76%. Non è un'ipotesi. È la quota delle perdite da hack crypto che TRM Labs attribuisce alla Corea del Nord nei primi quattro mesi del 2026. $577 milioni su $651 milioni totali. In quattro mesi.
Dati chiave
- Perdite DPRK gen-apr 2026 $577.000.000
- Totale perdite hack crypto (apr 2026) $651.000.000
- Quota DPRK sul totale 76%
- Drift Protocol (1 apr, TraderTraitor) $285.000.000
- Kelp DAO (18 apr, TraderTraitor) $292.000.000
- Aprile 2026 — mese peggiore dal feb 2025 $651M totali
Fonte: TRM Labs, Chainalysis, Elliptic · Maggio 2026
Fonte: TRM Labs, Chainalysis, Elliptic · Maggio 2026
Due attacchi, due protocolli completamente diversi, stesso attore, stesso mese. Drift Protocol: 285 milioni di dollari su Solana il 1° aprile, operazione attribuita al sottogruppo TraderTraitor del Lazarus Group da Elliptic e TRM Labs. Kelp DAO: 292 milioni il 18 aprile, stessa unità, vettore completamente diverso (bridge LayerZero invece di social engineering su Solana). Il dado è tratto. La Corea del Nord non stava improvvisando: stava lavorando su più fronti in parallelo.
Security Incident Report
- Protocollo Drift Protocol (Solana)
- Importo sottratto $285.000.000
- Data 1° aprile 2026
- Vettore Infiltrazione a lungo termine: creazione del CarbonVote Token (CVT) l'11 marzo, wash trading sistematico, poi exploit dei vault Drift in 12 minuti. Fondi bridgiati via Circle CCTP da Solana a Ethereum in 6 ore durante orario lavorativo USA.
- Attribuzione Lazarus Group / TraderTraitor (Elliptic, TRM Labs). Timestamp compatibili con orario Pyongyang. Pre-finanziamento da Tornado Cash il 10 ETH.
Fonte: Elliptic, TRM Labs, ZachXBT · Aprile 2026
Fonte: Elliptic, TRM Labs, ZachXBT · Aprile 2026
Security Incident Report
- Protocollo Kelp DAO (rsETH/LayerZero)
- Importo sottratto $292.000.000
- Data 18-19 aprile 2026
- Vettore Compromissione RPC del DVN LayerZero + DDoS sui nodi non compromessi. Drenaggio 116.500 rsETH. Aave V3 colpita da bad debt per rsETH usati come collaterale.
- Attribuzione Lazarus Group / TraderTraitor (LayerZero post-mortem ufficiale, 20 aprile 2026). ~$175M riciclati via THORChain in 36 ore.
Fonte: LayerZero Labs, Chainalysis, ZachXBT · Aprile 2026
Fonte: LayerZero Labs, Chainalysis, ZachXBT · Aprile 2026
Per il breakdown completo dell'exploit Kelp DAO e del caso Drift Protocol, e per capire come è andata a finire la crisi Aave post-exploit, leggi la nostra analisi su Aave e il recupero del 95% degli rsETH.
Come fa la Corea del Nord a rubare le criptovalute?
Il modello si è evoluto. Non parliamo più di un hacker in una stanza che cerca vulnerabilità nei contratti. La struttura nordcoreana, identificata da Chainalysis, TRM Labs e dai ricercatori FBI come TraderTraitor, opera come un'azienda. Recruta sviluppatori attraverso campagne di offerte di lavoro false (le operazioni GhostHire documentate da Cisco Talos). Li infiltra come contractor nelle aziende crypto, dove lavorano per mesi come dipendenti normali. Poi, al momento scelto, usano l'accesso interno per compromettere chiavi, modificare configurazioni o drenare wallet.
#PeckShieldAlert @THORChain has been exploited for ~$10M worth of crypto, including 36.75 $BTC ($3M) and ~$7M worth of assets from #BNBChain, #Ethereum, and #Base.
— PeckShieldAlert (@PeckShieldAlert) May 15, 2026
The stolen funds mainly sit in:
bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37… pic.twitter.com/mhWIWueVPK
Il caso Drift è il più documentato. Gli attaccanti avevano creato account sviluppatore su Solana il 23 marzo, tre settimane prima dell'attacco. Avevano eseguito wash trading per rendere il CarbonVote Token credibile. Avevano aspettato. Il 1° aprile, in 12 minuti, hanno svuotato i vault. Poi hanno usato Circle CCTP, il protocollo cross-chain di USDC, per spostare 232 milioni di dollari da Solana a Ethereum in 6 ore, durante l'orario lavorativo americano. Circle non è intervenuta. Il ruolo del Lazarus Group nell'exploit Kelp ha seguito la stessa logica di pianificazione a lungo termine.
L'AI sta entrando nel processo. Le campagne GhostCall e GhostHire documentate da Cisco Talos usano voce clonata e deepfake per impersonare dirigenti Web3 nelle videochiamate di selezione, aumentando il tasso di infiltrazione riuscita. Non è ancora il modello "AI attacca smart contract" del benchmark EVMbench, ma è il precursore: l'AI come strumento di preparazione e copertura, prima dell'exploit.
TRM Labs non ha ancora attribuito l'exploit THORChain del 15 maggio alla Corea del Nord. Ma se emergesse un coinvolgimento di TraderTraitor anche in quell'operazione da $10,8 milioni, le perdite DPRK del 2026 toccherebbero i $588 milioni prima di metà anno. La risposta regolatoria europea si è concentrata sulla Russia, ma il dossier nordcoreano resta il problema di sicurezza più concreto e meno indirizzato del settore. OFAC ha già sanzionato decine di facilitatori nordcoreani nel 2026, l'ultimo round a marzo. Non è stato sufficiente. La comunità THORChain vota la propria remediation entro il 22-23 maggio: se l'attribuzione cambierà, cambierà anche la pressione sul settore per dotarsi di meccanismi di screening delle transazioni che oggi il 99% dei bridge e dei protocolli cross-chain non ha. Segui tutti gli aggiornamenti nella sezione Hack di SpazioCrypto.
