Stagioni
Classifica
Notizie
Impara
Ricerca
Classifica
Ecosistema
Portafoglio
yellow banner logo
TRADING
PIATTAFORMA ORA LIVE
INIZIA ORA
yellow shooting stars
background stars

Lazarus e l’hack di Kelp: come la macchina dei colpi cripto della Corea del Nord continua a evolversi

Camille Meulien10 ore fa
#Hacker #Lazarus Group #Kelp DAO
Lazarus e l’hack di Kelp: come la macchina dei colpi cripto della Corea del Nord continua a evolversi

Sabato 18 aprile, un bridge cross-chain gestito da Kelp DAO quietly bled 116,500 rsETH. Entro lunedì, LayerZero had a name for the attackers. Non un nome nuovo.

Il Lazarus Group nordcoreano non è più solo un’etichetta di hacker nel mondo cripto. È la prova più chiara che le operazioni cyber sponsorizzate da uno Stato hanno trasformato gli asset digitali in un canale di finanziamento strategico, in cui le violazioni più gravi del settore assomigliano sempre meno a bug isolati e sempre più a sconfitte operative di lungo periodo.

  • LayerZero attribuisce l’exploit su Kelp DAO del 18 aprile 2026, dal valore di circa 292 milioni di dollari in token derivati di Ether (eth), al Lazarus Group nordcoreano e alla sua sotto-unità TraderTraitor.
  • Chainalysis afferma che attori legati alla RPDC hanno rubato 2,02 miliardi di dollari in cripto durante il 2025, portando il bottino cumulato a 6,75 miliardi.
  • Lo schema punta più a una guerra operativa sponsorizzata da uno Stato che a bug isolati degli smart contract come principale minaccia per la sicurezza del settore.

Il colpo a Kelp, e perché l’attribuzione conta

LayerZero pinned il drain di Kelp DAO su un attore statale nel suo post‑mortem del 20 aprile. La nota lo ha definito il più grande exploit DeFi del 2026 e ha segnalato “un attore statale altamente sofisticato, probabilmente il Lazarus Group della RPDC, più specificamente TraderTraitor.”

Il meccanismo non è stato un bug di smart contract. Gli aggressori hanno compromesso due nodi di remote procedure call utilizzati dal Decentralized Verifier Network di LayerZero, quindi hanno lanciato un attacco di denial‑of‑service contro i nodi puliti per forzare il failover verso quelli avvelenati.

Questo ha lasciato la configurazione del cosiddetto verificatore 1‑of‑1 di Kelp a timbrare automaticamente un messaggio cross‑chain fraudolento, e il bridge ha rilasciato 116.500 rsETH all’attaccante.

Kelp paused i contratti core tramite il suo multisig d’emergenza circa 46 minuti dopo, bloccando due tentativi successivi di drain per altri 100 milioni di dollari.

Kelp ha contestato pubblicamente l’impostazione narrativa di LayerZero, sostenendo che la configurazione a singolo verificatore rifletteva il default documentato da LayerZero, non la disobbedienza a indicazioni esplicite.

L’attribuzione è ciò che trasforma questo caso da un incidente “patch‑and‑move‑on” in qualcos’altro. Un bug invita a una correzione. Un attore statale introduce un avversario permanente.

Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi

Chi è davvero Lazarus

L’FBI placed il cluster TraderTraitor all’interno dell’apparato cyber statale nordcoreano nel suo avviso del 26 febbraio 2025 sul furto a Bybit, indicandolo come operatore diretto di un colpo da 1,5 miliardi di dollari in asset virtuali.

Un’inchiesta Reuters del 2022 e ripetute sanzioni del Tesoro USA hanno in precedenza tied Lazarus, Bluenoroff e Andariel al Reconnaissance General Bureau, la principale agenzia di intelligence militare di Pyongyang.

All’interno di quella struttura, gli analisti seguono una serie di alias a rotazione – APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor – che spesso condividono personale e infrastrutture.

La conseguenza per il mondo cripto è brutale.

