L'attacco da 280 milioni di dollari ai danni di Drift Protocol, avvenuto la scorsa settimana, non è stato un semplice furto: si tratta dell'ultima operazione legata a una rete di agenti nordcoreani che da anni operano silenziosamente all'interno di alcuni dei più importanti progetti nel settore delle criptovalute.
Sette anni di copertura, oltre 40 piattaforme violate
Taylor Monahan, sviluppatore di MetaMask e ricercatore nel campo della sicurezza, ha dichiarato domenica che tecnici informatici nordcoreani si sonoinfiltrati in oltre 40 piattaforme di finanza decentralizzata, alcune delle quali molto note nel settore delle criptovalute.
La loro infiltrazione risale a quello che il settore chiama "DeFi Summer", ovvero all'incirca il 2020, quando la finanza decentralizzata ha conosciuto un'enorme popolarità.
oh dio uhhhh come sushi, catena, igname, sottaceto, raccolto, recupero, altalena, pagato, naos, shezmu, qrolli, zafferano, sifu, napier, armonia, mirtillo, stabble, onering, elementale, divvy, la token, impermax, kira, cuoco, fantom, ankr, gamerse, metaplay, spezia, fagiolo magico, deltaprime,…
— Tay
(@tayvano_) 5 aprile 2026
(@tayvano_) Monahan ha affermato che i "sette anni di esperienza nello sviluppo blockchain" che questi lavoratori elencano nei loro curriculum non sono inventati. Hanno effettivamente creato i protocolli.
Il Gruppo Lazarus, nome dato all'operazione informatica sponsorizzata dallo stato nordcoreano, ha sottratto circa 7 miliardi di dollari al settore delle criptovalute dal 2017.
Secondo quanto riferito:
Nel 2026 Lazarus ha effettuato 18 attacchi ai protocolli in 3 mesi
Fondi rubati stanno finanziando il programma nucleare nordcoreano.
È il fondo di venture capital di maggior successo costruito su hacker
Ecco la cronologia completa dell'attacco.
— jussy (@jussy_world) 5 aprile 2026
Questa cifra proviene dagli analisti della rete di creatori R3ACH. Tra i principali attacchi attribuiti al gruppo figurano la violazione del Ronin Bridge da 625 milioni di dollari nel 2022, l'attacco hacker a WazirX da 235 milioni di dollari nel 2024 e il furto di Bybit da 1,4 miliardi di dollari nel 2025.
Non tutti i nordcoreani: ora sono coinvolti intermediari.
Ciò che distingue il caso Drift è chi si è presentato di persona. Il protocollo prevedeva che gli incontri faccia a faccia relativi alla violazione non fossero condotti da cittadini nordcoreani.
Le segnalazioni indicano invece che il gruppo si è avvalso di intermediari terzi: persone con identità false create ad arte, storie lavorative inventate e reti professionali costruite per eludere i controlli.
Lazarus Group è il nome collettivo di tutti gli attori informatici sponsorizzati dallo stato della RPDC.
Il problema principale è che tutti tendono a raggrupparli insieme, quando in realtà la complessità delle minacce è diversa.
Le minacce tramite annunci di lavoro, LinkedIn, email, Zoom o colloqui sono basilari e in nessun modo… pic.twitter.com/NL8Jck5edN
— ZachXBT (@zachxbt) 5 aprile 2026
Investigatore: le aziende che ancora ci cascano sono negligenti
L'esperto di blockchain ZachXBT ha contestato il modo in cui il settore discute di queste minacce, affermando che non tutti i tipi di attacco hanno lo stesso peso.
Le strategie di reclutamento basate su annunci di lavoro, contatti su LinkedIn e colloqui via Zoom sono, a suo dire, basilari. Non richiedono particolari competenze tecniche. Ciò che le rende efficaci è la pura e semplice perseveranza.
"Se tu o il tuo team ci cascate ancora nel 2026, è molto probabile che siate stati negligenti", ha scritto ZachXBT.
Per le aziende che desiderano escludere soggetti disonesti, l'Ufficio statunitense per il controllo dei beni esteri (OFAC) mette a disposizione un database pubblico in cui le imprese del settore delle criptovalute possono verificare le controparti confrontandole con gli elenchi aggiornati delle sanzioni e individuare eventuali schemi riconducibili a frodi commesse da dipendenti del settore IT.
Immagine principale da Unsplash, grafico da TradingView