaro cambiamento nella natura delle minacce che affrontano la DeFi. L'attenzione non è più solo sulla ricerca di bug tecnici ma sull'identificazione delle debolezze strutturali nella gestione e operatività delle piattaforme. I sistemi multisig, un tempo considerati una difesa robusta, possono diventare passività se i firmatari vengono manipolati. Gli oracoli, che forniscono dati essenziali sui prezzi, possono diventare vettori di attacco se non sono adeguatamente protetti. E forse, cosa più importante, il comportamento umano rimane uno dei punti più deboli in qualsiasi sistema.
L'exploit di Drift serve da avviso che la finanza decentralizzata sta entrando in una nuova fase, dove gli avversari non sono più solo hacker indipendenti ma gruppi altamente organizzati e ben finanziati con obiettivi strategici. Se l'attribuzione alla Corea del Nord viene confermata, rafforza l'idea che le crypto siano ora profondamente intrecciate con le dinamiche geopolitiche, dove gli attacchi informatici non riguardano solo il profitto ma anche strategie a livello nazionale.
Alla fine, questo è stato più di un hack. È stata una dimostrazione di come le operazioni informatiche moderne si stiano evolvendo: combinando pazienza, inganno e precisione tecnica per sfruttare interi ecosistemi. Per l'industria crypto, il messaggio è chiaro: la sicurezza non può più essere trattata come un problema puramente tecnico. Deve essere affrontata come una sfida olistica che include persone, processi e design del sistema.