Il manuale dei furti in criptovalute della Corea del Nord si espande e la defi continua a essere nel mirino

A poche settimane dall’attacco che ha colpito la piattaforma di trading Drift, hacker legati a Corea del Nord sembrano aver realizzato un nuovo colpo importante ai danni del protocollo di restaking Kelp, connesso all’infrastruttura cross-chain di LayerZero.

L’episodio suggerisce un’evoluzione nelle modalità operative degli attaccanti: non più solamente alla ricerca di bug o di credenziali rubate, ma intenzionati a sfruttare le supposizioni di base su cui si fondano i sistemi decentralizzati.

Secondo analisti del settore, i due attacchi combinati avrebbero permesso di sottrarre oltre 500 milioni di dollari in poco più di due settimane, segnalando un’azione più coordinata che non semplici episodi isolati.

Alexander Urbelis di ENS Labs ha commentato:

“Non si tratta di una serie di incidenti; è una cadenza.”

Come è avvenuta la compromissione

L’attacco a Kelp non si è basato sulla violazione della crittografia né sul furto diretto di chiavi private: gli aggressori hanno manipolato i dati immessi nel sistema e lo hanno indotto ad accettare informazioni compromesse, facendo sì che venissero approvate transazioni inesistenti.

Alexander Urbelis ha spiegato il problema in modo conciso:

“Una firma su una falsità resta una falsità: le firme certificano la paternità, non la veridicità.”

In pratica, il protocollo verificava chi aveva inviato il messaggio ma non controllava se il contenuto del messaggio fosse autentico nella sua sostanza. Per gli esperti di sicurezza questo indica non tanto una nuova tecnica di intrusione quanto lo sfruttamento di scelte di progettazione.

La scelta di configurazione e le sue conseguenze

Un fattore chiave è stata la decisione di affidarsi a un unico verificatore per approvare i messaggi cross-chain: una scelta che semplifica l’implementazione ma elimina uno strato cruciale di protezione. LayerZero ha successivamente raccomandato l’uso di più verificatori indipendenti, simile al meccanismo delle multi-firme per trasferimenti bancari.

David Schwed di SVRN ha commentato l’impostazione adottata:

“Un singolo verificatore non è decentralizzato: è un verificatore centralizzato in salsa decentralizzata. La sicurezza che si regge sul fatto che tutti leggano la documentazione non è realistica.”

La fragilità non si è limitata a Kelp: come avviene spesso in DeFi, gli asset compromessi vengono impiegati su più piattaforme, creando una catena di esposizioni. Quando un anello si rompe, anche servizi di prestito che accettano quei token come garanzia, come Aave, si trovano a fronteggiare perdite.

Decentramento a parole, centralizzazione nei fatti

L’attacco mette in luce la discrepanza tra il marketing della decentralizzazione e la realtà tecnica: decisioni di configurazione e layer infrastrutturali possono introdurre punti di centralizzazione che diventano obiettivi privilegati per gli attaccanti.

David Schwed ha sintetizzato il paradosso:

“Questa non è stata una violazione della crittografia: è stata l’evidenza di come sia stata impostata l’architettura.”

Perché i gruppi legati alla Corea del Nord puntano ora alle ‘tubature’ della DeFi

Gruppi come Lazarus, collegati a interessi statali, hanno progressivamente rivolto l’attenzione verso l’infrastruttura cross-chain e il restaking: gli strati che trasferiscono valore tra ecosistemi o permettono il riutilizzo degli asset. Questi componenti, pur essendo meno visibili, trattengono grandi quantità di valore e sono spesso complessi da configurare e monitorare.

Lo spostamento del focus dagli attacchi a codebase evidenti verso la ‘plumbing’ del settore è comprensibile: la superficie d’attacco è ampia, la sorveglianza è più difficile e gli errori di configurazione sono sfruttabili anche senza scassinare meccanismi crittografici.

Implicazioni pratiche e raccomandazioni

Il caso evidenzia che i rischi maggiori derivano spesso da vulnerabilità note lasciate senza adeguati rimedi. Per ridurre l’esposizione, gli operatori dovrebbero rendere obbligatorie pratiche di sicurezza come la multi-verifica, le multi-firme, i controlli in cross-check automatici e procedure di gestione del rischio per gli asset che circolano tra protocolli diversi.

Dal punto di vista normativo, l’accumulazione di valore in infrastrutture meno regolamentate solleva interrogativi su come rafforzare la resilienza del sistema senza compromettere l’innovazione: per gli investitori professionali e per gli operatori italiani ciò significa rivedere modelli di due diligence, assicurazione e governance.

Alexander Urbelis ha avvertito riguardo al carattere strutturale del problema:

“Non si può risolvere con una patch un programma di approvvigionamento: la sicurezza richiede scelte progettuali e operazioni continue.”

Osservazioni finali

La serie di attacchi mette in luce come la crescita della finanza decentralizzata richieda un’attenzione crescente agli strati infrastrutturali meno visibili. Per il mercato europeo e per gli investitori italiani, diventa essenziale valutare non solo il codice sorgente delle applicazioni, ma anche le impostazioni di rete, i fornitori di dati e le pratiche di governance che sorvegliano le operazioni cross-chain.

In sintesi

• La concentrazione di valore in layer infrastrutturali cross-chain aumenta la probabilità di shock sistemici: per gli investitori italiani ciò si traduce in una maggiore volatilità del rischio operativo e nella necessità di diversificare anche a livello protocollare.
• La richiesta di standard di sicurezza più stringenti può accelerare la domanda di servizi professionali (audit, assicurazioni, custodia) con un impatto sui costi di ingresso per nuovi progetti italiani nel settore Web3.
• Regolatori e operatori finanziari in Europa potrebbero spingere verso requisiti minimi obbligatori per configurazioni critiche (es. multi-verifica), aumentando la compliance ma potenzialmente riducendo alcune economie di scala delle soluzioni attuali.