Drift è stato ripulito.
285 milioni di dollari spariti in un lampo — grazie a professionisti nordcoreani che non hanno toccato nemmeno un bug di smart contract. No, hanno puntato sul vecchio stile con un twist: nonce durevoli e un’ingegneria sociale di livello top. È come phishing alla nonna, ma per chiavi multisig su un protocollo da miliardi.
L’attacco è piombato il 1° aprile 2026 — niente scherzi. Il post ufficiale di Drift lo racconta chiaro:
“Oggi presto, un attore malizioso ha ottenuto accesso non autorizzato al protocollo Drift tramite un attacco innovativo che coinvolgeva nonce durevoli, portando a un rapido takeover dei poteri amministrativi del Security Council di Drift.”
Sophisticato? Altroché. Preparazione di settimane, transazioni pre-firmate in agguato come agenti dormienti. Hanno raggirato i firmatari perché approvano roba sospetta in anticipo, poi bum — takeover admin in minuti. Asset finto introdotto (ciao, CarbonVote Token), limiti di prelievo azzerati, fondi evaporati.
Ma cos’è un nonce durevole, esattamente?
Pensate ai nonce come biglietti per le transazioni su Solana. Quelli durevoli? Restano lì, permettendo di pre-firmare ed eseguire dopo. Gli hacker li hanno trasformati in arma per fregare i titolari del multisig — probabilmente con profili LinkedIn fasulli o offerte di lavoro finte. TRM Labs lo inchioda:
“La vulnerabilità critica non era un bug di smart contract, ma una combo di ingegneria sociale sui firmatari multisig per pre-firmare autorizzazioni nascoste e una migrazione del Security Council a zero timelock che ha eliminato l’ultima linea di difesa del protocollo.”
Drift giura: niente seed phrase trapelate, nessun difetto nel codice. Va bene. Ma il loro Security Council? Un sogno multisig diventato pignatta.
La preparazione è partita il 23 marzo. Il giorno dell’hack, gli attaccanti avevano le chiavi — letteralmente. Hanno coniato un token fasullo con liquidità da quattro soldi, lo hanno wash-tradato per gonfiare il volume, e gli oracoli di Drift l’hanno ingoiato come collaterale legittimo. Centinaia di milioni sbloccati. Puff.
Elliptic e TRM fiutano DPRK ovunque. Prima tappa: mixer Tornado Cash. Poi bridge cross-chain. Velocità di riciclaggio uguale al mega-colpo Bybit 2025 (1,46 miliardi, vi dice niente?). CarbonVote deployato alle 9:30 ora di Pyongyang — sottili, eh.
Non è un caso isolato. La DPRK ha arraffato 6,5 miliardi in furti crypto di recente, per finanziare missili e chissà cos’altro. Solo nel 2025? Record da 2 miliardi. Ora 18 attacchi quest’anno, oltre 300 milioni. Il verdetto di Elliptic:
“È la prosecuzione della campagna sostenuta della DPRK di furti su larga scala di cryptoasset, che il governo USA ha collegato al finanziamento dei suoi programmi di armamento.”
L’ingegneria sociale è il loro pane — campagne DangerousPassword e Contagious Interview che hanno fruttato 37,5 milioni da inizio anno. Ora l’AI la pompa, creando esche perfette. Sviluppatori, firmatari, chiunque con un wallet? Tiro al bersaglio.
La mia opinione calda — e fresca: questo riecheggia la saga Mt. Gox del 2014, dove l’ingegneria sociale (non il codice) ha fatto entrare gli hacker. Ma Drift? Avevano un multisig ‘battle-tested’. Lezione? Il multisig è forte quanto il profilo LinkedIn più debole. Previsione audace: entro il 2027, i protocolli DeFi mollano i firmatari umani per guardiani AI o spariscono. La DPRK già usa AI per i suoi phishing; e voi?
Drift corre ai ripari — società di sicurezza, bridge, polizia all’opera. Fondi tracciati, qualcuno congelato forse. Ma 285 milioni? Un malloppo per finanziare una guerra piccola.
Perché la DPRK continua a vincere nelle rapine crypto?
Risorse statali. Zero overhead. Tool AI gratis. Sono passati da ransomware grezzi a questo ninja dei nonce. Ricordate UNC1069 che ha colpito il pacchetto Axios npm? Stesso giro — sovrapposizioni con BlueNoroff. Supply chain, ingegneria sociale, risciacquo, ripetere.
La macchina dell’hype DeFi chiama il multisig ‘sicurezza immutabile’. Balle. Sono umani che cliccano ‘approva’ su veleni pre-firmati. La migrazione del council di Drift? Zero timelock. Ultima difesa? Polverizzata.
E lo spin PR? Drift dice ‘nessuna vuln nei programmi’. Carino. Ma oracoli che validano spazzatura wash-tradata? È un fallimento di processo che urla per un audit.
Guardate, Solana è veloce, economico — perfetto per tradare meme di gatti. Ma ‘sicuro’? Quando stati-nazione trattano il tuo council come allocchi? Ridicolo.
Drift è finito dopo questo hack?
A breve? Utenti in fuga. Fiducia bruciata. A lungo? Se ricostruiscono con multisig senza firmatari o crittografia a soglia — forse. Ma il playbook DPRK evolve settimanale. State inseguendo pro che non dormono (o sì, nei bunker).
Sveglia industria: l’ingegneria sociale non è ‘non-tecnica’. È il colpo letale. Addestrate i firmatari come agenti CIA. Controllate ogni tx come se fossero testate nucleari.
O no. Regalando altri miliardi a Pyongyang.
La timeline di Drift mostra settimane di staging. Eppure nessun allarme? Il Security Council è un council di… cosa, esattamente?
Questo hack svela il ventre molle del DeFi. La tech luccica; gli umani? Molli. La DPRK lo sa. Rimediate, o finanziate le loro parate.
🧬 Approfondimenti correlati
- Leggi di più: La scommessa da 50 milioni di Linx Security sull’AI per il controllo identità
- Leggi di più: DeepLoad: l’arsenale di codice spazzatura AI ridefinisce la stealth del malware
Domande frequenti
Cos’è un attacco con nonce durevoli su Solana?
I nonce durevoli permettono di pre-firmare transazioni e ritardarne l’esecuzione — perfetti per fregare i firmatari multisig con malizia nascosta che colpisce dopo.
La DPRK è dietro l’hack Drift da 285 milioni?
Segni on-chain forti dicono sì: deploy timed su Pyongyang, Tornado Cash, riciclaggio alla Bybit. Elliptic lo chiama il 18° quest’anno.
Come può il DeFi prevenire hack di ingegneria sociale?
Mollate il multisig ingenuo per schemi AI-monitorati senza firmatari. Controllate ogni approvatore come una spia. E audit agli oracoli — hanno ingoiato token finti interi.