Quando una violazione viene attribuita a “Lazarus”, non si tratta di un adolescente in cantina, e difficilmente è un contractor isolato. È un’unità statale con un budget, un mandato e un orizzonte temporale misurato in anni, non in settimane.

Questo cambia cosa può essere considerato una difesa credibile. E cambia anche chi, in fondo alla catena di riciclaggio, ne trae beneficio.

Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label

Da Sony agli smart contract

Lazarus non è nato nella cripto. Si è fatto conoscere con il wiper contro Sony Pictures nel 2014, poi con l’heist SWIFT della Bangladesh Bank nel 2016 e con WannaCry nel 2017.

Poi è arrivato il mondo cripto, e in fretta.

Il National Intelligence Service sudcoreano ha told all’Associated Press nel dicembre 2022 che hacker nordcoreani avevano rubato circa 1,2 miliardi di dollari in asset virtuali in cinque anni.

Un rapporto del Panel of Experts delle Nazioni Unite ha revealed 58 attacchi cyber sospetti legati alla RPDC tra il 2017 e il 2023, per un valore di circa 3 miliardi di dollari, a sostegno dei programmi di armi di distruzione di massa di Pyongyang.

Le ultime cifre di Chainalysis spingono quella linea cumulativa ancora più in alto: 6,75 miliardi di dollari di furti cripto collegati alla RPDC identificati finora, con 2,02 miliardi sottratti solo nel 2025.

La traiettoria è la vera storia. Ogni anno ci sono meno incidenti ma più grandi. Il settore si è arricchito, i bersagli sono cresciuti, e Lazarus ha scalato di pari passo.

Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January

I colpi più grandi legati a Lazarus

Il Tesoro USA ha updated le sanzioni su Lazarus includendo gli indirizzi dei wallet collegati al drain del Ronin Bridge del marzo 2022, attribuendo circa 625 milioni di dollari di perdite ad attori della RPDC.

Un breve elenco rende l’idea della scala:

  • Ronin Network, marzo 2022: circa 625 milioni di dollari drenati dal bridge sidechain di Axie Infinity, attribuiti a Lazarus dall’OFAC del Tesoro USA poche settimane dopo.
  • Harmony Horizon, giugno 2022: circa 100 milioni sottratti, formalmente attribuiti a Lazarus e APT38 dall’FBI nel gennaio 2023.
  • WazirX, luglio 2024: circa 235 milioni prelevati dall’exchange indiano in un compromesso del multisig ampiamente attribuito ad attori legati alla RPDC.

Poi è arrivato l’anno di svolta.

DMM Bitcoin ha perso 4.502,9 Bitcoin (btc), pari a circa 308 milioni di dollari all’epoca, nel maggio 2024. L’FBI, il Dipartimento della Difesa e la National Police Agency giapponese hanno confirmed il legame con TraderTraitor a dicembre, descrivendo un’esca in stile recruiter che ha compromesso un fornitore di software di wallet e si è conclusa con un prelievo manipolato.

Bybit, nel febbraio 2025, è stato il picco.

Un attaccante ha mascherato l’interfaccia di firma durante un normale trasferimento da cold wallet e ha reindirizzato circa 400.000 Ether, pari a circa 1,5 miliardi di dollari, verso un indirizzo sconosciuto.

Chainalysis colloca ora quel singolo episodio a 1,5 miliardi dei 3,4 miliardi di dollari rubati a livello di settore nel 2025. Kelp, con i suoi 292 milioni, è l’ultimo capitolo, non il più rumoroso. È ciò che fa un’operazione matura quando non ha più bisogno di spettacolarità.

Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months

Il playbook di Lazarus è cambiato

L’FBI e il Giappone hanno detailed il nuovo modello operativo di Lazarus nel loro avviso congiunto su DMM Bitcoin. L’immagine di Lazarus come semplice fabbrica di phishing è ormai superata.

Un hacker si è spacciato per recruiter su LinkedIn. Un finto test pre‑assunzione ha installato uno script Python malevolo sul GitHub personale di un ingegnere di Ginco, un fornitore di software per wallet. I cookie di sessione rubati hanno aperto l’accesso alla chat interna di Ginco e, settimane dopo, una richiesta di transazione legittima di DMM è stata silenziosamente riscritta “in volo”.

