Aprile 2026, il mese nero delle crypto: 30 attacchi, 625 milioni rubati e il 76% finisce in Corea del Nord

Monete crypto Bitcoin ed Ethereum in fuga da un'infrastruttura blockchain trasparente, simbolo degli hack di aprile 2026

La finanza decentralizzata promette autonomia e trasparenza, ma aprile 2026 ha dimostrato che basta un singolo punto di accesso compromesso per svuotare centinaia di milioni in pochi minuti. Due attacchi nordcoreani hanno sfruttato ingegneria sociale e infrastrutture bridge con un solo verificatore, concentrando il 76% delle perdite globali crypto. La DeFi riuscirà a colmare il divario tra il valore che custodisce e la sicurezza che offre?

Aprile 2026 è entrato nella storia come il mese più hackerato di sempre nel settore crypto. DefiLlama ha confermato tra 28 e 30 exploit distinti, con perdite complessive superiori a 625 milioni di dollari e una media prossima a un attacco al giorno. Il precedente picco mensile non superava i 12-15 incidenti. Da solo, aprile vale 3,7 volte l'intero primo trimestre 2026, che aveva registrato circa 165 milioni di perdite su 35 incidenti.

Il dato più allarmante arriva da TRM Labs: il 76% di tutte le perdite crypto per hack nel 2026 è attribuibile alla Corea del Nord, per un totale di circa 577 milioni di dollari concentrati in appena due operazioni. La progressione è costante: la quota nordcoreana è passata da meno del 10% nel 2020-2021 al 22% nel 2022, 37% nel 2023, 39% nel 2024, 64% nel 2025, fino al 76% attuale. Dal 2017, il furto cumulativo attribuito alla DPRK supera i 6 miliardi di dollari.

Non si tratta di un aumento della frequenza degli attacchi. Gli operatori nordcoreani eseguono un numero ridotto di operazioni ogni anno, ma con una precisione e una preparazione che hanno raggiunto livelli senza precedenti. TRM Labs ipotizza che gli attaccanti stiano integrando strumenti di intelligenza artificiale nei flussi di ricognizione e ingegneria sociale, con un aumento del 500% delle truffe assistite dall'AI nell'ultimo anno.

💣 Drift Protocol: 285 milioni in 12 minuti

Il primo dei due attacchi principali ha colpito Drift Protocol, il più grande exchange per contratti perpetui su Solana, il 1° aprile 2026. Come ricostruito da The Hacker News, l'operazione è stata attribuita con media confidenza al gruppo nordcoreano UNC4736, noto anche come AppleJeus, Citrine Sleet e Golden Chollima, lo stesso responsabile dell'hack da 53 milioni di dollari di Radiant Capital nell'ottobre 2024.

La fase preparatoria è durata sei mesi. A partire dall'autunno 2025, individui che si presentavano come una società di trading quantitativo hanno avvicinato i contributori di Drift a conferenze internazionali, costruendo per mesi relazioni professionali credibili. Le persone fisiche coinvolte non erano cittadini nordcoreani: gli operatori DPRK utilizzano intermediari per condurre le attività di contatto diretto.

I vettori di compromissione identificati sono due:

  • un repository di codice malevolo contenente un progetto VS Code con file tasks.json configurato per eseguire automaticamente codice dannoso all'apertura
  • un'applicazione wallet distribuita attraverso Apple TestFlight per il beta testing

L'attacco ha sfruttato una funzione nativa di Solana chiamata durable nonce, che estende indefinitamente la validità di una transazione pre-firmata. Gli attaccanti hanno indotto i firmatari del Security Council multisig a pre-autorizzare transazioni tra il 23 e il 30 marzo. Il 27 marzo Drift aveva migrato il Security Council a una nuova configurazione 2/5 senza timelock, eliminando un meccanismo di sicurezza che gli attaccanti hanno poi sfruttato. Il 1° aprile, 31 prelievi sono stati eseguiti in circa 12 minuti, drenando 285 milioni di dollari in USDC e JLP, poi convertiti in ETH via Jupiter e Wormhole. I fondi rubati sono rimasti fermi dal giorno del furto: il gruppo tende a liquidare nell'arco di mesi o anni.

💣 KelpDAO: 293 milioni attraverso un bridge con un solo verificatore

Il secondo attacco ha colpito KelpDAO il 18 aprile 2026, prendendo di mira il bridge rsETH basato su LayerZero. Secondo l'analisi di Chainalysis, l'operazione è attribuita al gruppo TraderTraitor (Lazarus Group), lo stesso responsabile del breach Bybit da 1,46 miliardi nel febbraio 2025.

La tecnica è stata articolata in tre fasi:

  • compromissione di due nodi RPC interni, sostituendo il software per farli riportare dati blockchain falsi
  • attacco DDoS contro i nodi RPC esterni non compromessi, forzando il sistema di failover verso i nodi avvelenati
  • il singolo verificatore del bridge (DVN, Decentralized Verifier Network), leggendo dai nodi compromessi, ha confermato come legittimo un messaggio cross-chain fraudolento

Gli attaccanti hanno drenato circa 116.500 rsETH, pari al 18% dell'offerta circolante, per un valore di circa 293 milioni di dollari. La vulnerabilità determinante è stata la configurazione con un solo DVN: il modello di sicurezza di LayerZero prevede la possibilità di configurare verificatori multipli indipendenti, ma il deployment di KelpDAO ne utilizzava uno solo. Circa 75 milioni sono stati congelati dall'Arbitrum Security Council, mentre 175 milioni sono stati riciclati attraverso THORChain, convertendo ETH in BTC senza KYC. Il processo di riciclaggio è gestito da intermediari cinesi, non direttamente dagli operatori nordcoreani.

