Nel solo mese di aprile 2026, gli hacker hanno rubato oltre 625 milioni di dollari attraverso 20-30 attacchi distinti. Si tratta di quasi un attacco al giorno. DefiLlama ha pubblicato un grafico su X che mostra come ad aprile si sia registrata una media di quasi un attacco al giorno, rispetto ai precedenti record mensili che raramente superavano i 12-15 incidenti.
Questo dato ha superato il totale di tutti i trimestri precedenti, spingendo il mese verso un record di violazioni della sicurezza .
Perché due soli attacchi hanno causato quasi tutti i danni?
Diversi episodi di grande impatto hanno caratterizzato il mese. Il 1° aprile 2026, il Drift Protocol ha perso 285 milioni di dollari. Un gruppo nordcoreano ha impiegato circa sei mesi per costruire un rapporto di fiducia con i dipendenti di Drift, per poi rubare i fondi in 12 minuti utilizzando istruzioni di prelievo pre-firmate.
Come già riportato da Cryptopolitan , anche KelpDAO ha subito la stessa sorte il 18 aprile, perdendo 293 milioni di dollari dopo che degli hacker hanno ingannato il suo sistema, inducendolo a rilasciare token privi di una reale garanzia.
Entrambi gli attacchi provenivano dalla Corea del Nord, ma hanno utilizzato metodi diversi, dimostrando un livello di sofisticazione per il quale il settore DeFi non era preparato. Insieme, questi due incidenti da soli hanno rappresentato la maggior parte delle perdite di aprile. Ciò dimostra come un piccolo numero di attacchi sofisticati possa destabilizzare ampie porzioni dell'ecosistema DeFi.
Perché un attacco hacker ha congelato miliardi di dollari che non avevano nulla a che fare con KelpDAO?
Il gruppo responsabile dell'attacco a KelpDAO ha depositato i token rubati come garanzia su Aave e ha ottenuto un prestito di quasi 190 milioni di dollari in Ethereum reale a fronte di tali token.
Aave deteneva ormai token senza valore come garanzia per prestiti reali e i depositi sulla piattaforma sono crollati da 26,4 miliardi di dollari a circa 17,9 miliardi di dollari in sole 48 ore. I pool di stablecoin sulla piattaforma hanno raggiunto il 100% di utilizzo e, secondo Galaxy Research, i crediti inesigibili di Aave sono saliti a una cifra compresa tra 123,7 e 230 milioni di dollari.
Oltre 13 miliardi di dollari sono usciti dai protocolli DeFi nei giorni successivi all'attacco, a causa del panico degli utenti che hanno iniziato a ritirare i propri fondi. Piattaforme come Morpho, Spark, Lido, Yearn, Beefy e la stessa Ethereum hanno bloccato alcune operazioni a causa dei massicci deflussi, mentre la fiducia nell'intero settore crollava.
Nessuno di questi fattori tiene conto dei danni collaterali osservati in termini di TVL, fiducia degli utenti, valutazioni e morale del settore. La DeFi rimane un mercato di nicchia finché il rischio non potrà essere adeguatamente prezzato." Analista DeFi, citato da BeInCrypto.
Chi è il responsabile e quanto ha rubato in totale?
Secondo TRM Labs, le unità di hacker sostenute dal governo nordcoreano sono state responsabili del 75% di tutte le perdite dovute ad attacchi hacker nel settore delle criptovalute fino ad aprile 2026 (577 milioni di dollari su un totale di 759 milioni di dollari).
Come documentato dalle Nazioni Unite, dal Dipartimento del Tesoro degli Stati Uniti e da diverse società di intelligence blockchain, la Corea del Nord ruba criptovalute per finanziare il proprio governo e i programmi di armamento a causa delle severe sanzioni internazionali. TRM Labs ha riferito che la Corea del Nord ha rubato oltre 6 miliardi di dollari in criptovalute dal 2017.
"Quella a cui stiamo assistendo non è una campagna nordcoreana più ampia, bensì più mirata", ha affermato Ari Redbord, responsabile globale delle politiche e degli affari governativi presso TRMLabs. "La Corea del Nord si sta muovendo più velocemente e con maggiore precisione che mai."
Che cosa accadde nel resto di aprile, dopo i due grandi attentati?
Il 10 aprile Rhea Finance ha perso 18,4 milioni di dollari. Tether ha bloccato tempestivamente 3,29 milioni di dollari di quei fondi, ma l'attaccante ha utilizzato prestiti flash per manipolare i prezzi e prosciugare il pool della somma rimanente.
Analogamente, l'exchange di criptovalute kirghizo Grinex ha perso 13,74 milioni di dollari in USDT il 15 aprile, dopo che degli hacker hanno suddiviso i fondi in 54 portafogli e li hanno convertiti in SunSwap per renderli difficili da tracciare. Anche Hyperbridge ha perso 2,5 milioni di dollari sulla rete Polkadot e CoW Swap 1,2 milioni di dollari il 14 aprile.
L'analista on-chain Wazz ha pubblicato un messaggio su X il 29 aprile, affermando: "Centinaia di portafogli (molti dei quali inattivi da oltre 7 anni) sono stati svuotati dallo stesso indirizzo sulla rete principale di ETH". Ha aggiunto: "Sembra un nuovo exploit attivo, da segnalare".
Ma non finì lì, perché Wasabi Protocol perse circa 5 milioni di dollari l'ultimo giorno di aprile dopo che un hacker utilizzò una chiave di distribuzione compromessa per sfruttare il sistema.
La DeFi sta diventando più sicura o più pericolosa?
Entrambe le cose, a seconda del punto di vista. Ad esempio, i tempi di risposta agli attacchi sono notevolmente migliorati nel corso degli anni, tanto che oltre 14 organizzazioni hanno promesso più di 300 milioni di dollari al fondo di salvataggio DeFi United dopo l'incidente di KelpDAO.
Il Consiglio di sicurezza di Arbitrum ha addirittura congelato 71 milioni di dollari dei fondi dell'attentatore, avvalendosi di poteri di emergenza, cosa che sarebbe stata impensabile fino a pochi anni fa.
Tuttavia, gli attacchi si stanno evolvendo più rapidamente di quanto le difese riescano a tenere il passo, perché i due incidenti più gravi di aprile hanno sfruttato la manipolazione umana. Anni fa, la maggior parte degli attacchi informatici sfruttava bug negli smart contract.
Se le perdite dovessero continuare a questo ritmo, con lo stesso numero di attacchi informatici, il settore potrebbe perdere circa 7,5 miliardi di dollari nei prossimi mesi. Si tratta di una cifra tre volte superiore alle perdite registrate nel 2024.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis .