Come funzionano i furti di criptovalute?
Phishing, bridge vulnerabili e smart contract difettosi: i tre vettori dei furti crypto. Dietro i colpi più grandi, il gruppo nordcoreano Lazarus
Il 18 aprile 2026, il mondo delle criptovalute ha subito uno dei colpi più gravi dell’anno. Circa 290 milioni di dollari in token collegati a Ethereum sono stati sottratti dal vault (la cassaforte digitale) di KelpDAO, una piattaforma di finanza decentralizzata specializzata nel cosiddetto restaking, ovvero il reinvestimento automatico di criptovalute per generare rendimenti. L’attacco ha coinvolto anche LayerZero, un’applicazione i cui due server sono stati compromessi per rendere possibile lo svuotamento dei fondi. La notizia ha immediatamente acceso i riflettori su un interrogativo ricorrente: chi c’è dietro questi furti da capogiro?
La risposta, in questo caso come in molti altri recenti, punta verso la Corea del Nord. LayerZero ha dichiarato pubblicamente che le prime indicazioni suggeriscono il coinvolgimento di un «attore statale altamente sofisticato», identificato con il gruppo nordcoreano Lazarus. Secondo Henri Arslanian, cofondatore di Nine Blocks Capital Management, nessun altro gruppo al mondo possiede l’esperienza e le risorse per portare a termine un’operazione di tale portata. Non si tratterebbe di adolescenti in un garage ma di criminalità organizzata sponsorizzata da uno Stato, con conseguenze geopolitiche concrete.
Ciò che rende questi furti particolarmente insidiosi è la distanza abissale tra la percezione comune – il mito dell’hacker solitario che “rompe” la blockchain – e la realtà. Un attacco è quasi sempre il risultato di settimane o mesi di preparazione, infiltrazione umana e sfruttamento di vulnerabilità tecniche. La blockchain in sé rimane sostanzialmente inviolata. Sono i sistemi che la circondano (exchange, bridge, protocolli DeFi) a cedere sotto la pressione di attacchi sempre più articolati.
Chi sono i “ladri di Stato” e perché lo fanno?
Dietro al Lazarus Group, noto anche con il nome operativo TraderTraitor, ci sarebbe l’apparato militare della Repubblica democratica popolare di Corea (DprK). Non si tratterebbe dunque di criminali comuni, ma di unità cyber altamente addestrate, integrate nella struttura delle forze armate nordcoreane, con risorse, tempo e obiettivi strategici ben definiti. Secondo le stime di un gruppo di esperti delle Nazioni Unite, dal 2017 al 2023 la Corea del Nord ha sottratto oltre 3 miliardi di dollari in criptovalute tramite decine di attacchi informatici mirati, con l’obiettivo di finanziare il proprio programma di armamento nucleare e aggirare le sanzioni economiche internazionali che isolano il Paese dal sistema finanziario globale.
Le criptovalute, per loro natura decentralizzate e prive di un’autorità di controllo centrale, offrono a Pyongyang un canale alternativo per fare cassa, impossibile da bloccare con le tradizionali misure sanzionatorie. I fondi rubati alimenterebbero così il bilancio statale e i programmi missilistici. Solo tra gennaio e settembre 2025, il Multilateral sanctions monitoring team (Msmt) dell’Onu ha stimato che gli hacker nordcoreani abbiano sottratto almeno 1,65 miliardi di dollari.
Il Lowy Institute Asia Power Index ha classificato la Corea del Nord al quarto posto mondiale per capacità informatiche offensive, sotto Stati Uniti, Cina e Russia e al di sopra di Giappone, Taiwan e India. Questo dato rivela un paradosso geopolitico fondamentale, con una delle nazioni più povere al mondo gestisce uno dei programmi cyber più aggressivi mai visti, utilizzando il mondo digitale come campo di battaglia economica alternativo ai mercati finanziari convenzionali.
Come si rubano dei beni digitali come le criptovalute?
