Nella seconda metà del 2024, gli hacker associati alla Corea del Nord potrebbero aver ridimensionato le loro operazioni preparandosi a compiere ciò che è risultato essere il più grande attacco informatico al settore delle criptovalute della storia.
Il 21 febbraio l'industria è stata scossa da un'enorme operazione di hacking: il famigerato gruppo nordcoreano Lazarus Group ha infatti sottratto oltre 1,4 miliardi di dollari a Bybit, il cui attacco sembra essere stato preparato con mesi di anticipo.
Secondo la società di analisi blockchain Chainalysis, l'attività illecita riconducibile agli aggressori informatici nordcoreani è diminuita drasticamente dopo il 1° luglio 2024, nonostante un'impennata degli attacchi verificatasi all'inizio dello stesso anno.
Stando a Eric Jardine, responsabile della ricerca sui crimini informatici di Chainalysis, il progressivo declino delle violazioni legate alle criptovalute da parte di criminali nordcoreani ha fatto scattare un'allerta significativa.
Attività di violazione da parte della Corea del Nord prima e dopo il 1° luglio. Fonte: Chainalysis
Il processo di rallentamento sarebbe iniziato “quando la Russia e la RPDC [Corea del Nord] si sono incontrate per il vertice che ha portato alla riallocazione delle risorse nordcoreane, compreso il personale militare, per la guerra in Ucraina”, spiega Jardine a Cointelegraph durante lo svolgimento del programma Chainreaction il 26 marzo:
“Quindi, nel rapporto abbiamo ipotizzato che ci potessero essere ulteriori elementi non rilevati in termini di riallocazione di risorse da parte della RPDC, e poi siamo giunti ad inizio febbraio, con l'hack di Bybit”.
— Cointelegraph (@Cointelegraph) March 26, 2025
“Il rallentamento constatato potrebbe essere frutto di un riassetto per selezionare nuovi obiettivi, sondare le infrastrutture, oppure legato a questi eventi geopolitici”, conclude l'esperto.
Come riportato da Cointelegraph il 4 marzo, il Lazarus Group ha impiegato 10 giorni per riciclare il 100% dei fondi Bybit intercettati attraverso il protocollo decentralizzato crosschain THORChain.
Tuttavia, gli esperti di sicurezza blockchain confidavano che una parte dei fondi potesse essere congelata e recuperata da Bybit. Al 20 marzo, oltre l'80% degli 1,4 miliardi di dollari sottratti era ancora tracciabile, mentre gli investigatori continuano i loro sforzi per congelare e recuperare i fondi.
Ecco come gli hacker hanno inscenato il più grande crypto hack al mondo
L'attacco di Bybit evidenzia che anche gli exchange centralizzati con forti misure di sicurezza rimangono vulnerabili a sofisticati attacchi informatici, sostengono gli analisti.
Secondo Meir Dolev, cofondatore e chief technical officer di Cyvers, l'attacco presenta analogie con l'hack di WazirX da 230 milioni di dollari e la violazione di Radiant Capital da 58 milioni di dollari.
Dolev ritiene che il cold wallet multisig di Ethereum sia stato compromesso attraverso una transazione ingannevole, che avrebbe indotto i firmatari ad approvare inconsapevolmente una modifica della logica di uno smart contract dannoso.
“Ciò ha permesso all'hacker di ottenere il controllo del cold wallet e di trasferire tutti gli ETH a un indirizzo sconosciuto”, riferisce Dolev a Cointelegraph.
Attività di violazione da parte della Corea del Nord. Fonte: Chainalysis
Secondo i dati di Chainalysis, nel 2024 gli hacker nordcoreani hanno sottratto oltre 1,34 miliardi di dollari di asset digitali in 47 episodi, pari a un incremento del 102% rispetto ai 660 milioni di dollari trafugati nel 2023.
Si tratta del 61% del totale delle criptovalute rubate nel corso del 2024.
Traduzione a cura di Walter Rizzo