Un singolo Stato-nazione ha appena rivendicato i due terzi di ogni dollaro rubato dall’ecosistema crypto globale nel primo semestre del 2026.
Non è un errore di arrotondamento. Non è il risultato di un singolo colpo spettacolare.
È il prodotto di un’operazione di hacking industrializzata e sostenuta — che ha trascorso quasi un decennio a perfezionare i propri metodi e ora supera tutti gli altri attori malevoli nello spazio messi insieme.
La scala è impressionante anche per gli standard del crimine crypto, che non è mai stato avaro di cifre drammatiche.
I gruppi collegati alla Corea del Nord rappresentavano il 66,2% delle perdite globali di asset digitali dovute a hacking nel primo semestre 2026, secondo le cifre diffuse questa settimana dai ricercatori di sicurezza blockchain.
Questa concentrazione di perdite in un singolo cluster di minaccia segna un cambiamento qualitativo nel profilo di rischio dell’intero settore. E arriva in un momento in cui i capitali istituzionali stanno affluendo nelle crypto al ritmo più veloce dal 2021.
In sintesi (TL;DR)
- Gli hacker collegati alla Corea del Nord hanno catturato il 66,2% di tutte le perdite da hacking crypto nella prima metà del 2026, rappresentando un nuovo picco nella concentrazione di furti crypto sponsorizzati dallo Stato.
- Il Lazarus Group e le unità della RPDC affiliate sono passate da attacchi opportunistici agli exchange a operazioni altamente strutturate che prendono di mira protocolli DeFi, bridge cross‑chain e l’ingegneria sociale dei developer.
- I fondi finanziano direttamente i programmi d’arma della Corea del Nord, trasformando la sicurezza delle crypto in una questione geopolitica che i regolatori a Washington, Bruxelles e Seul stanno ora trattando con urgenza.
La cifra del 66% e cosa misura davvero
Prima di analizzare il quadro strategico, il metodo alla base di questo numero merita attenzione.
La cifra del 66,2% si riferisce alla quota delle perdite totali verificate da hacking crypto attribuibili a wallet collegati alla RPDC nel primo semestre 2026 — sulla base di analisi on‑chain che tracciano i flussi di fondi dal furto iniziale, attraverso l’uso di mixer, fino alla fase finale di uscita.
Chainalysis, che ha pubblicato i dati longitudinali più completi sul crimine crypto, ha riportato nel suo Crime Report 2024 che i gruppi collegati alla Corea del Nord hanno rubato circa 1,34 miliardi di dollari in 47 incidenti nel 2023 — il 61% del valore totale dei furti di quell’anno.
Il dato del primo semestre 2026 rappresenta un’ulteriore concentrazione. Suggerisce che il divario tra le capacità della RPDC e tutti gli altri attori della minaccia si stia ampliando anziché ridursi.
Quella quota del 66,2% è la più alta concentrazione di furto di asset digitali sponsorizzato da uno Stato mai registrata in un singolo periodo di sei mesi.
È importante notare cosa non cattura la cifra del 66%.
Esclude exit scam, rug pull e frodi — che Chainalysis in genere classifica separatamente dagli hack. Il denominatore comprende solo perdite da hacking verificate.
Includere tutte le categorie di crimine crypto ridurrebbe la percentuale della RPDC. Ma non diminuirebbe la cifra assoluta in dollari rubata.
Leggi anche: La domanda spot di XRP cresce mentre i perps di Binance lanciano un allarme da 783 milioni di dollari
Come il Lazarus Group è diventato una superpotenza delle crypto
Il Lazarus Group — la denominazione ombrello usata dalle agenzie di intelligence statunitensi e dai ricercatori privati per le unità cyber più capaci della RPDC — non è nato come operazione focalizzata sulle crypto.
Il suo profilo iniziale comprendeva attacchi distruttivi, rapine bancarie tramite lo sfruttamento della rete SWIFT e ransomware.
Il passaggio alle crypto è stato graduale. È iniziato in modo deciso intorno al 2017, quando il gruppo ha preso di mira gli exchange sudcoreani — poi è aumentato bruscamente dopo la violazione della Ronin Network del 2022.
