In meno di tre settimane, operatori informatici legati alla Corea del Nord hanno sottratto oltre 500 milioni di dollari da piattaforme decentralizzate di finanza (DeFi). Questo episodio segna un’escalation senza precedenti nella campagna sponsorizzata dallo Stato di Pyongyang per finanziare i suoi programmi militari attraverso il furto di criptovalute.
Gli attacchi ai protocolli Drift e KelpDAO hanno spinto il bottino illecito nordcoreano a superare i 700 milioni di dollari nel 2026. Le perdite, che continuano a crescere, evidenziano un’evoluzione nelle tattiche adottate dal regime di Kim Jong Un: i cybercriminali stanno sempre più sfruttando vulnerabilità nelle catene di fornitura e infiltrando risorse umane per eludere i controlli di sicurezza.
I due attacchi più devastanti del 2026
Il 20 aprile, LayerZero, provider di infrastrutture cross-chain, ha confermato che KelpDAO è stato vittima di un exploit che ha portato alla sottrazione di circa 290 milioni di dollari. Il breach, avvenuto il 18 aprile, rappresenta il più grande furto di criptovalute del 2026. Secondo le indagini preliminari, l’attacco sarebbe stato condotto da TraderTraitor, una cellula specializzata all’interno del famigerato Gruppo Lazarus, noto per le sue attività cybercriminali.
Solo poche settimane prima, il 1° aprile, il protocollo Drift, basato su Solana e specializzato in futures decentralizzati, è stato svuotato di circa 286 milioni di dollari. La società di intelligence blockchain Elliptic ha rapidamente collegato le metodologie di riciclaggio on-chain, la sequenza delle transazioni e i pattern di firma a vettori di attacco già noti della Corea del Nord. Secondo l’azienda, si tratta del 18° incidente simile registrato solo nel 2026.
L’evoluzione delle strategie di attacco
L’analisi degli attacchi di aprile rivela una maturazione nelle tecniche utilizzate dagli hacker sponsorizzati dallo Stato per colpire il settore DeFi. Invece di attaccare direttamente i contratti intelligenti centrali, i cybercriminali stanno prendendo di mira la periferia infrastrutturale dei protocolli.
Nel caso di KelpDAO, LayerZero ha spiegato che gli attaccanti hanno compromesso le RPC (Remote Procedure Call) utilizzate dalla rete decentralizzata di verifica (DVN) di LayerZero Labs. Manipolando questi canali critici, gli hacker hanno alterato il funzionamento del protocollo senza compromettere la crittografia di base. Sebbene LayerZero abbia dismesso i nodi compromessi e ripristinato le operazioni della DVN, il danno finanziario era già stato realizzato.
Questo approccio indiretto sottolinea un’evoluzione preoccupante nella guerra informatica. Secondo Cyvers, società di sicurezza blockchain, gli attaccanti legati alla Corea del Nord stanno dimostrando una sofisticazione crescente, investendo risorse sempre maggiori sia nella preparazione che nell’esecuzione degli attacchi. «Osserviamo come riescano costantemente a trovare il punto debole», ha dichiarato la società a CryptoSlate. «In questo caso, si trattava di un terzo soggetto, non dell’infrastruttura centrale del protocollo».
Questa strategia ricorda le tecniche di cyber-spionaggio aziendale tradizionale e dimostra che i breach legati alla DPRK stanno diventando sempre più difficili da contrastare.
Infiltrati nel settore crypto: il nuovo fronte di attacco
Recenti episodi, come il compromissione della supply chain del popolare pacchetto software Axios npm, hanno dimostrato un impegno costante e metodico da parte di attori nordcoreani per avvelenare le fonti prima ancora che il software raggiunga l’ecosistema blockchain. Secondo i ricercatori di Google, l’attacco sarebbe stato opera di un gruppo di minaccia distinto, denominato UNC1069.
«Gli attaccanti nordcoreani stanno dimostrando una sofisticazione senza precedenti, sfruttando ogni possibile vulnerabilità per massimizzare i profitti e finanziare le attività militari del regime». — Cyvers, società di sicurezza blockchain
Articoli correlati
Bitcoin scende sotto gli 80.000 dollari: i rendimenti dei Treasury statunitensi frenano la criptovaluta
Bitcoin’s latest retreat below $80,000 shows how quickly the bond market has reclaimed control of crypto trading, even after lawmakers advanced one of...
Kraken adotta Chainlink per il Bitcoin avvolto (kBTC): una mossa strategica contro i rischi dei bridge DeFi
Kraken is moving its wrapped Bitcoin (kBTC) to Chainlink CCIP as bridge-security fears continue spreading across DeFi, turning the bridge-security deb...
Wadoozie: il progetto crypto che unisce token, tour negli USA e una storia interattiva
Somewhere in America, a tour bus is on the move. On board is a character called Wadoozie — and according to the project's own mythology, he isn't a pe...
Trust Trump acquista azioni di società legate a Bitcoin nel primo trimestre 2026
Bitcoin Magazine The Trump Family Trust Bought Bitcoin-Linked Stocks in First Quarter: Filing Donald Trump’s family trust bought shares in several bit...
Criptovalute: quattro settori distinti, un futuro meno volatile
Crypto can feel bullish and bearish simultaneously because its major sectors have stopped moving together. Bitcoin collects institutional ETF flows wh...
THORChain subisce un attacco da 10 milioni di dollari: analisti confermano l'exploit
Cross-chain liquidity protocol THORChain has reportedly been exploited for $10 million worth of crypto. That’s according to investigator ZachXBT, who...
Polonia approva legge sulle criptovalute mentre scandalo Zondacrypto alimenta tensioni politiche
Bitcoin Magazine Poland Passes Crypto Bill as Fraud Probe Deepens Political Divide Polish lawmakers have approved a long-debated cryptocurrency bill,...
Fondo Trump acquista Coinbase e azioni crypto nel primo trimestre 2026
US President Donald Trump's family trust executed hundreds of millions of dollars in financial transactions during the first quarter of 2026, includin...