Investigatori sudcoreani hanno avviato indagini a seguito di un prelievo anomalo di 44,5 miliardi di won dall'exchange di criptovalute Upbit il 27 novembre 2025. L'attacco, rilevato dai team di sicurezza dell'exchange, ha innescato una risposta di emergenza che ha coinvolto l'Agenzia Nazionale di Polizia e il Servizio Nazionale di Intelligence.
Le autoritĂ sospettano che un'unitĂ cibernetica affiliata alla Corea del Nord, nota come Lazarus Group, abbia orchestrato il colpo sfruttando i protocolli di autenticazione e le vulnerabilitĂ di sistema. L'incidente presenta una notevole somiglianza con un prelievo non autorizzato di 58 miliardi di won nel 2019, rafforzando l'attribuzione agli stessi attori di minaccia persistente avanzata.
Yonhap News Agency ha riferito che gli investigatori hanno rinvenuto prove forensi distintive che collegano i modelli di intrusione agli strumenti e alle tattiche precedentemente impiegate dagli operatori di Lazarus. Gli exchange e i regolatori hanno intensificato la cooperazione per tracciare il flusso di fondi tramite analisi della blockchain e checkpoint degli exchange.
Un funzionario anonimo ha dichiarato che gli aggressori hanno bypassato l'autenticazione multi-fattore e hanno sfruttato una vulnerabilitĂ zero-day nell'infrastruttura interna di custodia degli asset di Upbit. L'operatore dell'exchange Dunamu ha confermato che sono in corso audit di sistema, rassicurando gli utenti che gli asset recuperati saranno ripristinati dalle riserve assicurative.
La violazione è avvenuta a poche ore dall'annuncio da parte di Naver Financial della sua proposta di acquisizione di Dunamu, la capogruppo di Upbit, in un accordo valutato a oltre 15 trilioni di won. Il tempismo ha suscitato preoccupazioni riguardo la due diligence e l'integrazione delle misure di cybersicurezza nei processi di fusione e acquisizione.
Eventi passati attribuiti a Lazarus includono il furto nel 2016 di 81 milioni di dollari dalla Bangladesh Bank e molteplici exploit su DeFi. L'arsenale in evoluzione del gruppo combina campagne di spear-phishing, impianti di malware e manipolazione di smart contract, mirati a exchange, portafogli e ponti blockchain.
In risposta all'hacking, la Commissione per i Servizi Finanziari della Corea del Sud ha promesso di accelerare le linee guida regolamentari relative agli standard di custodia e alla divulgazione tempestiva degli incidenti. Gli analisti di mercato prevedono una maggiore volatilità poiché gli investitori istituzionali rivaluteranno i rischi, mentre i volumi di trading al dettaglio potrebbero subire restrizioni temporanee in attesa di revisioni di sicurezza.
Chainalysis, una societĂ di sicurezza blockchain, e altri fornitori di analisi on-chain sono stati ingaggiati per tracciare i token rubati, impiegando euristiche proprietarie per identificare percorsi di riciclaggio e ingressi agli exchange. Gli sforzi collaborativi mirano a intercettare potenziali punti di incasso e a congelare asset in diverse giurisdizioni.
L'incidente di Upbit è tra i più grandi hack del 2025, rinnovando l'appello urgente affinché i protocolli di finanza decentralizzata integrino primitive di sicurezza avanzate, come il calcolo multiparte e soluzioni di gestione delle chiavi basate su hardware. Mentre l'industria deve fare i conti con l'incertezza normativa e le minacce emergenti, l'importanza di robusti quadri di cybersicurezza non è mai stata così evidente.
Commenti (0)