Lazarus sfrutta LayerZero per riciclare 290 milioni di dollari rubati nel DeFi

Il riciclaggio dei proventi del furto di 290 milioni di dollari in rsETH, avvenuto sabato, è già in corso. Le autorità sospettano che dietro l’attacco ci sia il gruppo nordcoreano Lazarus, noto per le sue attività di hacking sponsorizzate dallo Stato. Le indagini collegano questo episodio ad altre operazioni simili, tra cui quelle su BTC Turk e ByBit.

Come nei casi precedenti, i cybercriminali stanno sfruttando i protocollo di bridging per movimentare i fondi rubati. Tra questi, spicca LayerZero, lo stesso protocollo da cui sono stati sottratti i 290 milioni di rsETH. Recentemente, sono stati spostati 500.000 dollari tramite LayerZero verso un indirizzo in TLT, come segnalato dall’analista Specter su X.

«$500K sono stati appena spostati tramite LZ. Indirizzo: 0x4D5A08A96D644d7CA7F4541E1512a53D55aA5842. Destinazione: TLT» — Specter (@SpecterAnalyst), 22 aprile 2026

Le operazioni di riciclaggio sono iniziate subito dopo che il Security Council di Arbitrum ha sequestrato oltre 30.000 ETH, riducendo i profitti realizzati dagli hacker da 245 milioni a circa 175 milioni di dollari. Secondo l’analista Specter, in sole 12 ore sono state tracciate oltre 1.600 transazioni attraverso 370 indirizzi diversi, con una media di una transazione ogni 25 secondi.

Al momento, sono stati riciclati 116 milioni di dollari in Bitcoin (BTC), mentre un altro portafoglio contiene ancora 61 milioni di dollari da movimentare.

Le reazioni delle piattaforme

Le piattaforme coinvolte stanno adottando misure diverse per gestire i fondi illeciti che transitano nei loro protocolli. Il protocollo di privacy Umbra ha riconosciuto che 800.000 dollari in ETH sono passati attraverso il suo sistema. Nonostante abbia sottolineato l’impossibilità di bloccare l’uso illecito dei suoi smart contract autonomi, ha messo offline la sua interfaccia utente principale.

THORChain, invece, ha adottato un approccio più distaccato, ribadendo la sua natura permissionless e censorship-resistant. Secondo la documentazione ufficiale, il protocollo non è controllato da una singola entità, non dispone di chiavi di amministratore né di multisig, e la rete è gestita da 95 nodi distribuiti a livello globale.

«THORChain è stato progettato sul modello di Bitcoin: senza autorizzazioni e resistente alla censura. Non esiste una singola persona o entità che controlla il protocollo. Non ci sono chiavi di amministratore né multisig 2-su-3. Attualmente, 95 nodi in tutto il mondo gestiscono la rete». — THORChain (@THORChain), 21 aprile 2026

Secondo le stime di Specter, il 99% dei fondi riciclati è transitato proprio attraverso THORChain, che ha registrato oltre 100.000 dollari di commissioni affiliate solo martedì. Tuttavia, le commissioni recenti superano di oltre il doppio i ricavi dell’intero anno. Durante un confronto pubblico, il fondatore di THORChain, JP, ha involontariamente rivelato che il protocollo ha detenuto una chiave di amministratore per molti anni, scatenando polemiche sulla sua presunta centralizzazione.

«Hai appena ammesso pubblicamente che THORChain è stato centralizzato per anni mentre il gruppo Lazarus riciclava centinaia di milioni e tu intascavi milioni in commissioni con una chiave di amministratore che possedevi?» — ZachXBT (@zachxbt), 22 aprile 2026

Il settore DeFi sotto pressione

Il settore DeFi sta affrontando una crisi senza precedenti: solo questo mese, due attacchi hanno causato perdite superiori a mezzo miliardo di dollari. Dopo il furto di rsETH, un altro protocollo, Garden, è stato hackerato per 11 milioni di dollari, portando a speculazioni su un possibile collegamento con i fondi riciclati da Lazarus.