Le autorità sudcoreane stanno indagando se il gruppo di hacker nordcoreano Lazarus abbia orchestrato una violazione da 36 milioni di dollari presso il più grande exchange di criptovalute del Paese, con l’attacco avvenuto esattamente sei anni dopo il precedente grave incidente di sicurezza della piattaforma attribuito agli stessi attori sponsorizzati dallo Stato.
Upbit ha sospeso depositi e prelievi giovedì dopo aver rilevato trasferimenti non autorizzati di circa 44,5 miliardi di won (36 milioni di dollari) in asset basati su Solana da un hot wallet verso indirizzi esterni sconosciuti.
La violazione è avvenuta alle 4:42 ora locale del 27 novembre, spingendo all’attivazione immediata dei protocolli di emergenza e a un congelamento a livello di piattaforma di tutti i servizi di transazione.
Fonti governative e del settore hanno riferito all’agenzia Yonhap che gli investigatori, analizzando i flussi dei wallet e i vettori di intrusione, sospettano ora che gli attaccanti abbiano compromesso un account amministratore o siano riusciti a impersonare un operatore interno, tattiche che rispecchiano da vicino l’incidente del 2019, quando 342.000 ETH per un valore di 50 milioni di dollari furono rubati in un attacco poi collegato al gruppo Lazarus e al gruppo nordcoreano collegato Andariel.
Cosa è successo
La violazione ha colpito più di 20 token dell’ecosistema Solana, tra cui SOL, USDC, BONK, Jupiter, Raydium, Render, Orca e Pyth Network. Dunamu, che gestisce Upbit, ha confermato i prelievi non autorizzati e ha promesso il rimborso integrale ai clienti utilizzando le riserve operative dell’exchange. L’azienda ha dichiarato di detenere, a settembre, 67 miliardi di won in riserve per attacchi hacker o guasti di sistema, come previsto dalla legge sudcoreana sulla protezione degli utenti cripto.
«Abbiamo identificato l’esatto ammontare degli asset digitali che sono stati sottratti e copriremo completamente la perdita con gli asset di Upbit, in modo che i clienti non siano in alcun modo colpiti», ha dichiarato in un comunicato Oh Kyung-seok, CEO di Dunamu. L’exchange ha spostato gli asset rimanenti in cold storage per prevenire ulteriori prelievi mentre i team forensi conducevano le indagini.
Upbit ha congelato circa 2,3 miliardi di won (1,6 milioni di dollari) in token Solayer tramite misure on-chain e sta coordinandosi con gli emittenti dei token per bloccare ulteriori asset tracciabili. Secondo i funzionari della sicurezza, le società di analisi forense su blockchain hanno identificato rapidi trasferimenti attraverso molteplici wallet e attività di mixing coerenti con i precedenti schemi di riciclaggio del gruppo Lazarus.
«Invece di attaccare il server, è possibile che gli hacker abbiano compromesso gli account degli amministratori o si siano spacciati per amministratori per effettuare il trasferimento», ha dichiarato a Yonhap un funzionario governativo. L’approccio indica una manipolazione mirata degli account piuttosto che un attacco diretto all’infrastruttura di Upbit, rafforzando i paragoni con le operazioni precedenti del gruppo Lazarus.
I regolatori del Ministero della Scienza e ICT, della Financial Services Commission e di altri organismi di vigilanza hanno avviato ispezioni in loco dei sistemi di Upbit, concentrandosi sulla gestione delle chiavi dei hot wallet e sulla sicurezza della rete interna. L’exchange ha affermato di essere impegnato in una revisione completa dell’intero sistema di deposito e prelievo di asset digitali e di voler riprendere i servizi in modo graduale una volta confermata la sicurezza.
La società di sicurezza blockchain CertiK ha osservato che la velocità e la portata dei prelievi ricordano attacchi precedentemente collegati a Lazarus, sebbene al momento non disponga ancora di prove on-chain definitive. L’azienda ha seguito i flussi di fondi da oltre 100 indirizzi di exploit su Solana e continua a monitorare i movimenti per rintracciare i collegamenti alle reti di riciclaggio riconducibili a Lazarus.
Il tempismo dell’attacco ha alimentato speculazioni sui motivi degli hacker. La violazione è avvenuta lo stesso giorno in cui Naver Financial, una controllata del colosso internet coreano Naver, ha annunciato un accordo di scambio azionario da 10,3 miliardi di dollari per acquisire l’intera partecipazione in Dunamu. La fusione renderebbe Dunamu una controllata al 100% e rappresenterebbe una delle transizioni societarie più importanti nel settore cripto in Corea del Sud.