L’hack di Ronin, in cui il Lazarus Group ha rubato circa 625 milioni di dollari dalla sidechain di Axie Infinity, è stato un punto di svolta strategico.
Ha dimostrato che l’infrastruttura DeFi — con la sua complessità di smart contract, le dipendenze dai bridge cross‑chain e le vulnerabilità di ingegneria sociale dei developer — offriva una superficie di attacco molto più lucrativa rispetto agli exchange centralizzati, che avevano rafforzato le loro difese dopo un decennio di violazioni.
Quel furto da 625 milioni di dollari del marzo 2022 rimane il più grande hack DeFi mai registrato. Ha fornito il modello operativo per le successive campagne crypto della RPDC.
Dal 2022 il gruppo ha perfezionato sistematicamente tre vettori di attacco.
Il primo sono le credenziali dei developer compromesse — in genere tramite false offerte di lavoro su LinkedIn che installano malware quando il bersaglio apre un documento o esegue un repository.
Il secondo sono gli exploit dei bridge cross‑chain, che prendono di mira la logica degli smart contract che convalidano i trasferimenti di asset tra reti.
Il terzo sono gli attacchi alla supply chain contro le dipendenze software usate dai protocolli crypto — una tecnica resa popolare prima nella cybersicurezza tradizionale, ora adattata ai bersagli blockchain.
Leggi anche: Eng vs Ind non è più solo cricket per i trader dei prediction market
Il profilo dei bersagli è passato dagli exchange alla DeFi
La storia iniziale dei principali hack crypto è stata scritta dalle violazioni degli exchange centralizzati. Mt. Gox nel 2014, Bitfinex nel 2016, Coincheck nel 2018. Questi attacchi si basavano sul compromesso dell’infrastruttura dei wallet hot, sullo sfruttamento di vulnerabilità API o sulla corruzione di insider. I responsabili erano spesso gruppi criminali opportunistici più che attori statali con un sostegno istituzionale.
L’attuale playbook della RPDC è fondamentalmente diverso. TRM Labs, nel suo rapporto 2024 Crypto Threat Intelligence, ha rilevato che la quota del totale dei furti crypto della RPDC attribuibile a exploit di protocolli DeFi anziché ad hack di exchange centralizzati è salita da circa il 30% nel 2021 a oltre il 70% nel 2024. Questo spostamento segue la crescita della liquidità on‑chain stessa.
Il valore totale bloccato nei protocolli DeFi a livello globale ha toccato il picco di oltre 180 miliardi di dollari alla fine del 2021, è crollato durante il bear market del 2022 ed è poi risalito a livelli che rappresentano nuovamente un obiettivo interessante. I dati di DefiLlama (https://defillama.com/) a metà 2026 mostrano una TVL DeFi totale superiore a 110 miliardi di dollari su tutte le chain, con i bridge cross‑chain che controllano una quota sproporzionata di quel valore in forma di pool.
I contratti dei bridge DeFi sono bersagli strutturalmente attraenti per attaccanti sofisticati perché aggregano grandi pool di liquidità in singoli smart contract pur richiedendo una complessa validazione di messaggi cross‑chain che è difficile da auditare in modo completo.
I bridge cross‑chain sono diventati un’ossessione specifica per le unità della RPDC a causa della loro particolare topologia di rischio. Un contratto di bridge deve fidarsi di asserzioni provenienti da una chain remota che non può verificare nativamente. La logica di validazione è complessa e si basa spesso su un comitato multi‑firma o su una prova di light client. Entrambi gli approcci creano assunzioni sfruttabili. Il bridge Ronin utilizzava una multisig nove‑su‑nove che è stata di fatto ridotta a una soglia cinque‑su‑nove tramite ingegneria sociale. Quella soglia di cinque firme è poi stata soddisfatta dagli attaccanti, autorizzando prelievi che hanno svuotato il bridge.
Leggi anche: Fable 5 vale davvero il doppio del prezzo quando Opus 4.8 offre ancora così tanto?