Contrariamente all’immaginario collettivo, la blockchain – la tecnologia su cui vengono prodotte le criptovalute – non viene “bucata”. Gli hacker agiscono sui punti deboli dell’ecosistema che la circonda, sfruttando tre vettori principali.
Phishing e ingegneria sociale
Il vettore più comune non è tecnico, ma umano. I gruppi come Lazarus impersonano venture capitalist o recruiter su LinkedIn, propongono offerte di lavoro allettanti a sviluppatori e dipendenti di aziende crypto, e al momento opportuno inviano file malevoli camuffati da documenti di lavoro. Una volta installato il malware sul dispositivo della vittima, gli hacker ottengono accesso alle credenziali e alle chiavi private. Campagne di phishing personalizzate – oggi spesso generate con l’ausilio dell’intelligenza artificiale – permettono di replicare questa strategia su scala industriale.
Vulnerabilità dei bridge (ponti tra le blockchain)
I bridge sono protocolli che consentono di trasferire token (prodotti digitali) da una blockchain a un’altra, ad esempio da Ethereum a Solana. Sono strutturalmente complessi, spesso scritti in fretta per stare al passo con il mercato, e rappresentano i “punti di passaggio” più vulnerabili dell’intero ecosistema. Il furto di KelpDAO/LayerZero ne è un esempio perfetto: gli hacker hanno sfruttato il bridge per drenare i token collegati a Ethereum. In precedenza, attacchi simili avevano colpito Ronin Network (624 milioni nel 2022) e Harmony’s Horizon Bridge (100 milioni nel 2024).
Smart contract difettosi
Gli smart contract sono programmi che girano sulla blockchain ed eseguono automaticamente transazioni quando vengono soddisfatte certe condizioni. Se il codice contiene un errore logico (una condizione non prevista o un’operazione non protetta) gli hacker possono sfruttarlo per prelevare fondi anche se non autorizzati. Questi bug sono tanto più pericolosi quanto più liquidità gestisce il protocollo colpito.
L’evoluzione dei furti: dal 2010 ad oggi
I furti si sono evoluti nel tempo, vediamo in che modo.
Gli albori (2010-2017): gli exchange nel mirino
Il caso emblematico è Mt. Gox, fondato nel 2010 e rapidamente diventato il principale exchange di bitcoin al mondo, arrivando a gestire circa il 70% degli scambi globali nel 2013. Già dal 2011 i sistemi della piattaforma venivano compromessi nel silenzio totale. Ma il tracollo definitivo giunse nel febbraio 2014 quando emerse che circa 850mila Bitcoin (allora valutati 470 milioni di dollari, oggi equivalenti a decine di miliardi) erano scomparsi. La piattaforma dichiarò bancarotta in Giappone ad aprile dello stesso anno. Le causa furono molteplici:
- chiavi private poco protette;
- controlli interni carenti;
- un furto perpetrato gradualmente per anni senza essere rilevato.
Mt. Gox rimane ancora oggi il più grande fallimento di un exchange in termini di numero di bitcoin perduti.
L’era DeFi (2018-2023): bridge e protocolli decentralizzati
Con l’esplosione della finanza decentralizzata, i criminali hanno spostato l’attenzione dagli exchange centralizzati ai protocolli DeFi, molto più difficili da proteggere e privi di procedure di sicurezza standardizzate. Il 2022 è stato l’annus horribilis, con gli hacker nordcoreani che hanno rubato circa 1,7 miliardi di dollari, pari al 44% di tutti i furti crypto globali. Gli attacchi a Ronin Network (624 milioni) e Poly Network (611 milioni), con il supporto di hacker cinesi, hanno segnato il livello più alto mai raggiunto fino ad allora.
