Perché la Corea del Nord prende di mira le criptovalute anziché eludere le sanzioni come la Russia e l’Iran

La campagna di infiltrazione durata sei mesi condotta contro Drift ha scosso un settore della crypto già provato da exploit per miliardi di dollari, e ha riportato al centro del dibattito una domanda più ampia: perché la Corea del Nord ritorna sistematicamente verso il mondo della crypto, e perché il suo approccio differisce tanto dalle operazioni di hacking sostenute da altri Stati?

Gli esperti di sicurezza spiegano che la risposta breve è legata alla necessità di reperire entrate liquide: la crypto fornisce al regime una fonte di ricchezza immediatamente spendibile su scala globale.

Dave Schwed said:

“La Corea del Nord non si può permettere il lusso della pazienza. È soggetta a sanzioni internazionali comprensive e ha bisogno di valuta forte per finanziare programmi d’armamento.”

Schwed, chief operating officer di SVRN e fondatore del master in cybersecurity della Yeshiva University, ricorda che organismi internazionali e agenzie di intelligence hanno identificato il furto di crypto come una delle principali fonti di finanziamento per i programmi nucleari e missilistici del Paese.

Perché la Corea del Nord mira alla crypto

La differenza chiave, secondo gli analisti, è strutturale: Stati come Russia e Iran dispongono ancora di beni e canali economici — petrolio, gas, esportazioni di materie prime, reti di intermediari — che permettono loro di usare la crypto come strumento di pagamento o come corridoio secondario per aggirare le sanzioni.

La Corea del Nord, invece, ha poche esportazioni non sanzionate e non possiede un’economia funzionante che richieda una semplice infrastruttura di pagamento: ciò la spinge a cercare entrate dirette, rapidamente liquidabili, senza necessità di controparti disposte a farle affari.

Schwed said:

“Il furto di crypto offre accesso immediato a valore liquido, ovunque, senza bisogno di un partner commerciale disposto a trattare con loro.”

Obiettivi e modalità operative

Questa logica trasforma la crypto in un obiettivo primario, non solo in un’infrastruttura. Gli attacchi puntano tipicamente a scambi (exchanges), fornitori di wallet, protocolli DeFi e a singoli ingegneri o fondatori con autorità di firma o accesso all’infrastruttura.

Alexander Urbelis said:

“La vittima è chiunque detenga le chiavi o l’accesso all’infrastruttura che conserva quelle chiavi.”

Urbelis, chief information security officer di ENS Labs e docente di cybersecurity al King’s College London, sottolinea che le tattiche adottate somigliano più a quelle dei servizi di intelligence che a semplici gruppi criminali: costruzione di rapporti nel tempo, identità false credibili e infiltrazioni nella catena di fornitura.

La campagna contro Drift è l’ultimo esempio noto di operazioni che durano mesi, in cui l’obiettivo non è un attacco opportunistico ma la compromissione mirata di una persona o di un componente critico per ottenere accesso alle risorse desiderate.

Perché l’architettura della blockchain favorisce questi attacchi

Nell’economia tradizionale, anche i furti di successo incontrano freni procedurali: controlli di compliance, verifiche da parte di banche corrispondenti, ritardi nei regolamenti e possibilità di revoca dei trasferimenti fraudolenti. La natura delle transazioni su blockchain elimina molte di queste salvaguardie a livello di protocollo.

Urbelis said:

“Una volta che una transazione è firmata e confermata, è definitiva.”

L’esempio recente del colpo a Bybit, che ha spostato circa 1,5 miliardi di dollari in circa 30 minuti, illustra come la rapidità e la scala di tali trasferimenti sarebbero quasi impossibili nel sistema bancario tradizionale.

Questa irrevocabilità impone un cambiamento nel calcolo della sicurezza: nei sistemi bancari esiste sempre una finestra per congelare fondi o invertire operazioni, mentre nelle transazioni decentralizzate tale finestra è praticamente nulla. Di conseguenza, la prevenzione diventa l’unica strategia effettiva per evitare perdite ingenti.

Conseguenze per l’industria e raccomandazioni

Molti progetti crypto operano ancora in condizioni di governance e controllo in via di definizione, privilegiando spesso velocità e innovazione rispetto a procedure rigorose di verifica e auditing. Questo crea un terreno fertile per attacchi sofisticati che sfruttano identità false e terze parti fidate ma compromesse.

Per mitigare il rischio, gli operatori dovrebbero rafforzare i processi di due diligence sui fornitori e sugli interlocutori, adottare pratiche di segretezza operative più stringenti, implementare schemi di firma multi‑partito e intensificare il monitoraggio continuo delle attività di accesso e delle modifiche infrastrutturali.

Dal punto di vista istituzionale, una cooperazione internazionale più coordinata tra regolatori, piattaforme di scambio e soggetti del settore tecnologico è necessaria per sviluppare standard condivisi di security, meccanismi di risposta rapida e strumenti tecnici che aumentino la resilienza dell’ecosistema.

Infine, la natura transnazionale dei furti legati alla crypto richiede che le contromisure includano elementi di intelligence finanziaria, scambio di informazioni tra Paesi e capacità di sanzionare o bloccare i flussi di valore senza compromettere i principi fondamentali delle reti decentralizzate.