Su Bybit, Safe{Wallet} ha confirmed che applicazioni di firma modificate da malware mostravano la destinazione corretta all’utente mentre alteravano la logica dello smart contract sottostante. Su Kelp, LayerZero afferma che gli aggressori hanno sostituito i binari proprio sui nodi RPC di cui un verificatore si fidava, progettandoli per autodistruggersi e cancellare i log locali dopo l’uso.

Il filo conduttore è che raramente il codice è la vulnerabilità principale. Lo sono le persone, i fornitori, le pipeline di build e gli host dell’infrastruttura.

Chainalysis ha inoltre segnalato un canale parallelo: operatori della RPDC che si infiltrano nelle società cripto come lavoratori IT remoti sotto false identità, a volte usando collaboratori reclutati tramite Upwork e Freelancer per scalare.

Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients

Perché Lazarus torna sempre sulle cripto

Il movente della Corea del Nord è la sopravvivenza economica, non l’ideologia.

Le cronache di AP e dei rapporti ONU describe costantemente i furti di cripto come una fonte di reddito sostitutiva per un’economia sotto sanzioni e come finanziamento diretto dei programmi missilistici e nucleari.

Funzionari statunitensi citati da AP sono andati oltre, stimando che la criminalità informatica rappresenti ormai quasi la metà degli introiti in valuta estera della Corea del Nord.

La cripto è, di fatto, il bersaglio quasi perfetto per questa missione. Le transazioni sono definitive in minuti, non giorni, quindi non c’è una banca corrispondente che possa annullarle. La liquidità è profonda, la pseudonimia è a basso costo e le infrastrutture cross‑chain spostano valore più velocemente di quanto qualsiasi autorità possa congelarlo.

Yahoo Finance ha noted, citando la stessa timeline di LayerZero su Kelp, che l’attaccante ha consolidato circa 74.000 Ether dopo il drain e aveva pre‑finanziato i wallet tramite Tornado Cash circa dieci ore prima del colpo.

Per un governo che deve scegliere tra un colpo in banca e un colpo a un bridge, a vincere è il bridge. every time.

Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week

Cosa hanno effettivamente aggiunto gli investigatori onchain

Arkham ha attribuito al detective pseudonimo ZachXBT una "prova definitiva" che collega l’exploit di Bybit a Lazarus tramite transazioni di test, wallet collegati e analisi temporali, nel suo bounty post del 21 febbraio 2025.

Cinque giorni dopo, l’avviso di pubblica utilità dell’FBI ha nominato formalmente la Corea del Nord, usando l’etichetta TraderTraitor e pubblicando le blocklist dei wallet.

L’ordine conta. Gli investigatori onchain come ZachXBT sono spesso tra i primi a collegare pubblicamente i principali breach a wallet e schemi di riciclaggio riconducibili a Lazarus, a volte in anticipo rispetto alla conferma ufficiale.

Non sono la fonte di verità principale. Sono uno strato di attribuzione pubblica precoce che accelera la risposta a livello di exchange mentre le agenzie federali conducono processi più lenti ma con valore probatorio.

Questa divisione del lavoro è nuova. Ed è anche portante, perché una volta che i fondi rubati iniziano a rimbalzare tra le chain, l’unica domanda è quanto velocemente gli indirizzi vengano segnalati.

Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap

Perché il settore continua a perdere queste battaglie

La maggior parte dei dibattiti sulla sicurezza crypto ruota ancora attorno ai code audit. A Lazarus gli audit non interessano.

La superficie d’attacco che conta davvero è operativa. Include strumenti di firma di terze parti, fornitori di wallet, infrastrutture di nodi, pipeline di recruiter, sistemi di build e una manciata di persone con accessi privilegiati. Ognuno di questi elementi è stato coinvolto in almeno un breach collegato a Lazarus negli ultimi due anni.

