Rapporto sugli attacchi hacker alle criptovalute in Corea del Nord del 2026: perché gli exploit di Drift Protocol e KelpDAO hanno causato il 76% delle perdite

Punti Salienti:

• Gli attori nordcoreani ora prediligono attacchi chirurgici ad alto impatto contro ponti e sistemi di governo, responsabili del 76% di tutte le perdite globali dovute ad attacchi hacker nel settore delle criptovalute all'inizio del 2026. 
• Sottogruppi come TraderTraitor stanno unendo l'ingegneria sociale al sabotaggio delle infrastrutture, come dimostrano gli attacchi da 577 milioni di dollari a Drift e KelpDAO.
• Contrastare queste minacce di precisione richiede un passaggio dalle blacklist statiche a sistemi KYT (Know Your Customer) e analisi in tempo reale per individuare le fasi di trasferimento e bloccare i punti di uscita prima che i fondi scompaiano.

Nel 2026, il settore degli asset digitali ha raggiunto una consapevolezza agghiacciante. La guerra cibernetica sponsorizzata dagli stati è passata dall'essere un rumore di fondo persistente al principale fattore determinante delle perdite globali nel mercato delle criptovalute. 

Recenti scoperte da Laboratori TRM hanno messo in luce una tendenza sconcertante. Solo nei primi quattro mesi del 2026, i gruppi di hacker nordcoreani sono stati responsabili di 76% di tutti hack di criptovaluta perdite a livello globale. Sebbene il numero totale di incidenti rimanga basso, la loro precisione e portata sono senza precedenti, con furti cumulativi dal 2017 che ora superano il $6 miliardi marchio.

Il nuovo manuale: la precisione prima della frequenza.

Per anni, la narrazione sugli attacchi informatici nordcoreani si è concentrata sul volume. Oggi, i dati rivelano un'evoluzione tattica. Invece di lanciare una rete capillare, i gruppi d'élite stanno eseguendo una manciata di operazioni mirate e ad alto impatto. 

Nell'aprile 2026, solo due incidenti—il Protocollo di deriva attacco e il KelpDAO sfruttamento—preso in considerazione $577 milioni in termini di perdite. Questi due eventi hanno rappresentato solo il 3% del totale degli incidenti di hacking dell'anno, ma hanno causato oltre tre quarti del valore totale perso. Questo cambiamento segnala un passaggio verso obiettivi ad alta complessità: ponti cross-chain e sistemi di governance multisig.

Il furto del protocollo Drift: una lezione magistrale di ingegneria sociale.

Il furto di 285 milioni di dollari da Drift Protocol è stata una lezione magistrale in infiltrazione a livello aziendale. 

L'infiltrazione: l'elemento umano 

Per mesi, individui che si spacciavano per sviluppatori legittimi e partner istituzionali hanno costruito relazioni con il team di Drift. Questi intermediari erano tecnicamente competenti e altamente professionali, il che ha permesso loro di integrarsi nel tessuto sociale del protocollo. Quando è iniziato l'attacco tecnico, gli aggressori avevano già la fiducia delle stesse persone incaricate di proteggere il vault.

Fase 1: Creazione dell'asset fantasma (11 marzo) 

La messa in scena digitale è iniziata ufficialmente l'11 marzo. Esattamente alle 9:00 ora di Pyongyang, gli aggressori hanno spostato 10 ETH da Tornado Cash per finanziare la loro infrastruttura. La loro prima mossa è stata quella di "dare alla luce" un asset fittizio chiamato CarbonVote Token (CVT).

Agli occhi di un osservatore esterno, CVT sembrava un progetto in crescita. Gli hacker hanno investito qualche migliaio di dollari in pool di liquidità su Raydium e hanno utilizzato bot di wash trading per creare uno storico di volumi falsificato. Hanno impiegato settimane a fabbricare un "prezzo di mercato" di circa 1.00 dollaro. Gli oracoli di prezzo di Drift, impreparati a un asset manipolato privo di utilità reale, hanno captato questo segnale e hanno iniziato a trattare CVT come garanzia legittima.

