La Corea del Nord ha rubato il 76% di tutte le criptovalute hackerate nel 2026: due attacchi, $577 milioni, e una macchina da guerra finanziata dal cyber
@Informatica (Italy e non Italy)
Con solo due operazioni nel primo quadrimestre 2026, gli hacker nordcoreani hanno sottratto $577 milioni in
La Corea del Nord ha rubato il 76% di tutte le criptovalute hackerate nel 2026: due attacchi, $577 milioni, e una macchina da guerra finanziata dal cyber
Si parla di:
ToggleCon solo due attacchi portati a termine nel corso di quattro mesi, gli hacker nordcoreani hanno sottratto il 76% di tutti i fondi rubati in operazioni di hacking crypto nel 2026. Un dato che non è semplice statistica: è la prova di come la Corea del Nord abbia trasformato il furto di criptovalute in una macchina di finanziamento statale su scala industriale.
Il dato che cambia tutto: $577 milioni in due colpi
Secondo il report aggiornato di TRM Labs, nei primi quattro mesi del 2026 gli attori nordcoreani hanno sottratto $577 milioni in criptovalute attraverso appena due operazioni distinte: il colpo da $285 milioni contro Drift Protocol e quello da $292 milioni contro KelpDAO/LayerZero. La somma rappresenta il 76% di tutti i fondi rubati a livello globale nel settore crypto nello stesso periodo, e porta il totale attribuibile alla Corea del Nord dal 2017 a oltre $6 miliardi.Questi numeri, da soli, raccontano una storia che va ben al di là del crimine informatico tradizionale. Il regime di Pyongyang ha costruito nel tempo un’infrastruttura offensiva sofisticatissima, capace di eseguire operazioni di ingegneria sociale protratte per mesi, sfruttare vulnerabilità architetturali in protocolli DeFi e riciclare rapidamente fondi attraverso mixer e bridge cross-chain.
L’operazione Drift: pazienza come arma principale
Il caso Drift Protocol è quello che meglio illustra l’evoluzione tattica dei gruppi nordcoreani. L’analisi on-chain effettuata dai ricercatori ha ricostruito che lo staging dell’attacco era iniziato l’11 marzo 2026 — settimane prima dell’esecuzione finale. Ma la parte più inquietante riguarda il vettore umano: secondo la ricostruzione, operatori nordcoreani si sono infiltrati nell’ecosistema Drift attraverso incontri di persona con dipendenti dell’exchange, costruendo relazioni di fiducia nel corso di mesi.Il metodo ricorda l’attacco Bybit del 2025, quando il gruppo Lazarus riuscì ad accedere ai sistemi tramite un contractor di fiducia. La differenza è che nel caso Drift il social engineering si è spinto fino al contatto fisico diretto, segnalando una capacità operativa di intelligence umana (HUMINT) che va ben oltre il phishing tradizionale. Gli analisti hanno ipotizzato che gli operatori nordcoreani stiano ora integrando strumenti di intelligenza artificiale nei flussi di ricognizione e ingegneria sociale.
L’operazione KelpDAO: vulnerabilità architetturali nei bridge cross-chain
Il secondo attacco, da $292 milioni contro KelpDAO tramite un bridge LayerZero, segue una logica completamente diversa ma altrettanto raffinata. Gli attaccanti hanno identificato e sfruttato un design flaw nel modello a singolo verificatore del bridge cross-chain, che permetteva la manipolazione dei messaggi tra chain Ethereum e Arbitrum. Dopo aver drenato i fondi, il gruppo ha tentato di riciclare i proventi attraverso THORChain, sebbene circa $75 milioni siano stati congelati su Arbitrum grazie all’intervento tempestivo di Uniswap e altri protocolli.L’attribuzione di questo secondo attacco è stata attribuita a un gruppo distinto dal Lazarus Group classico — indicando che la Corea del Nord mantiene più unità cyber parallele specializzate in diversi vettori di attacco, con una struttura organizzativa comparabile a quella di un’agenzia di intelligence statale.
Il quadro strategico: il crypto come motore del programma nucleare
Per comprendere la portata di queste operazioni è necessario inquadrarle nel contesto geopolitico. Le Nazioni Unite e diversi governi occidentali hanno più volte documentato come i fondi rubati dalla Corea del Nord finanzino direttamente il programma missilistico e nucleare del regime. Con il sistema bancario nordcoreano quasi completamente escluso dal sistema finanziario internazionale a causa delle sanzioni, il crimine crypto è diventato una delle principali fonti di valuta estera.Il modello operativo si è raffinato nel tempo: nelle prime operazioni del Lazarus Group (2016-2019) si ricorreva principalmente a spear phishing contro exchange centralizzati. Dal 2020 in poi l’attenzione si è spostata progressivamente verso i protocolli DeFi — più difficili da congelare, con meno meccanismi di KYC/AML, e spesso caratterizzati da vulnerabilità architetturali nei contratti smart o nei bridge.
Tattiche, tecniche e indicatori di compromissione (TTPs)
I pattern ricorrenti nelle operazioni nordcoreane contro il settore crypto includono:
- Social engineering prolungato: infiltrazione nelle community, creazione di identità false su LinkedIn e GitHub, costruzione di relazioni di fiducia per mesi prima dell’attacco.
- Targeting dei bridge cross-chain: sfruttamento di vulnerabilità nei protocolli di interoperabilità, spesso caratterizzati da minore maturità di sicurezza rispetto ai layer base.
- Riciclaggio tramite THORChain e mixer: uso di protocolli decentralizzati per frammentare e offuscare il trail on-chain dei fondi rubati.
- Insider threat via contractor: inserimento di operatori nordcoreani travestiti da sviluppatori o consulenti all’interno di team crypto legittimi.
Due parole per i difensori
Per i protocolli DeFi e gli exchange crypto, la minaccia nordcoreana richiede una risposta che vada oltre i controlli tecnici tradizionali. Il vettore umano è oggi il punto di ingresso primario: ogni processo di hiring di sviluppatori e contractor dovrebbe includere verifiche rafforzate dell’identità, con particolare attenzione ai profili che non possono essere verificati fisicamente o che mostrano pattern comportamentali anomali (riluttanza ai video call, timezone inconsistenti con la localizzazione dichiarata).Sul fronte tecnico, la priorità dovrebbe essere la revisione dei modelli di fiducia nei bridge cross-chain: la dipendenza da un singolo verificatore o da un set ristretto di validatori crea un single point of failure che gli attaccanti sanno come sfruttare. I programmi di bug bounty con scope allargato ai bridge e ai contratti di interoperabilità sono diventati una necessità, non un’opzione.
Infine, la coordinazione con le agenzie di intelligence e i partner di blockchain analytics (TRM Labs, Chainalysis, Elliptic) al momento della scoperta di un’anomalia può fare la differenza tra il recupero parziale dei fondi e la perdita totale — come dimostra il congelamento di $75 milioni su Arbitrum nel caso KelpDAO.
reshared this