Il vettore delle false offerte di lavoro e il targeting dei developer
L’elemento più costante e sottovalutato della campagna della RPDC nel primo semestre 2026 è l’infrastruttura di ingegneria sociale che prende di mira singoli developer e dipendenti dei protocolli. Non si tratta di un hack tecnico nel senso tradizionale. È un’operazione di intelligence paziente, basata sulle relazioni, che culmina nell’esecuzione di codice.
Il playbook standard, documentato in dettaglio da Mandiant nella sua analisi della minaccia finanziaria APT38 e dall’agenzia statunitense Cybersecurity and Infrastructure Security Agency nell’allerta CISA AA22-108A, prevede che gli operatori della RPDC creino profili professionali credibili su LinkedIn, spesso usando foto generate dall’IA. Si approcciano a developer che lavorano su protocolli crypto, offrendo lavori a contratto, colloqui o possibilità di revisione del codice.
In casi documentati, gli operatori della RPDC hanno mantenuto relazioni su LinkedIn con developer crypto presi di mira per settimane o mesi prima di consegnare un payload malevolo, costruendo fiducia attraverso conversazioni tecnicamente credibili sul codebase specifico del bersaglio.
Quando il bersaglio interagisce, l’attaccante alla fine invia un file che richiede esecuzione. Può trattarsi di un PDF con payload incorporato, di un repository GitHub contenente una dipendenza malevola o di un finto test tecnico che installa una backdoor. Una volta ottenuto un punto d’appoggio sulla macchina del developer, l’attaccante può sottrarre chiavi private, token di sessione per i sistemi interni e credenziali per l’infrastruttura cloud usata per gestire i deployment dei protocolli.
Il livello di sofisticazione di questa “tradecraft” riflette un investimento istituzionale nello sviluppo di capacità che nessun gruppo criminale privato può eguagliare. Le unità cyber della RPDC sono dipendenti statali che si addestrano a tempo pieno, operano con una rigorosa disciplina di sicurezza operativa e dispongono di anni di conoscenze istituzionali accumulate su quali protocolli sono più vulnerabili e quali developer sono più avvicinabili.
L’infrastruttura di riciclaggio dietro i numeri dei furti
Rubare criptovalute è solo il primo passo. Convertirle in entrate utilizzabili per il regime richiede una catena di riciclaggio elaborata che è diventata a sua volta oggetto di intensa ricerca on‑chain. Il movimento dei fondi dopo il furto è il punto in cui gli investigatori attribuiscono più spesso gli attacchi alla RPDC, perché il gruppo presenta schemi comportamentali identificabili. schemi nei modi in cui si muove e oscura i fondi.
Chainalysis ha documentato il flusso standard di riciclaggio della RPDC come un processo a più fasi. Gli asset rubati vengono inizialmente convertiti in Ethereum (ETH) o Bitcoin (BTC) utilizzando exchange decentralizzati on-chain, trasformando token illiquidi specifici di un protocollo in asset più liquidi. Questi asset vengono poi fatti passare attraverso servizi di mixing; il gruppo utilizzava storicamente Tornado Cash prima che la sua sanzione da parte dell’OFAC nell’agosto 2022 lo costringesse ad adattarsi ad altri strumenti di offuscamento, tra cui Sinbad e Yomix, entrambi a loro volta finiti sotto sanzioni statunitensi.
L’OFAC ha designato il mixer Sinbad nel novembre 2023 e il mixer Yomix nell’aprile 2025, mostrando una dinamica del gatto col topo in cui ciascuno strumento di riciclaggio della RPDC finisce per essere sanzionato, spingendo il gruppo verso nuove infrastrutture.
Dopo il mixing, i fondi vengono instradati attraverso una rete di conti annidati presso exchange, broker OTC che operano in giurisdizioni prive di un’efficace applicazione delle norme AML e piattaforme peer‑to‑peer. Lo sbocco finale più comunemente utilizzato è stato storicamente rappresentato da exchange operanti nell’Asia orientale e sud‑orientale con requisiti KYC limitati. Un rapporto del 2024 del Panel di Esperti delle Nazioni Unite sulla Corea del Nord ha individuato specificamente i proventi dei furti in crypto come principale fonte di finanziamento del programma di missili balistici della RPDC, stimando che le entrate derivanti dalle crypto abbiano finanziato circa il 40% del fabbisogno in valuta estera per lo sviluppo di armi di distruzione di massa.