«Gli hacker tendono ad avere un forte desiderio di mettersi in mostra», ha dichiarato un esperto di sicurezza a Yonhap, suggerendo che gli attaccanti potrebbero aver scelto intenzionalmente il 27 novembre per massimizzare l’attenzione durante l’annuncio della fusione di alto profilo. La data segnava anche il sesto anniversario dell’hack del 2019 di Upbit, al giorno esatto.
Also read: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Perché è importante
La violazione di Upbit rappresenta l’ennesimo episodio in quello che è diventato un anno da record per gli incidenti di sicurezza nel settore delle criptovalute. Le perdite dovute ad hack ed exploit hanno superato i 2,4 miliardi di dollari nel 2025, con il massiccio attacco da 1,5 miliardi di dollari all’exchange Bybit avvenuto a febbraio che domina il totale. L’attacco a Bybit, il più grande nella storia delle cripto, è stato anch’esso attribuito al gruppo Lazarus della Corea del Nord.
Secondo la società di sicurezza blockchain CertiK, nella prima metà del 2025 si sono registrate perdite per 2,47 miliardi di dollari dovute ad hack, truffe ed exploit, con un aumento di quasi il 3% rispetto ai 2,4 miliardi rubati in tutto il 2024. La compromissione dei wallet è emersa come il vettore di attacco più costoso, con oltre 1,7 miliardi di dollari rubati in 34 incidenti. Gli attacchi di phishing hanno rappresentato il maggior numero di incidenti di sicurezza, con 132 violazioni e 410 milioni di dollari sottratti.
Il gruppo Lazarus ha ripetutamente utilizzato una varietà di tattiche, passando dalle intrusioni sugli exchange agli attacchi alla supply chain e alla compromissione degli ambienti di sviluppo. Il gruppo ha impiegato cluster di malware personalizzati, esche di social engineering e una massiccia infrastruttura di riciclaggio, facendo transitare le criptovalute rubate attraverso mixer e bridge su catene diverse. Gli esperti di sicurezza sottolineano che la Corea del Nord, alle prese con carenze di valuta estera, utilizza le criptovalute rubate per finanziare le attività del regime.
Nell’attacco a Upbit del 2019, gli investigatori hanno concluso che oltre la metà dell’ETH rubato è stata riciclata tramite account di exchange creati con false identità, utilizzando metodi tipici di Lazarus, tra cui il wallet hopping e tecniche di mixing. Il gruppo ha già preso di mira piattaforme cripto per massimizzare impatto ed esposizione, suggerendo che alcuni attacchi possano essere deliberatamente programmati per sfruttare l’attenzione pubblica elevata.
«È il loro approccio standard disperdere i token su più reti per interrompere il tracciamento», ha affermato un funzionario della sicurezza. Il fornitore di analisi blockchain Dethective ha riferito che i wallet collegati al presunto hacker hanno già iniziato a spostare i fondi, indicando che il processo di riciclaggio è iniziato.
La violazione di Upbit evidenzia anche le vulnerabilità persistenti nelle infrastrutture dei hot wallet, che rimangono connesse per esigenze operative. Sebbene i cold wallet che custodiscono la maggior parte degli asset dell’exchange siano rimasti al sicuro, i hot wallet, che gestiscono il trading attivo e i prelievi, continuano a rappresentare obiettivi attraenti per gli attaccanti più sofisticati. Nemmeno le piattaforme di lunga data che hanno subito numerosi audit di sicurezza sono state risparmiate, come dimostra l’hack del protocollo Balancer da 128 milioni di dollari avvenuto a novembre, che sottolinea l’ampiezza del panorama delle minacce.
La capacità di Upbit di rimborsare completamente i clienti utilizzando le riserve operative offre un certo grado di rassicurazione, ma l’incidente rappresenta un rilevante impatto finanziario diretto per l’exchange e per Dunamu, proprio mentre affronta l’integrazione con Naver Financial. La fusione era stata presentata come una mossa strategica per investire 10.000 miliardi di won in cinque anni nello sviluppo di infrastrutture tecnologiche di IA e Web3 in Corea del Sud. Il fatto che l’hack sia avvenuto poche ore dopo l’annuncio dell’acquisizione crea uno sfondo imbarazzante per la nuova entità combinata.
Le autorità continuano a tracciare gli asset rubati tramite analisi blockchain mentre conducono verifiche forensi dell’infrastruttura di sicurezza di Upbit. L’exchange non ha fornito una tempistica per la ripresa dei servizi di deposito e prelievo, sebbene gli audit di sicurezza successivi a incidenti di questa portata richiedano in genere diversi giorni o più, a seconda dei risultati.
Read next: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users