La società di intelligence blockchain TRM Labs ha recentemente riferito che gli hacker nordcoreani sono responsabili del 76% di tutte le perdite dovute ad attacchi hacker nel settore delle criptovalute quest'anno. Due dei maggiori attacchi si sono verificati ad aprile, un mese in cui le perdite hanno superato il totale combinato dei primi tre mesi dell'anno.
Contemporaneamente, il Dipartimento del Tesoro degli Stati Uniti ha ufficialmente designato un senatore cambogiano in carica e la sua rete di complessi residenziali utilizzati per truffe.
Questi legami con attori a livello statale hanno portato a tracciare parallelismi tra le due nazioni asiatiche, che hanno acquisito notorietà negli ultimi giorni.
In che modo gli hacker nordcoreani rubano criptovalute in modo diverso nel 2026?
TRM Labs ha pubblicato dati che dimostrano come gli hacker nordcoreani stiano lanciando attacchi meno frequenti, ma molto più sofisticati.
La Corea del Nord ha rubato oltre 6 miliardi di dollari in criptovalute dal 2017, ma nell'aprile del 2026 si sono verificati due importanti attacchi informatici che hanno eclissato tutti gli altri furti di criptovalute a livello globale. Il primo è stata la del protocollo Drift il 1° aprile, che ha causato una perdita di 285 milioni di dollari.
Gli analisti di TRM hanno rivelato che, per portare a termine questo attacco informatico, agenti nordcoreani hanno tenuto incontri di persona con i dipendenti di Drift per diversi mesi.
Gli hacker hanno sfruttato la funzionalità "durable nonce" di Solana, che consente di firmare una transazione e di mantenerla valida per l'esecuzione in una data successiva. Tra il 23 e il 30 marzo 2026, gli hacker hanno indotto due dei cinque firmatari del Consiglio di Sicurezza di Drift ad approvare preventivamente 31 prelievi.
Prima dell'attacco, Drift aveva migrato il suo Consiglio di Sicurezza a una configurazione con blocco temporale nullo, il che significa che le azioni approvate entravano in vigore immediatamente. L'attacco è stato eseguito in soli 12 minuti e ora i fondi rubati giacciono inattivi su Ethereum.
Il secondo caso è stato l'attacco a KelpDAO, avvenuto il 18 aprile, che ha causato una perdita di 292 milioni di dollari. L'attacco è stato attribuito all'unità "TraderTraitor" del gruppo Lazarus. Gli hacker hanno compromesso i nodi RPC interni e lanciato un attacco DDoS per manipolare un bridge a singolo verificatore.
Il furto ha lasciato Aave con un enorme buco di "crediti inesigibili" inizialmente stimato in 195 milioni di dollari. Di conseguenza, i tassi di interesse sui prestiti in Tether (USDT) su Aave sono schizzati al 14%, il livello più alto da dicembre 2024.
Oltre 13 miliardi di dollari di depositi sono stati prelevati dalle principali piattaforme di prestito entro 48 ore dall'attacco hacker. La stessa Aave ha perso 8,54 miliardi di dollari di depositi.
La fase di riciclaggio dei proventi di questi attacchi informatici sarebbe gestita da intermediari cinesi, non dai nordcoreani stessi.
Il problema della criminalità informatica in Cambogia
L'Ufficio per il controllo dei beni esteri (OFAC) ha sanzionato il senatore cambogiano Kok An e 28 persone/entità ai sensi del Decreto Esecutivo 13694.
Il Dipartimento del Tesoro statunitense sostiene che Kok An, attraverso le sue società Crown Resorts e Anco Brothers, possieda casinò e proprietà a Sihanoukville e Poipet che sono stati trasformati in "complessi per truffe"
Questi complessi costringono le vittime della tratta di esseri umani a gestire truffe legate alla "macellazione di maiali", derubando gli americani di milioni di dollari in beni digitali.
L'OFAC ha inoltre sanzionato la Brilliancy Sihanoukville Investment (Bolai), società che gestisce le truffe, ricicla denaro attraverso siti web di gioco d'azzardo e invia fondi direttamente a cellule criminali con sede negli Stati Uniti. I servizi segreti trac1,3 milioni di dollari provenienti da vittime americane e li hanno ricondotti direttamente ai conti bancari del fondatore di Bolai, Luo Hong.
Un caso simile in passato ha coinvolto Chen Zhi, presidente del Prince Group. Cryptopolitan ha riportato che la Cambogia ha estradato Chen Zhi in Cina dopo che le autorità statunitensi lo avevano incriminato per aver gestito complessi adibiti a sfruttamento del lavoro forzato.
La decisione di estradarlo dal paese è sembrata opportuna, poiché si presumeva che la mente dell'operazione avesse legami con lo stato cambogiano, e che avesse accresciuto la sua influenza dopo aver ottenuto la cittadinanza cambogiana nel 2014.
Gli Stati Uniti gli avevano precedentemente sequestrato 15 miliardi di dollari in Bitcoin e la sua banca, la Prince Bank, era stata posta in liquidazione dalla Banca Nazionale della Cambogia.
