Il 1° aprile 2026, gli hacker nord-coreani legati al gruppo UNC4736 hanno condotto uno dei più sofisticati attacchi di social engineering contro la piattaforma DeFi Drift Protocol, drenando ben 285 milioni di dollari e dimostrando la capacità dello stato-nazione di infiltrarsi negli ecosistemi finanziari decentralizzati. L’attacco, iniziato sei mesi prima in autunno del 2025, ha sfruttato le “durable nonces” di Solana per ottenere il controllo amministrativo della piattaforma.
La campagna di social engineering: una sofisticazione raramente vista
I threat actor nord-coreani hanno dimostrato una competenza tecnica straordinaria e una conoscenza approfondita del funzionamento di Drift Protocol. La campagna è iniziata con l’istituzione di un gruppo Telegram dove gli attaccanti hanno costruito una presenza operativa credibile all’interno dell’ecosistema. Per mesi, hanno intrattenuto conversazioni autentiche con i contributori di Drift riguardanti strategie di trading e integrazioni di vault, comportamenti indistinguibili da quelli di veri trader istituzionali. Gli attaccanti hanno depositato oltre 1 milione di dollari di propri fondi per aumentare la credibilità.
Questa fase preparatoria rappresenta un cambio fondamentale nelle tattiche di APT state-sponsored: da attacchi prevalentemente tecnici a operazioni ibride che combinano ingegneria sociale sofisticata con sfruttamento tecnico. Il gruppo, noto anche come AppleJeus, Citrine Sleet, Golden Chollima e Gleaming Pisces, ha dimostrato di comprendere a fondo i processi sociali interni alle organizzazioni target.
Il meccanismo di attacco: abuso della durable nonce
Una volta guadagnato l’accesso, gli attaccanti hanno sfruttato una caratteristica tecnica di Solana nota come “durable nonce” per indurre i membri del Drift Security Council a pre-firmare transazioni che avrebbero eventualmente loro trasferito il controllo amministrativo. Il passo successivo è stato cruciale: gli attaccatori hanno inserito nella whitelist un token artificiale e privo di valore (CVT) come collaterale valido. Hanno quindi depositato 500 milioni di token CVT e li hanno utilizzati per prelevare 285 milioni di dollari in asset reali inclusi USDC, SOL e ETH.
Timeline Attacco:
- Settembre 2025: Inizio social engineering
- Febbraio-Marzo 2026: Conversazioni integrate nel sistema
- 1 Aprile 2026: Esecuzione dell'attacco
- 12 minuti: Drenaggio di 285 milioni di dollari
- Poche ore: Bridging dei fondi verso EthereumImpatto geopolitico e implicazioni per la sicurezza DeFi
Questo attacco è il secondo più grande exploit nella storia di Solana, superato solo dal compromesso della Wormhole bridge di 326 milioni di dollari nel 2022. Rappresenta anche un’escalation allarmante nella strategia nord-coreana di acquisizione di valute estere per aggirare le sanzioni internazionali. La Corea del Nord è stata storicamente limitata nell’accesso al sistema finanziario globale, rendendo i furti da piattaforme DeFi un’alternativa redditizia per il finanziamento delle operazioni dello stato.
Gli esperti di sicurezza sono preoccupati dal precedente stabilito da questa operazione. Se gli attaccatori nord-coreani possono infiltrarsi con successo nelle più sofisticate piattaforme DeFi attraverso il social engineering, nessun ecosistema blockchain è completamente immune. Le implicazioni si estendono oltre la sicurezza tecnica: dimostrano come i processi umani rimangono il punto debole più critico anche nei sistemi decentralizzati progettati per eliminare la fiducia.
Raccomandazioni difensive
- Implementare un rigoroso processo di due diligence multi-strato per nuovi partner commerciali, inclusa la verifica in-person di identità
- Stabilire un team di analisti di minacce dediti a verificare la credibilità di nuove entità che richiedono accesso ai sistemi critici
- Utilizzare sistemi di multisig con controlli temporali per qualsiasi transazione che comporti il trasferimento di controllo amministrativo
- Implementare monitoraggio comportamentale per rilevare pattern anomali nelle transazioni pre-firmate
- Condurre red team esercizi regolari focalizzati su vettori di social engineering contro il personale chiave
Il compromesso di Drift Protocol dimostra che la Corea del Nord ha costruito le capacità tecniche e le risorse per condurre sofisticate operazioni cyberfinanza, rappresentando una minaccia crescente non solo per il settore DeFi ma per l’intero ecosistema blockchain globale.