Gli investigatori del settore crypto stanno lanciando l'allarme dopo che 3,2 milioni di dollari sono stati sottratti da diversi wallet Solana il 16 maggio 2025, che, a loro dire, portano i segni distintivi del gruppo Lazarus, legato alla Corea del Nord. I beni rubati sono stati rapidamente venduti on-chain e trasferiti a Ethereum, prima che una parte venisse riciclata tramite Tornado Cash .
Il 16 maggio, gli indirizzi Solana della vittima sono stati svuotati dei token e le risorse sono state quindi convertite in Ethereum tramite un bridge prima che una parte di esse venisse depositata su Tornado Cash .
Il ricercatore di blockchain ZachXBT ha segnalato pubblicamente l'exploit , tracciando parallelismi con le precedenti attività di Lazarus.
Gli hacker hanno collegato i fondi rubati
Gli investigatori della blockchain hanno lanciato l'allarme per primi dopo aver osservato ingenti trasferimenti dall'indirizzo " C4WY…e525 " su Solana.
Queste transazioni, collegate al famigerato Lazarus Group, prevedevano il trasferimento dei token rubati attraverso un ponte e la loro conversione in Ethereum. ZachXBT ha segnalato l'attacco monitorando l'attività del ponte e tracciando i fondi che alla fine sono finiti in una rete di wallet su Ethereum.
Il 25 e il 27 giugno, 400 ETH sono stati inviati a Tornado Cash in due depositi separati. Queste 800 transazioni in ETH, per un totale di circa 1,6 milioni di dollari, sono in linea con le ben documentate tattiche di riciclaggio di denaro del Gruppo Lazarus .
Dopo attacchi informatici di alto profilo come quello a Bybit, in cui sono stati rubati 1,5 miliardi di dollari nel febbraio 2025, e quello a Horizon Bridge di Harmony , in cui sono stati rubati 100 milioni di dollari nel 2022, tra gli altri attacchi informatici degni di nota, Lazarus ha ripetutamente utilizzato Tornado Cash, insieme a exchange decentralizzati e bridge cross-chain, per riciclare fondi offuscando le tracce delle transazioni.
Circa 1,25 milioni di dollari risiedono ancora in un indirizzo wallet identificato come " 0xa5…d528 " su Ethereum, in una combinazione di DAI ed ETH. Gli analisti ipotizzano che questi fondi possano essere parcheggiati per un futuro riciclaggio o mantenuti intenzionalmente inattivi per mitigare il rischio di essere scoperti.
Il Gruppo Lazarus è attivo dal 2017
Il Gruppo Lazarus si è guadagnato la reputazione di essere l'organizzazione criminale informatica più prolifica legata allo Stato, con sanzioni imposte alla Corea del Nord che lo hanno classificato come una Minaccia Persistente Avanzata (APT) legata alle unità d'élite dell'intelligence militare di Pyongyang. Nel corso degli anni, ha rubato miliardi di dollari in criptovalute dal 2017.
Il loro modus operandi inizia spesso con l'infiltrazione di personale chiave tramite phishing o malware, sfruttando falle negli smart contract o vulnerabilità dei wallet. Una volta ottenuti, i fondi vengono rapidamente convertiti in asset liquidi, suddivisi in più wallet e riciclati attraverso catene di scambio tramite mixer come Tornado Cash e servizi che offrono swap istantanei senza requisiti Know Your Customer (KYC).
Tornado Cash rimane centrale nella strategia antiriciclaggio di Lazarus. Nonostante le sanzioni statunitensi imposte nel 2022, l'hosting decentralizzato e l'immutabilità hanno permesso al servizio di evitare la chiusura definitiva. Nel gennaio 2025, una corte d'appello statunitense ha annullato tali sanzioni, citando considerazioni sulla libertà di parola, nonostante le crescenti prove che collegassero Lazarus al continuo utilizzo di mixer.
Le autorità di regolamentazione e gli exchange potrebbero ora adottare misure per contrassegnare gli indirizzi segnalati come sospetti. Tuttavia, data la velocità e la complessità del processo di riciclaggio di Lazarus, i servizi di mixing continuano a dimostrarsi sufficienti per nascondere il movimento dei fondi rubati.
Le tue notizie sulle criptovalute meritano attenzione: KEY Difference Wire ti mette su oltre 250 siti top