Il presente (2024-2026): intelligenza artificiale e attacchi multivettore
Il colpo più clamoroso della storia è stato registrato nel febbraio 2025, quando il già citato Lazarus Group ha sottratto 1,46 miliardi di dollari all’exchange Bybit, la seconda piattaforma crypto al mondo per volume, in pochi minuti. Nel 2025 i furti crypto globali hanno superato i 2,7 miliardi di dollari, in crescita del 20% rispetto all’anno precedente. L’intelligenza artificiale ha trasformato il settore attraverso strumenti deepfake, chatbot e campagne di phishing generate da LLM, che permettono attacchi su ampia scala e con una verosimiglianza prima impensabili.
Il riciclaggio “on-chain”: dove finisce il denaro rubato
Dopo il furto, il problema degli hacker è trasformare i proventi illeciti in denaro spendibile senza lasciare tracce. La blockchain, paradossalmente, è trasparente dunque ogni transazione è pubblica e permanente. Questo ha spinto i cyber criminali a sviluppare sofisticate tecniche di “offuscamento”.
I mixer di criptovalute
Un mixer riceve fondi da più utenti, li mescola e li restituisce in modo che sia impossibile risalire all’origine. Il caso più noto è Tornado Cash, un protocollo su Ethereum che, secondo il Dipartimento del Tesoro statunitense, avrebbe facilitato il riciclaggio di oltre 7 miliardi di dollari dal 2019 al 2022, di cui oltre 455 milioni riconducibili al solo Lazarus Group. Nell’agosto 2022 l’Ofac (Office of foreign assets control) ha sanzionato il servizio, inserendolo nella lista delle entità vietate. Si è trattato di una mossa storica, perché per la prima volta le sanzioni colpivano non una persona o un’azienda, ma un codice informatico.
Nel 2025 una corte federale ha stabilito che gli smart contract immutabili non possono essere qualificati come “proprietà” sanzionabile e ha parzialmente rimosso le sanzioni. Una mossa coerente con il passaggio dall’amministrazione Biden a quella di Trump, con una netta apertura al mondo crypto e dunque anche alle sue “storture”.
Il passaggio ai “porti sicuri”
Una volta offuscata la provenienza, i fondi vengono convertiti in valuta fiat (dollari, euro ecc.) attraverso exchange poco regolamentati, operanti in giurisdizioni con standard Kyc (Know your customer) minimi o assenti. I criminali creano spesso le proprie piattaforme di scambio per evitare controlli internazionali, oppure sfruttano stablecoin come Tether (Usdt) per spostare valore in modo meno tracciabile. Secondo TRM Labs, gli hacker nordcoreani avevano già riciclato 160 milioni dei fondi rubati a Bybit nelle ore successive all’attacco.
Furti di criptovalute e prediction market: un legame sottovalutato
I prediction market, piattaforme in cui gli utenti scommettono sull’esito di eventi futuri utilizzando criptovalute, sono diventati un fenomeno di massa. Polymarket, il più grande del settore, opera su Polygon, una blockchain compatibile con Ethereum, e ha processato miliardi di contratti durante le elezioni statunitensi del 2024. La struttura decentralizzata di queste piattaforme, tuttavia, apre vulnerabilità specifiche rispetto al riciclaggio di fondi illeciti.
A differenza di un exchange tradizionale, molti prediction market non impongono verifiche Kyc stringenti, quindi chiunque disponga di un wallet compatibile può operare in modo pseudonimo. Questo crea un canale potenzialmente utilizzabile per immettere criptovalute rubate, già parzialmente offuscate tramite mixer, attraverso le scommesse, ottenendo in cambio fondi “puliti” all’uscita. Inoltre, la velocità delle transazioni on-chain e l’assenza di intermediari centralizzati riducono le finestre di intervento per le autorità.
Un secondo rischio riguarda i bot algoritmici, cioè i sistemi automatizzati che scommettono sfruttando informazioni privilegiate o rubate, come dati di mercato sottratti tramite attacchi informatici, per anticipare movimenti di prezzo e trarne profitto. Il GAFI (Gruppo d’azione finanziaria internazionale) ha confermato nei rapporti 2024-2025 che l’applicazione delle normative antiriciclaggio rimane disomogenea, e che le piattaforme di asset virtuali vengono regolarmente sfruttate per stratificazione e offuscamento transfrontaliero.
