Nel 2025, il furto di criptovalute si è evoluto da semplici rug pull e truffe opportunistiche in operazioni sofisticate sponsorizzate da stati nazionali che prendono di mira i principali exchange e le infrastrutture critiche. Oltre $2,17 miliardi sono stati rubati nella prima metà del 2025, e questa cifra continua a crescere mese dopo mese.
Solo a settembre, 20 attacchi legati alle crypto hanno causato perdite segnalate per $127,06 milioni, evidenziando la crescente minaccia. Di seguito sono riportati tre hacker di alto profilo che sono stati coinvolti in importanti attacchi crypto.
Sponsored1. Lazarus Group
Il Lazarus Group è un’organizzazione di hacking infame e di lunga data supportata dalla Corea del Nord. Conosciuto con alias come APT 38, Labyrinth Chollima e HIDDEN COBRA, il gruppo ha costantemente dimostrato la capacità di bypassare anche i sistemi di sicurezza più avanzati.
Inoltre, Hacken ha notato che le loro operazioni risalgono almeno al 2007, iniziando con intrusioni nei sistemi governativi sudcoreani. Altri attacchi degni di nota includono l’hack di Sony Pictures nel 2014 (ritorsione per il film The Interview), l’epidemia di ransomware WannaCry nel 2017 e campagne in corso che prendono di mira i settori economici in Corea del Sud.
Negli ultimi anni, Lazarus si è concentrato fortemente sul furto di criptovalute, rubando più di 5 miliardi di dollari tra il 2021 e il 2025. Il più significativo è stato l’hack di Bybit nel febbraio 2025, quando il gruppo ha rubato 1,5 miliardi di dollari in Ethereum (ETH)—il più grande furto di crypto mai registrato. Operazioni aggiuntive includevano un furto di 3,2 milioni di dollari in Solana (SOL) nel maggio 2025.
Sponsored Sponsored“L’hack di ByBit da parte della DPRK ha alterato fondamentalmente il panorama delle minacce del 2025. Con 1,5 miliardi di dollari, questo singolo incidente non solo rappresenta il più grande furto di crypto nella storia, ma rappresenta anche circa il 69% di tutti i fondi rubati dai servizi quest’anno,” ha scritto Chainalysis a luglio.
2. Gonjeshke Darinde
Gonjeshke Darande (sparviero predatore) è un gruppo di attacchi informatici politicamente motivati, ampiamente ritenuto avere legami con Israele. In mezzo all’escalation dei conflitti Israele-Iran, il gruppo ha sfruttato Nobitex, il più grande exchange di criptovalute dell’Iran, rubando circa 90 milioni di dollari prima di bruciare i fondi.
Gonjeshke Darande ha anche esposto pubblicamente il codice sorgente di Nobitex, minando i sistemi proprietari dell’exchange e infliggendo un duro colpo alla sua credibilità con gli utenti e i partner.
“12 ore fa, 8 indirizzi di burn hanno bruciato 90 milioni di dollari dai wallet dello strumento preferito dal regime per violare le sanzioni, Nobitex. Tra 12 ore il codice sorgente di Nobitex sarà aperto al pubblico, e il giardino recintato di Nobitex sarà senza muri. Dove vuoi che siano i tuoi asset?” hanno postato a giugno.
Gli altri attacchi del gruppo si sono concentrati anche sull’infrastruttura iraniana, le banche e altro ancora.
Sponsored Sponsored- Nel luglio 2021, Gonjeshke Darande ha interrotto i sistemi ferroviari dell’Iran, causando gravi ritardi e pubblicando messaggi di scherno sui tabelloni pubblici.
- Nell’ottobre 2022, il gruppo ha attaccato tre grandi impianti siderurgici, rilasciando filmati di incendi che hanno causato gravi danni fisici ed economici.
- Nel maggio 2025, hanno violato Bank Sepah, la banca statale dell’Iran, divulgando dati sensibili e interrompendo le operazioni finanziarie.
3. UNC4899
UNC4899 è un’altra unità di hacking crypto sponsorizzata dallo stato nordcoreano. Secondo il Cloud Threat Horizons Report di Google, il gruppo opera sotto il Reconnaissance General Bureau (RGB), l’agenzia di intelligence principale della Corea del Nord.
SponsoredIl rapporto ha rivelato che il gruppo è attivo almeno dal 2020. Inoltre, UNC4899 ha concentrato i suoi sforzi sui settori delle criptovalute e della blockchain. Il gruppo ha dimostrato capacità avanzate nell’esecuzione di compromissioni della catena di fornitura.
“Un esempio notevole è il loro presunto sfruttamento di JumpCloud, che hanno utilizzato per infiltrarsi in un’entità di soluzioni software e successivamente vittimizzare clienti a valle all’interno del settore delle criptovalute, sottolineando i rischi a cascata posti da tali avversari avanzati,” si legge nel rapporto.
Tra il 2024 e il 2025, l’hacker crypto ha effettuato due grandi furti di criptovalute. In un caso, hanno attirato una vittima su Telegram, distribuito malware tramite container Docker, bypassato l’MFA in Google Cloud e rubato milioni in criptovalute.
In un altro, si sono avvicinati a un obiettivo tramite LinkedIn, rubato cookie di sessione AWS per bypassare i controlli di sicurezza, iniettato JavaScript dannoso nei servizi cloud e ancora una volta sottratto milioni in asset digitali.
Così, quest’anno, il furto di crypto è diventato uno strumento di conflitto geopolitico tanto quanto un crimine finanziario. I miliardi persi quest’anno—e i motivi strategici dietro molti attacchi—dimostrano che gli exchange, i fornitori di infrastrutture e persino i governi devono ora trattare la sicurezza delle crypto come una questione di sicurezza nazionale. Senza una difesa coordinata, la condivisione di intelligence e salvaguardie più forti in tutto l’ecosistema, le perdite continueranno solo ad aumentare.