Fase 2: La trappola del "pedofilo resistente" (23-30 marzo) 

Gli aggressori si sono concentrati su una funzionalità di Solana chiamata pedine resistentiSolitamente, una transazione Solana scade in circa 90 secondi. Un nonce durevole consente di pre-firmare una transazione e di conservarla a tempo indeterminato per poi trasmetterla in un secondo momento. Sfruttando la loro posizione sociale, gli aggressori hanno indotto i membri del Consiglio di Sicurezza di Drift a pre-firmare quelle che sembravano essere normali transazioni amministrative. In realtà, si trattava di "assegni in bianco". Poiché erano firmate utilizzando nonce durevoli, gli aggressori si sono impossessati di queste autorizzazioni come se fossero molle cariche.

Fase 3: Il cambiamento di configurazione fatale (27 marzo) 

Il 27 marzo, Drift ha compiuto una mossa strategica che ha trasformato un rischio in una catastrofe. Il protocollo ha migrato il suo Consiglio di sicurezza a una nuova configurazione di soglia 2/5 e ha impostato il blocco temporale a zeroNella maggior parte dei protocolli DeFi, un "blocco temporale" funge da periodo di riflessione, consentendo alla comunità di ispezionare e "bloccare" un'azione. Rimuovendolo, Drift ha eliminato l'unica finestra temporale a disposizione per intercettare una transazione fraudolenta prima che diventasse definitiva.

Fase 4: L'esecuzione in 12 minuti (1° aprile) 

Il 1° aprile, gli attentatori si sono mossi con una velocità terrificante:

1. Il deposito: Hanno depositato centinaia di milioni di token CVT "senza valore" in Drift.
2. La manipolazione: Poiché gli oracoli credevano che CVT valesse 1.00 dollaro, il sistema ha visto un massiccio afflusso di garanzie.
3. Lo scarico: Utilizzando gli "assegni in bianco" preautorizzati di marzo, hanno immediatamente aumentato i limiti di prelievo.

In solo 12 minutiHanno effettuato 31 prelievi pre-firmati, prendendo in prestito asset reali come USDC e JLP a fronte di garanzie false. I fondi sono stati trasferiti su Ethereum prima che il team di Drift potesse reagire.

L'exploit KelpDAO: sabotaggio dell'infrastruttura del bridge

Mentre l'attacco Drift si basava sull'ingegneria sociale, $292 milioni L'exploit KelpDAO è stato un attacco tecnico contro il infrastrutture di tubature trasversali.

La vulnerabilità: la debolezza del verificatore unico 

KelpDAO ha utilizzato un bridge LayerZero per il suo token rsETH. Per ridurre i costi e la complessità, il bridge è stato configurato con un design a "verificatore singolo". Ciò significa che l'intero sistema si basava su un'unica fonte di verità, la rete di verifica decentralizzata (DVN) di LayerZero Labs, per confermare che gli asset fossero stati spostati o bruciati. Non era prevista alcuna seconda opinione.

La messa in scena: avvelenare il pozzo 

Gli hacker hanno identificato e compromesso due nodi RPC interni di KelpDAO. I nodi RPC sono essenzialmente le "orecchie" di un'applicazione blockchain. Comunicano al software cosa sta succedendo sulla rete. Una volta all'interno, gli hacker hanno sostituito il software dei nodi con una versione "avvelenata". Questa versione era programmata per mentire, segnalando che rsETH era stato bruciato sulla blockchain di origine anche quando tale transazione non esisteva.

L'esecuzione: l'attacco DDoS e il failover (18 aprile) 

Il 18 aprile, gli aggressori hanno lanciato un massiccio attacco Distributed Denial of Service (DDoS) contro i nodi RPC esterni funzionanti a cui il bridge si connetteva abitualmente. Quando i nodi funzionanti hanno smesso di rispondere, il verificatore del bridge ha attivato il suo protocollo di sicurezza: ha effettuato un "failover" verso gli unici nodi ancora attivi, ovvero quelli interni compromessi.