🔄 Dall'exploit del codice all'exploit dell'uomo

Il dato più significativo di aprile 2026 riguarda la natura degli attacchi. Su 29 incidenti registrati, 24 (l'83%) derivano da bug nel codice, ma questi hanno generato complessivamente solo 42 milioni di dollari di perdite, pari al 6,6% del totale. I due attacchi da centinaia di milioni si fondano su un paradigma diverso: ingegneria sociale prolungata, compromissione di chiavi private, manipolazione degli accessi privilegiati.

Come ha osservato Michael Pearl, vice president of strategy di Cyvers: "Tutto si è spostato verso l'hacking delle persone, non dei sistemi". L'AI viene ora utilizzata dagli attaccanti per analizzare migliaia di righe di codice al secondo, accelerare la scoperta di vulnerabilità e costruire campagne di social engineering personalizzate su scala. Il caso Drift ne è la dimostrazione: identità fabbricate con mesi di anticipo, profili professionali verificabili, reti LinkedIn costruite ad hoc, conversazioni tecniche approfondite protratte per settimane.

📉 L'effetto domino sulla DeFi

L'hack di KelpDAO ha innescato una reazione a catena nell'ecosistema. Secondo CoinDesk, oltre 14 miliardi di dollari di TVL (Total Value Locked) sono usciti dai protocolli DeFi in 48 ore, con il valore totale bloccato crollato da 99 a 85 miliardi, il livello più basso in un anno. I ritiri si sono concentrati su bridge e piattaforme di lending. Aave ha raggiunto i limiti massimi di utilizzo.

La crisi ha riaperto il dibattito sulla sostenibilità strutturale della DeFi. Bradley Smith, senior vice president di BeyondTrust, ha sintetizzato il problema: "I protocolli DeFi gestiscono valori da Stato-nazione con architetture di sicurezza da startup". I punti di fallimento singoli ricorrono: il Security Council di Drift con configurazione 2/5 e zero timelock, il bridge di KelpDAO con un solo verificatore. Michael Egorov, fondatore di Curve Finance, ha ribadito che "l'obiettivo del design DeFi dovrebbe essere minimizzare i punti di fallimento umano-centrici, non aggiungerne".

🧹 THORChain: l'autostrada del riciclaggio

THORChain è emerso come infrastruttura ricorrente nel riciclaggio dei fondi rubati dalla Corea del Nord. Il protocollo ha processato la maggior parte dei proventi sia del breach Bybit nel 2025 sia dell'hack KelpDAO nel 2026, convertendo centinaia di milioni in ETH rubati in Bitcoin attraverso swap cross-chain nativi, senza requisiti KYC e senza custodian. I validatori e gli sviluppatori di THORChain sostengono di non poter congelare o rifiutare transazioni in quanto protocollo decentralizzato, anche quando i fondi provengono da attori illeciti noti.

Per gli attori nordcoreani, THORChain funziona come una rampa di uscita affidabile e ad alta capacità. TRM Labs ha evidenziato che gli exchange che hanno ricevuto depositi in BTC nella seconda metà di aprile con THORChain come fonte upstream dovrebbero trattarli come soggetti a due diligence rafforzata, in attesa dell'attribuzione completa degli indirizzi coinvolti.

🛡️ Le contromisure in discussione

La community di sicurezza ha indicato diverse misure per ridurre l'esposizione futura:

  • gestione multi-firma delle chiavi con soglie di approvazione più elevate e timelock obbligatori
  • configurazione di verificatori multipli e indipendenti per i bridge cross-chain
  • monitoraggio in tempo reale assistito da AI per rilevare anomalie nelle transazioni
  • prodotti assicurativi a livello utente per coprire le perdite da exploit
  • validazione automatizzata della fiducia integrata direttamente nel layer delle transazioni

TRM Labs ha sottolineato il ruolo del proprio Beacon Network, che conta oltre 30 membri tra exchange e protocolli DeFi (tra cui Coinbase, Binance, Kraken, OKX) e consente alert cross-piattaforma immediati quando fondi attribuiti alla Corea del Nord raggiungono istituzioni partecipanti, riducendo il tempo tra attribuzione e azione da giorni a minuti.

I protocolli DeFi si trovano di fronte a una scelta strutturale: continuare a operare con architetture di sicurezza che privilegiano la velocità di sviluppo e la decentralizzazione a ogni costo, oppure adottare standard di verifica della fiducia comparabili a quelli dell'infrastruttura finanziaria tradizionale. Finché l'asimmetria tra valore custodito e sicurezza offerta resterà tale, gli attori statali continueranno a trattare la finanza decentralizzata come il canale di finanziamento più accessibile a disposizione.

#hackingcrypto #coreadelnord #defihack

Articoli correlati

Torna in alto