Negli ultimi giorni, un significativo attacco informatico ha portato al furto di 1,5 miliardi di euro in criptovalute. Il gruppo hacker nordcoreano Lazarus è stato identificato come il responsabile di questa operazione, che ha sfruttato vulnerabilità nei sistemi di sicurezza delle piattaforme di scambio. Questo evento rappresenta uno dei più rilevanti incidenti nel settore delle criptovalute.
Le piattaforme coinvolte stanno collaborando per recuperare i fondi sottratti e hanno offerto ricompense a chiunque possa fornire informazioni utili. Nonostante l’accaduto, le aziende hanno assicurato la loro capacità di rimborsare gli utenti colpiti. In questo articolo, esamineremo i dettagli dell’attacco e il modus operandi del gruppo Lazarus.
Il gruppo Lazarus
Il gruppo hacker nordcoreano Lazarus è noto per la sua attività nel settore delle criptovalute, avendo condotto alcuni degli attacchi più significativi degli ultimi anni. Recentemente, ha sviluppato nuove tecniche per il riciclaggio del denaro rubato, tra cui l’uso di memecoin e rug pull. Questi metodi sfruttano la volatilità del mercato per gestire i proventi illeciti. Secondo indagini recenti, questi approcci potrebbero essere stati impiegati per riciclare i fondi sottratti alla piattaforma di scambio Bybit.
Dai Rug Pull ai Mixer
Le indagini hanno rivelato che Lazarus ha iniettato piccole somme di denaro in QinShihuang su Pump[.]fun, una piattaforma nota per la creazione di memecoin. Dopo aver generato un’apparente liquidità reale, i fondi sono stati prelevati e redistribuiti. Questa tecnica consente di creare una sorta di mixer improvvisato basato sullo sfruttamento dell’alta volatilità di questi asset digitali. Inoltre, si è scoperto che gli stessi operatori coinvolti nel riciclaggio degli ether rubati da Bybit avevano già creato altri memecoin sulla stessa piattaforma in passato.
L’abilità con cui Lazarus unisce sofisticate tecniche di attacco a metodi creativi di riciclaggio mostra quanto il gruppo sia diventato un attore chiave nell’ecosistema delle criptovalute illecite. L’industria delle criptovalute si trova quindi di fronte a una sfida complessa: da un lato, garantire sicurezza agli investitori, dall’altro, contrastare l’uso improprio delle tecnologie blockchain per attività criminali.
Il colpo a Bybit
L’attacco a Bybit è stato uno dei più sofisticati mai registrati. Il 21 febbraio, i criminali informatici sono riusciti a penetrare nei sistemi interni dell’exchange, analizzando i protocolli aziendali e infettando con malware i dipendenti responsabili dell’autorizzazione delle transazioni. Il loro obiettivo principale era il sistema di gestione dei fondi nei cosiddetti “hot wallet”, gli indirizzi che contengono le riserve necessarie per le operazioni quotidiane della piattaforma.
Bybit ha dichiarato che l’attacco è stato portato a termine attraverso una manipolazione del software utilizzato per la movimentazione dei fondi tra cold e hot wallet. Durante una normale operazione di ricarica, gli hacker hanno alterato l’interfaccia utente, modificando la logica dei contratti intelligenti e ingannando gli ingegneri responsabili della verifica. Questo ha permesso l’esecuzione di una transazione fraudolenta che ha trasferito oltre 400.000 ETH e stETH, per un valore superiore a 1,5 miliardi di dollari, su indirizzi controllati dai cybercriminali.
Subito dopo, gli asset sono stati smistati su 50 diversi wallet in meno di due ore, sfruttando servizi di conversione per iniziare il processo di occultamento.
Un crescendo di furti
Il modus operandi di Lazarus non è nuovo. Nel 2022 il gruppo è stato responsabile del furto di 1,1 miliardi di dollari attraverso vari attacchi informatici, mentre nel 2024 ha già superato i 1,34 miliardi di dollari, con 47 attacchi documentati (secondo Chainalysis). Il trend per il 2025 si preannuncia ancora più preoccupante: con il colpo a Bybit, il totale rubato ha già superato il record annuale nel primo trimestre.
La risposta di Bybit
Dopo l’attacco, Bybit ha annunciato l’istituzione di un programma di ricompense per il recupero dei fondi sottratti. L’exchange offre fino al 10% della somma recuperata a chiunque fornisca informazioni utili al ritorno dei token trafugati. Un’iniziativa simile era già stata adottata in passato da altre piattaforme colpite, ma l’efficacia di tali misure rimane incerta di fronte alla rapidità con cui i fondi rubati vengono offuscati attraverso i servizi di mixing e le operazioni di riciclaggio.
In conclusione
Il recente attacco a Bybit evidenzia l’evoluzione degli attacchi informatici nel settore delle criptovalute. Il gruppo Lazarus, utilizzando strategie avanzate, rimane un attore di rilievo nella cybercriminalità finanziaria. Nonostante gli sforzi degli exchange per migliorare le misure di sicurezza, il settore deve continuare a lavorare per proteggere gli investitori e mantenere la stabilità dell’ecosistema delle criptovalute. Questo rappresenta un esempio di quanto sia fondamentale, al giorno d’oggi, essere correttamente protetti e che basta una sola vulnerabilità per danneggiare gravemente un’intera azienda.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