Da leggere anche: Ethereum Could Go Near-Zero State Under Buterin’s Most Radical Lean Chain Plan
La risposta regolatoria e i suoi limiti
Il governo degli Stati Uniti ha messo in campo un ampio arsenale contro le operazioni crypto della RPDC, incluse designazioni OFAC di wallet e servizi di mixing, avvisi di attribuzione da parte dell’FBI per specifici hack e comunicati congiunti con agenzie di intelligence alleate. Il Dipartimento di Giustizia ha incriminato diversi operativi della RPDC nominativamente identificati, sebbene la loro effettiva persecuzione sia praticamente impossibile in assenza di canali di estradizione.
Il limite della risposta statunitense è strutturale. Le sanzioni sugli indirizzi wallet sono efficaci solo contro attori che utilizzano infrastrutture finanziarie regolamentate come sbocchi verso il sistema fiat. Hanno un effetto minimo su attori sofisticati che instradano i fondi attraverso giurisdizioni al di fuori della portata AML degli USA. L’azione dell’OFAC contro Tornado Cash è stata significativa e contestata, ma la RPDC si è adattata nel giro di pochi mesi migrando verso infrastrutture alternative.
Il Dipartimento di Giustizia ha incriminato sette hacker militari della RPDC per operazioni di furto di crypto, ma nessuno è stato processato. Le incriminazioni funzionano principalmente come strumenti di attribuzione e deterrenti nei confronti di servizi terzi che altrimenti potrebbero facilitare il movimento dei fondi.
Il Financial Action Task Force, l’organismo intergovernativo che definisce gli standard AML, ha elevato la Corea del Nord alla categoria di rischio massimo e mantiene un appello permanente affinché le giurisdizioni membri applichino una due diligence rafforzata su qualsiasi transazione con nesso RPDC. Ma le raccomandazioni FATF non sono vincolanti, e le giurisdizioni più utili alla RPDC per la fase di off‑ramping in genere non sono membri FATF o sono membri con una scarsa attuazione degli standard.
Il Regolamento sui Mercati delle Cripto‑attività (MiCA) dell’UE, entrato pienamente in vigore alla fine del 2024, include requisiti di “travel rule” che impongono l’identificazione della controparte per i trasferimenti crypto sopra determinate soglie. I sostenitori sostengono che ciò chiuda alcuni canali OTC di off‑ramping. I critici osservano che le operazioni della RPDC sono sufficientemente sofisticate da aggirare i requisiti KYC utilizzando wallet non custodial e giurisdizioni al di fuori della portata dell’UE.
Da leggere anche: Meta’s Muse Image Turns Instagram Into The Raw Material For AI Art
Cosa mostrano realmente le analisi on‑chain
L’attribuzione dei furti in crypto alla Corea del Nord non è un’affermazione politica. Si basa su dati on‑chain verificabili che possono essere replicati in modo indipendente da qualsiasi ricercatore con accesso a dati pubblici di blockchain e strumenti di clustering dei wallet. Comprendere come funziona tale attribuzione è essenziale per valutarne la credibilità.
Quando la RPDC ruba da un protocollo, la transazione iniziale è immediatamente visibile on‑chain. I fondi rubati vengono spostati verso wallet controllati dagli attaccanti, che poi eseguono una sequenza di swap, transazioni di bridge e operazioni di mixing. Elliptic, un’altra società di analisi blockchain, ha pubblicato una metodologia dettagliata che mostra come i wallet della RPDC si raggruppino attorno a firme comportamentali che includono specifici schemi temporali, percorsi di swap preferiti, tipiche quantità di “dust” lasciate nei wallet intermedi e una tendenza a mantenere i fondi rubati in cluster di wallet per lunghi periodi prima di spostarli.