Come provare a proteggersi dai furti
La sicurezza nel mondo crypto non può essere garantita e tutelata al 100%, è il “lato oscuro” di una finanza completamente decentralizzata. Tuttavia l’esposizione ai rischi di furto può essere mitigata attraverso comportamenti coerenti e consapevoli. Vediamo alcuni strumenti utili.
Wallet “freddi” (hardware wallet)
Le chiavi private che controllano i propri fondi non dovrebbero mai finire online. Un hardware wallet, un dispositivo fisico che firma le transazioni offline, elimina la superficie di attacco più comune. Le criptovalute custodite su un exchange o su un wallet online sono sempre esposte al rischio che quella piattaforma venga compromessa, come dimostrano i casi di Mt. Gox, Bybit, ad esempio.
Autenticazione a due fattori (2FA)
Nessuna operazione su piattaforme crypto dovrebbe avvenire senza 2FA attiva. È preferibile usare un’app dedicata anziché l’sms, vulnerabile agli attacchi di Sim-swapping, la frode informatica attraverso cui i criminali trasferiscono il numero di telefono della vittima su una Sim in loro possesso, permettendogli di intercettare sms, password e codici Otp (One-time password). Questo strato aggiuntivo di verifica rende molto più difficile accedere all’account anche se dispone della password.
Riconoscere le truffe
Secondo l'”Anti-Scam research report” di Bitget, SlowMist ed Elliptic, nel 2024 le truffe crypto hanno superato i 4,6 miliardi di dollari, con quasi il 40% delle frodi ad alto valore che ha sfruttato i deepfake per impersonare fondatori, dirigenti e personaggi pubblici. La regola aurea rimane quella valida anche per la “finanza tradizionale”: se un’offerta sembra troppo buona per essere vera (rendimenti elevati e garantiti, ad esempio) è una truffa. Verificare sempre gli Url, non cliccare link ricevuti via messaggio privato, e non condividere mai la frase seed, la sequenza di 12-24 parole casuali che funge da chiave maestra per accedere a un portafoglio di criptovalute e ai relativi fondi, del proprio wallet con nessuno.
Una sfida senza fine tra attacco e difesa con una preoccupante componente ideologica
Il furto da 290 milioni di dollari a KelpDAO non è dunque un episodio isolato, ma l’ultimo capitolo (al momento in cui si scrive) di una guerra silenziosa che si combatte sui codici e sui protocolli, con posta in gioco che va ben oltre il denaro digitale. Le criptovalute rubate finanziano programmi missilistici, alimentano economie criminali e mettono alla prova i limiti della cooperazione internazionale in uno spazio dove le leggi nazionali faticano a inseguire la velocità della tecnologia.
Sul fronte della difesa, l’intelligenza artificiale è un’arma a doppio taglio, poiché gli stessi strumenti che permettono di creare deepfake convincenti in pochi secondi vengono oggi impiegati per rilevare anomalie nelle transazioni, bloccare wallet sospetti e tracciare flussi illeciti in tempo reale.
E negli ultimi anni le questioni ideologiche che ruotano attorno alle criptovalute contribuiscono a complicare la situazione, lasciando sostanzialmente soli gli investitori, travolti da una responsabilità individuale che chi scrive ritiene vada ben oltre i limiti del possibile.
Token
Nel mondo delle criptovalute, un token può essere immaginato come un gettone digitale che può rappresentare soldi, punti premio, quote di un progetto o il diritto di usare un servizio su una blockchain come Ethereum. Alcuni token si comprano e si vendono come investimento, altri servono per accedere a funzioni specifiche.
Per ripassare e approfondire un po’
- Dove si conservano le criptovalute?
- Chi possiede (davvero) i bitcoin?
- Polymarket e Kalshi, i siti per scommettere su tutto
- Hacker, dati trafugati e 80 milioni di dollari. L’inchiesta che scuote Wall Street
Nessun commento finora.