Attacchi informatici e furti di criptovalute nel 2026
Nel mese di aprile 2026, due attacchi informatici hanno portato al furto di 577 milioni di dollari, rappresentando il 76% di tutti i furti di criptovalute registrati fino a quel momento nell’anno. Entrambi gli attacchi sono stati attribuiti al Lazarus Group, un gruppo di hacker della Corea del Nord. È importante notare che nessuno dei due attacchi ha sfruttato vulnerabilità negli smart contract.
Dettagli degli attacchi
Gli aggressori hanno trascorso sei mesi fingendosi un’azienda di trading, partecipando a conferenze di settore e costruendo relazioni reali con ingegneri di Drift Protocol, prima di ottenere le firme necessarie per drenare 285 milioni di dollari in soli dodici minuti. L’altro attacco ha sottratto 292 milioni di dollari da un singolo nodo vulnerabile di un bridge.
“Questo non è più un problema di sicurezza delle criptovalute, ma un’operazione di intelligence sponsorizzata dallo stato, condotta da un paese che utilizza i proventi per finanziare il proprio programma di armi.”
Alle 16:06:09 UTC del 1 aprile 2026, un attaccante ha drenato i principali vault di Drift Protocol, il più grande exchange decentralizzato di futures perpetui su Solana, di circa 285 milioni di dollari in asset degli utenti. Il primo prelievo ha spostato 41,72 milioni di token JLP, mentre l’ultimo ha trasferito 2.200 ETH avvolti. L’intero tesoro è stato svuotato in dodici minuti, il tempo necessario per scrivere un lungo messaggio di testo.
Risposta e conseguenze
La prima dichiarazione pubblica del team, pubblicata su X poche ore dopo, ha chiesto alla comunità di confermare che l’attività insolita che stavano osservando non fosse uno scherzo del pesce d’aprile. Non lo era. Era il culmine di sei mesi di preparazione metodica da parte di agenti che lavoravano per il governo della Corea del Nord.
APPENA IN: Drift Protocol annuncia che tutti i portafogli colpiti dall’exploit del 1 aprile riceveranno token di recupero, ciascuno rappresentante una perdita verificata e una richiesta di recupero proporzionale.
Diciassette giorni dopo, il 18 aprile, gli attaccanti hanno drenato 292 milioni di dollari da KelpDAO, un protocollo di restaking, manipolando una configurazione a singolo verificatore nel suo bridge LayerZero. I due attacchi combinati hanno rappresentato circa il 95% dei 625 milioni di dollari di furti di criptovalute di aprile, rendendo quel mese il peggiore per la sicurezza delle criptovalute nella storia registrata.
Il ruolo del Lazarus Group
TRM Labs ha attribuito il 76% dell’intero totale del 2026 a questi due attacchi, entrambi opera dello stesso attore di minaccia. Questo attore di minaccia è il Lazarus Group, il nome ombrello utilizzato dalle agenzie di intelligence occidentali per le operazioni di hacking sponsorizzate dallo stato gestite dal Bureau Generale di Ricognizione, l’agenzia di intelligence principale della Corea del Nord. Dal 2017, Lazarus e le sue sotto-unità hanno rubato oltre 6 miliardi di dollari in criptovalute.
Le vulnerabilità e le sfide attuali
La realtà del 2026 è rappresentata da operazioni sostenute, multi-paese e multi-mese gestite da professionisti dell’intelligence che non hanno bisogno di un exploit di codice perché hanno già le chiavi. Dovevano solo convincere qualcuno a consegnarle. Questo è ciò che è stato l’attacco a Drift. Comprendere questo aspetto è la più importante educazione alla sicurezza che qualsiasi detentore, costruttore o dirigente di criptovalute possa ricevere in questo momento.
Il post-mortem di Drift Protocol, pubblicato all’inizio di aprile, sembra più un rapporto di controintelligence che una divulgazione di sicurezza. A una grande conferenza di criptovalute, un gruppo di individui che si presentavano come rappresentanti di un’azienda di trading quantitativo si è avvicinato ai collaboratori di Drift. Avevano background professionali verificati, dimostravano una fluente competenza tecnica e ponevano esattamente i tipi di domande che un vero istituto di trading istituzionale porrebbe riguardo all’integrazione con un protocollo di futures perpetui.
Conclusioni e raccomandazioni
La domanda più difficile è cosa dovrebbe effettivamente cambiare affinché il problema Lazarus diventi trattabile. Tre cose, in ordine di difficoltà di implementazione:
- Cultura della sicurezza operativa all’interno dei protocolli DeFi.
- Design architettonico dei sistemi di governance e multisig.
- Livello di infrastruttura e gestione della neutralità a livello di infrastruttura.
La cosa più difficile riguardo alla storia di Lazarus è che costringe l’industria crypto a confrontarsi con una verità che non si adatta perfettamente alla sua auto-concezione. La minaccia non è una pressione esterna. La minaccia è un avversario ostile sponsorizzato dallo stato che ha industrializzato lo sfruttamento delle specifiche caratteristiche strutturali della crypto.