Chainalysis segnala un secondo problema strutturale: il ciclo di riciclaggio è stato raffinato in uno schema di circa 45 giorni e tre ondate che spinge i fondi rubati attraverso mixer, bridge cross-chain e network OTC in lingua cinese, muovendo tranche in blocchi spesso inferiori a 500.000 dollari per evitare di attivare i sistemi di monitoraggio.

La risposta dell’industria resta frammentata. Gli exchange applicano le blacklist a velocità diverse. Alcuni protocolli DeFi mettono in pausa le operazioni, altri no.

Un’analisi su Dune dopo l’incidente ha rilevato che il 47% delle OApp LayerZero attive stava ancora utilizzando configurazioni DVN 1-of-1.

Il difensore deve vincere ogni settimana. A Lazarus basta vincere una volta a trimestre.

Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight

Cosa segnala Kelp sulla prossima fase

La conclusione scomoda del caso Kelp è che, anche dopo Bybit, il divario tra sicurezza del codice e sicurezza operativa resta ampio.

Bybit è stato un compromesso dell’interfaccia di firma con dietro un bilancio da 20 miliardi di dollari. Kelp è stato un compromesso a livello di infrastruttura contro un protocollo di liquid restaking di medie dimensioni.

Stesso cluster di attori, vettore d’attacco diverso, a diciotto giorni di distanza dal precedente drain di circa 285 milioni di dollari su Drift Protocol anch’esso collegato a operatori della RPDC.

Quella cadenza è il punto. Lazarus sta iterando il proprio playbook più velocemente di quanto i team DeFi stiano irrobustendo le proprie dipendenze, e ogni colpo andato a segno finanzia il successivo ciclo di recruiting, tooling e pazienza.

The Hacker News ha riportato che attori collegati alla RPDC sono stati responsabili del 59% di tutta la crypto rubata a livello globale nel 2025, evidenziando quanto questo avversario sia ormai centrale nelle perdite del settore.

Scelte di configurazione come setup a singolo verificatore, operatori di nodi non sottoposti ad audit e software di wallet condivisi non sono più rischi minori. In un mondo in cui l’avversario è uno Stato, sono l’elemento principale.

Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months

Conclusione

Lazarus dimostra che i maggiori fallimenti di sicurezza nel crypto oggi sono al tempo stesso geopolitici, finanziari e infrastrutturali.

Ronin, Harmony, WazirX, DMM Bitcoin, Bybit e ora Kelp non costituiscono un elenco di incidenti scollegati. Formano una campagna, condotta da un governo sanzionato contro un settore che ancora sottovaluta cosa significhi affrontare un avversario persistente di livello statale.

La prossima “Kelp” è già in fase di pianificazione. La domanda è se il settore la tratterà come una semplice segnalazione di bug o come una linea del fronte.

Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K

FAQ

Cosa è successo nell’hack di Kelp DAO?

Il 18 aprile 2026, gli aggressori hanno drenato 116.500 rsETH, per un valore di circa 292 milioni di dollari, da un bridge cross-chain operato da Kelp DAO. L’exploit non ha preso di mira un bug in uno smart contract. Invece, gli attaccanti hanno compromesso due nodi di remote procedure call usati dal Decentralized Verifier Network di LayerZero, quindi hanno forzato un failover affinché un nodo avvelenato convalidasse automaticamente un messaggio cross-chain fraudolento. Il multisig di emergenza di Kelp ha messo in pausa i contratti core 46 minuti dopo, bloccando due tentativi di drain successivi per un valore complessivo di altri 100 milioni di dollari.

Chi è il Lazarus Group?

Lazarus è l’etichetta-ombrello per attori cyber collegati allo Stato nordcoreano, associati dal Dipartimento del Tesoro USA e dall’FBI al Reconnaissance General Bureau, la principale agenzia di intelligence militare di Pyongyang. Gli analisti tracciano diversi subcluster e alias sotto lo stesso ombrello, tra cui TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet e Slow Pisces. Questi cluster spesso condividono infrastruttura e personale.

Perché LayerZero ha attribuito l’exploit di Kelp a Lazarus?