L’analisi di clustering dei wallet di Elliptic ha identificato oltre 15.000 indirizzi associati alle operazioni di furto della RPDC, creando un grafo di wallet interconnessi che gli analisti forensi utilizzano per tracciare i flussi di fondi anche dopo il mixing.
Gli avvisi di attribuzione dell’FBI per specifici hack, tra cui la violazione di Alphapo e l’exploit su Atomic Wallet nel 2023, si basano su questa metodologia forense combinata con intelligence di segnali classificata.
La combinazione di dati pubblici on‑chain e intelligence governativa ha prodotto livelli di confidenza nell’attribuzione superiori a quelli tipici nelle indagini sul cybercrimine tradizionale, dove prove on‑chain non esistono.
Da leggere anche: Saylor Says 3.3% Bitcoin Growth Can Keep Strategy Dividends Alive
Lo schema dei lavoratori IT come canale di entrate parallelo
Separatamente dalle operazioni di hacking, la RPDC gestisce un programma parallelo di generazione di entrate in crypto che ha attirato una notevole attenzione da parte delle forze dell’ordine nel 2024 e 2025. Migliaia di cittadini nordcoreani, operando sotto false identità tramite documentazione generata dall’IA e tecnologia di deepfake video, hanno ottenuto impieghi da remoto presso aziende crypto e startup Web3 in Nord America e in Europa.
Il Dipartimento di Giustizia ha incriminato quattordici individui nel maggio 2024 per aver gestito uno schema che collocava lavoratori IT nordcoreani in oltre 300 aziende statunitensi, con i guadagni convogliati verso la RPDC.
L’atto di accusa sosteneva che i singoli lavoratori guadagnassero tra i 250.000 e i 300.000 dollari l’anno, con lo schema complessivo che generava decine di milioni di dollari nell’arco di diversi anni.
L’incriminazione del maggio 2024 da parte del DOJ ha documentato lavoratori IT nordcoreani che guadagnavano fino a 300.000 dollari all’anno ciascuno presso aziende crypto e tech statunitensi, con fondi rimessi alla RPDC attraverso una rete di facilitatori negli Stati Uniti, nel Regno Unito e in Cina.
Lo schema dei lavoratori IT è particolarmente insidioso per l’industria crypto perché inserisce accessi interni all’interno dei team di sviluppo. Un lavoratore IT con credenziali legittime e accesso ai repository è più pericoloso di un attaccante esterno che tenta di superare le difese perimetrali.
Diversi ricercatori di sicurezza hanno osservato che pattern sospetti nei commit di codice, accessi ai repository non spiegati e orari di lavoro insoliti vengono ora trattati come potenziali indicatori di lavoratori IT della RPDC dalle aziende crypto più attente alla sicurezza.
L’intersezione tra lo schema dei lavoratori IT e la campagna di social engineering rivolta agli sviluppatori significa che la superficie d’attacco della RPDC contro l’industria crypto è multidimensionale. Hacker esterni, sviluppatori compromessi tramite false offerte di lavoro e insider piazzati rappresentano tutti vettori di minaccia attivi che operano simultaneamente.
Da leggere anche: OpenAI Wins GPT-5.6 Approval As Trump Clears Wider AI Rollout
La più ampia risposta di sicurezza dell’industria
La risposta dell’industria alla minaccia della RPDC è stata sostanziale ma disomogenea.
I protocolli con le maggiori risorse ora effettuano approfonditi audit di sicurezza pre‑rilascio, gestiscono programmi di bug bounty con ricompense a sei cifre e mantengono team interni di sicurezza con background in ricerca offensiva.
Questa concentrazione di investimenti in sicurezza al vertice della gerarchia dei protocolli riflette la stessa legge di potenza che governa il settore crypto in generale.
Immunefi, la principale piattaforma Web3 di bug bounty, ha riportato pagamenti di bounty per oltre 100 milioni di dollari entro la metà del 2025, avendo facilitato l’identificazione di vulnerabilità che avrebbero potuto consentire perdite potenziali per miliardi.
Il singolo pagamento più elevato nella sua storia è stato una ricompensa di 10 milioni di dollari a un ricercatore white‑hat che ha individuato una falla critica in un importante protocollo DeFi prima che potesse essere sfruttata.
