Il rapporto del 12 maggio di CertiK ha messo in allerta ogni progetto e piattaforma di scambio di criptovalute, dopo che l'azienda di sicurezza blockchain ha evidenziato l'entità dei danni causati dagli hacker nordcoreani a partire dal 2016. I risultati sono disponibili e il quadro è allarmante: si stima che siano andati persi 6,75 miliardi di dollari in criptovalute a seguito di 263 incidenti.
Il rapporto di Certik è stato pubblicato pochi giorni dopo che TRM Labs ha implicato attori nordcoreani in circa il 76% delle perdite subite a causa di attacchi hacker nel settore delle criptovalute fino ad aprile 2026. Proprio come nel 2025, quando colpirono Bybit per 1,5 miliardi di dollari, attori nordcoreani sono stati indicati come responsabili degli attacchi a KelpDAO e Drift Protocol, due dei più grandi exploit del 2026.
In particolare, nessuno dei rapporti delle società di intelligence sulla sicurezza ha suggerito che l'avversario più persistente e costoso nel mondo delle criptovalute stia rallentando. Gli hacker nordcoreani si muovono con maggiore precisione, causando perdite ben maggiori in un numero inferiore di incidenti.
Gli hacker nordcoreani ottengono maggiori guadagni con un numero inferiore di attacchi.
Secondo il rapporto di CertiK , soggetti legati alla Corea del Nord sarebbero stati responsabili solo del 12% del totale dei furti di criptovalute e di circa il 60% del valore complessivo dei beni rubati nel 2025, pari a 2,06 miliardi di dollari su un totale di 3,4 miliardi di dollari di perdite.
Il 2026 è iniziato sulla stessa traiettoria, con i gruppi nordcoreani responsabili del 55% (620,9 milioni di dollari) delle perdite subite dai progetti quest'anno.
Considerando solo la violazione del protocollo Drift da 285 milioni di dollari del 1° aprile e l'exploit del bridge KelpDAO da 292 milioni di dollari del 18 aprile, si tratta del 3% del numero totale di incidenti e del 76% del bottino rubato nel 2026, secondo TRM Labs.
Gli attori nordcoreani sono ovunque
Sia TRM Labs che Certik hanno avvertito che la stragrande maggioranza degli attacchi informatici legati alla Corea del Nord non è dovuta a vulnerabilità del software. Piuttosto, sfruttano le persone con le classiche tecniche di ingegneria sociale .
"La maggior parte delle principali operazioni della RPDC inizia con la manipolazione umana, tra cui false offerte di lavoro, impersonificazione di operatori di venture capital e repository dannosi", ha affermato CertiK nel suo rapporto.
Secondo quanto riportato da TRM Labs, alcuni intermediari nordcoreani avrebbero tenuto incontri di persona con i dipendenti di Drift prima della violazione. Tra il 23 e il 30 marzo, l'attaccante ha sfruttato la funzionalità di nonce durevole di Solana per indurre i firmatari multisig di Drift ad autorizzare preventivamente le transazioni.
Entro il 1° aprile, il protocollo è stato esaurito in 31 prelievi che hanno richiesto circa 12 minuti ciascuno.
L'attacco hacker da 1,5 miliardi di dollari subito da Bybit nel febbraio 2025, il più grande furto di criptovalute mai registrato, ha dimostrato che "anche i wallet multisig di livello istituzionale possono essere compromessi prendendo di mira infrastrutture di terze parti affidabili anziché i contratti intelligenti", secondo CertiK. L'FBI ha attribuito l'attacco al gruppo nordcoreano TraderTraitor.
Secondo quanto riportato da Cryptopolitan , ZachXBT ha rintracciato 16,58 milioni di dollari in pagamenti diretti di stipendi in criptovalute a funzionari nordcoreani che si spacciavano per sviluppatori tra gennaio e luglio 2025.
L'ultimo rapporto di CertiK ha ribadito la preoccupazione, affermando che "agenti nordcoreani si sono infiltrati nei team DeFi sotto false identità, consentendo in alcuni casi direttamente il furto di fondi dall'interno".
La violazione di KelpDAO ha seguito uno schema diverso. Gli aggressori, TraderTraitor, un'operazione affiliata a Lazarus Group, hanno sfruttato una falla di progettazione a verifica singola in un bridge LayerZero. Dopo che Arbitrum ha congelato circa 75 milioni di dollari dei fondi rubati, gli hacker si sono dedicati al riciclaggio tramite THORChain, convertendo l'Ether (ETH) rubato in Bitcoin (BTC), secondo TRM Labs .
Da allora, LayerZero ha negato le accuse e ha rilasciato delle scuse pubbliche, come riportato da Cryptopolitan.
Gli hacker nordcoreani seguono percorsi di uscita simili
Secondo quanto riportato da CertiK, entro un mese dall'attacco hacker a Bybit, l'86,29% degli ETH rubati è stato convertito in Bitcoin utilizzando mixer, bridge cross-chain, exchange decentralizzati e broker over-the-counter.
TRM Labs ha osservato che THORChain ha gestito la maggior parte dei proventi derivanti sia dalla violazione di Bybit che dall'attacco hacker a KelpDAO, "convertendo centinaia di milioni di ETH rubati in Bitcoin senza che alcun operatore fosse disposto a bloccare o rifiutare i trasferimenti".
Secondo CertiK, le valutazioni dell'intelligence statunitense indicano che i fondi rubati tramite operazioni informatiche nordcoreane finanziano i programmi nucleari e missilistici balistici del Paese.
La Corea del Nord ha negato qualsiasi coinvolgimento. Un portavoce del Ministero degli Esteri ha definito le accuse "calunnie assurde" diffuse da "organi governativi statunitensi, organi di stampa corrotti e organizzazioni che ordiscono complotti", secondo quanto riportato da Cryptopolitan il 4 maggio in merito alla smentita di Pyongyang .
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi unirti a loro ?