Il post-mortem di LayerZero ha indicato la “tradecraft” dell’attaccante e il comportamento dei wallet come tratti distintivi di un attore statale, in particolare del sub-unit TraderTraitor di Lazarus. Il pre-funding tramite Tornape Cash circa dieci ore prima dell’attacco, l’uso di binari autodistruggenti sull’infrastruttura compromessa e la successiva consolidazione di circa 74.000 Ether dopo il drain corrispondono a pattern già documentati in exploit precedenti collegati alla RPDC.

Quanta crypto ha rubato in totale la Corea del Nord?

Chainalysis identifica finora 6,75 miliardi di dollari di furti in crypto collegati alla RPDC. Di questi, 2,02 miliardi sono stati rubati nel solo 2025, pari a circa il 59% di tutta la crypto sottratta a livello globale in quell’anno. Report precedenti del National Intelligence Service sudcoreano stimavano in 1,2 miliardi di dollari il totale dei cinque anni fino al 2022, mentre un Panel of Experts delle Nazioni Unite ha indagato 58 sospetti cyberattacchi della RPDC tra il 2017 e il 2023 per un valore di circa 3 miliardi di dollari.

Che cos’è TraderTraitor?

TraderTraitor è un subcluster di Lazarus specializzato in obiettivi del settore crypto. La sua mossa caratteristica è l’ingegneria sociale contro personale tecnico, spesso tramite finti pitch di recruiter su LinkedIn, test pre-assunzione infetti da malware e compromissione di fornitori di software per wallet o di infrastrutture di firma. L’FBI, il Dipartimento della Difesa USA e l’Agenzia di Polizia Nazionale giapponese hanno nominato formalmente TraderTraitor nel furto da 308 milioni di dollari di DMM Bitcoin, e l’FBI lo ha poi indicato di nuovo come operativo dietro l’heist da 1,5 miliardi di dollari su Bybit.

Quali sono i maggiori hack crypto collegati a Lazarus?

Gli incidenti di maggiore entità pubblicamente attribuiti includono Ronin Network a marzo 2022 per circa 625 milioni di dollari, Harmony Horizon a giugno 2022 per circa 100 milioni, WazirX a luglio 2024 per circa 235 milioni, DMM Bitcoin a maggio 2024 per circa 308 milioni, Bybit a febbraio 2025 per circa 1,5 miliardi e Kelp DAO ad aprile 2026 per circa 292 milioni.

Come ricicla Lazarus la crypto rubata?

Chainalysis descrive un ciclo di riciclaggio raffinato di circa 45 giorni e tre ondate. I fondi rubati passano attraverso mixer, bridge cross-chain e network OTC in lingua cinese, spesso suddivisi in tranche mantenute sotto i 500.000 dollari per evitare il superamento delle soglie di monitoraggio. L’obiettivo è anticipare le blocklist degli exchange e le analisi onchain prima che i fondi raggiungano i punti di cash-out.

Perché la Corea del Nord prende di mira la crypto?

Il furto di crypto funziona come un flusso di reddito per l’elusione delle sanzioni a sostegno dell’economia isolata di Pyongyang e come finanziamento diretto dei suoi programmi missilistici e nucleari, secondo i report del Panel of Experts dell’ONU e funzionari statunitensi citati dall’AP. Le stime USA suggeriscono che il cybercrime rappresenti ormai quasi la metà delle entrate in valuta estera della Corea del Nord. Le infrastrutture crypto sono adatte alla missione perché le transazioni si regolano con finalità in pochi minuti e non possono essere annullate da una banca corrispondente.

Chi è ZachXBT e che ruolo ha avuto?

ZachXBT è un investigatore onchain pseudonimo il cui lavoro di attribuzione pubblico ha ripetutamente preceduto le conferme formali dei governi. Nel caso Bybit, il bounty post di Arkham del 21 febbraio 2025 gli ha attribuito l’analisi di collegamento delle transazioni che ha connesso l’exploit a Lazarus, cinque giorni prima che l’FBI nominasse formalmente la Corea del Nord. Gli investigatori onchain come ZachXBT costituiscono uno strato di attribuzione pubblica precoce, non un sostituto degli inquirenti federali, ma uno strumento più rapido per la risposta a livello di exchange.