Ma questa concentrazione di spesa in sicurezza sui protocolli di fascia alta lascia i progetti DeFi più piccoli — che collettivamente controllano comunque miliardi di TVL — significativamente sotto‑protetti.
Il problema dei bridge cross‑chain, che si trova al centro di così tanti grandi hack, ha prodotto proprie risposte architetturali.
Tra queste spicca il passaggio verso bridge più trust‑minimized, che utilizzano prove a conoscenza zero per verificare lo stato della chain di origine senza fare affidamento su comitati di validator.
Progetti come Succinct Labs e Polyhedra Network hanno costruito infrastrutture di light client ZK progettate specificamente per eliminare l’assunzione di un comitato fidato che aveva reso sfruttabili bridge come Ronin.
Seche la sicurezza delle infrastrutture stia migliorando abbastanza velocemente da superare lo sviluppo delle capacità della RPDC è davvero incerto.
La quota del 66% nel primo semestre 2026 suggerisce che, anche con ingenti investimenti da parte dell’industria, l’attaccante riesce a tenere il passo.
Poste Geopolitiche E Cosa Succede Dopo
Il furto di criptovalute è la fonte di valuta pregiata più importante per la Corea del Nord.
Non è un’iperbole retorica. Riflette una realtà operativa documentata — riconosciuta dal Tesoro degli Stati Uniti, dalle Nazioni Unite e dai servizi di intelligence alleati.
Il Panel di Esperti dell’ONU ha stimato i proventi dei furti di criptovalute della RPDC in circa 3 miliardi di dollari tra il 2017 e il 2023, con un’accelerazione del ritmo negli anni successivi.
I fondi non confluiscono in un tesoro del regime in alcun senso convenzionale.
Fluiscono direttamente nei programmi di armamento — in particolare negli sforzi di miniaturizzazione delle testate nucleari e dei missili balistici che rappresentano la principale priorità strategica di Pyongyang.
Ogni dollaro rubato da un protocollo DeFi potenzialmente si traduce in capacità materiale e tecnica per sistemi d’arma che i pianificatori della difesa statunitense, sudcoreana e giapponese modellano attivamente nelle loro valutazioni delle minacce.
Il Panel di Esperti dell’ONU ha collegato direttamente quei 3 miliardi di dollari di furti tra il 2017 e il 2023 al finanziamento dei programmi di armamento — rendendo la sicurezza della blockchain una componente concreta dei calcoli di sicurezza regionale in Asia nordorientale.
Read Next: 5 Rivali Più Economici Di Fable 5: Non Pagare Troppo Per Il Lavoro Di AI Quotidiano
Considerazioni Finali
La quota del 66,2% nel primo semestre 2026 non è una curiosità statistica.
È un segnale sullo stato attuale della competizione tra uno dei programmi cyber statali più capaci al mondo e un’industria che storicamente ha privilegiato la velocità di ingresso sul mercato rispetto alla sicurezza operativa.
La traiettoria di questa competizione — che va dagli attacchi opportunistici agli exchange nel 2017, attraverso la violazione del bridge Ronin nel 2022, fino all’attuale campagna multivettoriale che prende di mira simultaneamente sviluppatori, bridge e insider — mostra un attore della minaccia che apprende, si adatta e scala più velocemente di quanto l’investimento difensivo dell’industria sia finora riuscito a contenere.
I fattori strutturali che favoriscono la RPDC non scompariranno nel breve termine.
La Corea del Nord dispone di una forza lavoro cyber istituzionalizzata, senza tentazioni dal settore privato, senza responsabilità pubblica e con un mandato statale a generare entrate con qualsiasi mezzo disponibile.
L’industria crypto, al contrario, presenta un panorama di sicurezza frammentato. I protocolli più preziosi sono sempre meglio difesi — ma la lunga coda dei piccoli progetti DeFi rimane sistematicamente sotto-finanziata.
E i bridge cross-chain, l’infrastruttura che collega le isole di liquidità dell’ecosistema, restano architettonicamente complessi in modi che creano presupposti sfruttabili in modo persistente.