I nodi avvelenati hanno fornito al verificatore una falsa narrazione. Il verificatore, vedendo la "prova" dalla sua unica fonte disponibile, ha confermato il messaggio fraudolento cross-chain. Ciò ha permesso agli aggressori di prosciugare 116,500 rsETH dal contratto bridge di Ethereum.

La mischia: una fuga caotica 

A differenza dei calmi attaccanti di Drift, il gruppo KelpDAO, identificato come il CommercianteTraditore Il sottogruppo ha commesso degli errori. Hanno lasciato 75 milioni di dollari in ETH su Arbitrum, una piattaforma centralizzata di Layer 2. Questo ha dato al Consiglio di Sicurezza di Arbitrum il tempo sufficiente per esercitare i poteri di emergenza e congelare i fondi.

Il blocco ha scatenato una "corsa folle". Gli hacker hanno spostato freneticamente i restanti 175 milioni di dollari attraverso THORChain, scambiando ETH con Bitcoin il più velocemente possibile. Questa fase è stata gestita in gran parte da intermediari cinesi, a dimostrazione di una rete di riciclaggio frammentata ma efficiente.

Il ruolo cruciale di KYT e dell'analisi blockchain

Questi attacchi rappresentano una sfida fondamentale all'integrità dell'ecosistema crypto del 2026. Le blacklist statiche non sono più sufficienti quando gli attori statali possono aspettare mesi per spostare i beni rubati. È qui che Conosci la tua transazione (KYT) and Avanzate analisi blockchain diventano meccanismi di difesa essenziali.

• Avvisi in tempo reale: Le reti di allerta consentono di inviare notifiche immediate su diverse piattaforme. Quando viene identificato un indirizzo collegato alla Corea del Nord, le istituzioni vengono avvisate in pochi minuti, non in giorni, bloccando potenzialmente un prelievo prima che venga elaborato.
• Attribuzione multi-hop: Un semplice controllo preliminare può essere facilmente aggirato. Le moderne tecniche di analisi tracciano i fondi attraverso decine di portafogli intermedi e molteplici ponti, identificando la "vera" fonte della ricchezza.
• Monitoraggio dell'igiene del ponte: Come dimostrato dall'attacco Drift, la vulnerabilità risiedeva nella configurazione di governance e multisig. Gli strumenti di analisi ora aiutano le aziende a monitorare lo stato e il comportamento dei protocolli con cui interagiscono, segnalando transazioni pre-firmate sospette o modifiche alle impostazioni di timelock.

Proteggi la tua infrastruttura con ChainUp KYT.

Il settore non può fare affidamento esclusivamente sulla permanenza della sicurezza blockchain. Man mano che gli hacker diventano più pazienti e sofisticati, gli strumenti di difesa devono diventare più proattivi.

ChainUp KYT Fornisce il monitoraggio di livello istituzionale necessario per orientarsi nel panorama delle minacce del 2026. La nostra soluzione va oltre la semplice creazione di blacklist, offrendo:

• Monitoraggio delle transazioni in tempo reale: Individua e segnala i flussi sospetti nel momento stesso in cui entrano nella blockchain, consentendo un intervento immediato prima che i prelievi vengano elaborati.
• Tracciamento multi-hop avanzato: È necessario andare oltre i passaggi intermedi e i portafogli di transito per identificare i fondi provenienti da cluster nordcoreani e sfruttare le vulnerabilità del sistema bridge.
• Avvisi di governance del protocollo: Monitora lo stato di salute dei protocolli e dei bridge DeFi con cui interagisci, ricevendo avvisi su modifiche di configurazione rischiose o attività multisig insolite.
• Integrazione perfetta della conformità: Progettato per gli operatori di borsa e gli investitori istituzionali che necessitano di dati precisi e affidabili per soddisfare gli standard normativi globali.

Non aspettare i prossimi 12 minuti di esaurimento delle risorse per renderti conto che le tue difese sono obsolete. Prenota oggi stesso una demo con ChainUp per scoprire come le nostre soluzioni KYT possono proteggere la tua infrastruttura dalle minacce più sofisticate del settore.