Il settore crypto può fermare Lazarus?

Non con i soli code audit. La superficie d’attacco rilevante è operativa e comprende strumenti di firma di terze parti, fornitori di wallet, infrastrutture di nodi, pipeline di recruiter e sistemi di build. Un’analisi su Dune dopo l’incidente Kelp ha rilevato che il 47% delle OApp LayerZero attive utilizzava ancora setup a singolo verificatore (1-of-1), esattamente la configurazione che ha reso possibile l’exploit di Kelp. Irrobustire quello strato, tra vendor, host di infrastruttura e accessi umani, è il punto in cui oggi si concentrano i margini di miglioramento difensivo.

Kelp DAO è sicuro da usare ora?

Kelp ha messo in pausa i contratti core tramite il suo sistema di multisig di emergenza.multisig entro 46 minuti dalla rilevazione, il che ha bloccato due ulteriori tentativi di drenaggio. Gli utenti dovrebbero controllare i canali ufficiali sugli incidenti di Kelp e LayerZero per conoscere lo stato attuale del contratto, eventuali programmi di recupero o rimborso e le configurazioni aggiornate dei verificatori prima di riprendere l’attività.

Qual è la differenza tra Lazarus e TraderTraitor?

Lazarus è l’ombrello. TraderTraitor è un sottocluster specializzato all’interno di quell’ombrello, focalizzato su obiettivi dell’industria crypto e noto per il social engineering contro ingegneri e fornitori di software per wallet. Quando l’FBI attribuisce un attacco specificamente a TraderTraitor, sta nominando l’unità operativa, non soltanto il più ampio ecosistema legato allo stato.

Disclaimer e avvertenza sui rischi: Le informazioni fornite in questo articolo sono solo per scopi educativi e informativi e sono basate sull'opinione dell'autore. Non costituiscono consulenza finanziaria, di investimento, legale o fiscale. Gli asset di criptovaluta sono altamente volatili e soggetti ad alto rischio, incluso il rischio di perdere tutto o una parte sostanziale del tuo investimento. Il trading o il possesso di asset crypto potrebbe non essere adatto a tutti gli investitori. Le opinioni espresse in questo articolo sono esclusivamente quelle dell'autore/autori e non rappresentano la politica ufficiale o la posizione di Yellow, dei suoi fondatori o dei suoi dirigenti. Conduci sempre la tua ricerca approfondita (D.Y.O.R.) e consulta un professionista finanziario autorizzato prima di prendere qualsiasi decisione di investimento.
Articoli di Ricerca Correlati
La crisi della sicurezza del Web3 nel 2026: perché i più grandi hack non sono più solo bug degli smart contract
Nel 2026 le perdite maggiori derivano da falle operative e infrastrutturali, mentre i bug degli smart contract restano ma con impatto medio inferiore.
Claude Mythos e crypto: cosa significa la nuova minaccia dell’IA per il trading
Claude Mythos scopre migliaia di vulnerabilità zero‑day, aumentando il rischio per exchange, DeFi e infrastrutture crypto a mercato aperto e regolamento irreversibile.
I più grandi exploit cripto del 2025–2026: che cosa è andato davvero storto
Analisi dei più grandi exploit cripto 2025–2026, cause ricorrenti, bug, furti di chiavi e punti di fiducia concentrata che hanno amplificato i danni.
Criptovaluta sotto sanzioni: come le nazioni soggette a restrizioni stanno adottando Bitcoin e stablecoin
Sep 12, 2025
I paesi sanzionati hanno ricevuto $15,8 miliardi in criptovaluta nel 2024, rappresentando il 39% delle transazioni illecite di asset digitali a livello globale.
Come Claude Mythos potrebbe rimodellare la finanza e il settore crypto
Apr 18, 2026
Claude Mythos, modello AI cyber di frontiera condiviso via Project Glasswing, può cambiare sicurezza informatica, finanza e infrastrutture crypto globali.
Lazarus e l’hack di Kelp: come la macchina dei colpi cripto della Corea del Nord continua a evolversi | Yellow.com