Gli investigatori del settore criptovalute stanno lanciando l'allarme dopo che 3,2 milioni di dollari sono stati sottratti da diversi Solana il 16 maggio 2025, che secondo loro portano i segni distintivi del gruppo Lazarus, legato alla Corea del Nord. I beni rubati sono stati rapidamente venduti on-chain e trasferiti su Ethereum prima che una parte di essi venisse riciclata tramite Tornado Cash .
Solana della vittima sono stati svuotati dei token e le risorse sono state quindi convertite in Ethereum tramite un bridge, prima che una parte di esse venisse depositata su Tornado Cash .
Il ricercatore di blockchain ZachXBT ha segnalato pubblicamente l'exploit , tracciando parallelismi con le precedenti attività di Lazarus.
Gli hacker hanno collegato i fondi rubati
Gli investigatori della blockchain hanno lanciato l'allarme per primi dopo aver osservato ingenti trasferimenti dall'indirizzo " C4WY…e525 " su Solana .
Queste transazioni, collegate al famigerato Lazarus Group, prevedevano lo spostamento dei token rubati attraverso un ponte e la loro conversione in Ethereum. ZachXBT ha segnalato l'attacco monitorando l'attività del ponte e traci fondi che alla fine sono finiti in una rete di portafogli su Ethereum.
Il 25 e il 27 giugno, 400 ETH sono stati inviati a Tornado Cash in due depositi separati. Queste 800 transazioni in ETH, per un totale di circa 1,6 milioni di dollari, sono in linea con le ben documentate tattiche di riciclaggio di denaro del Gruppo Lazarus
Dopo attacchi informatici di alto profilo come quello di Bybit, in cui sono stati rubati 1,5 miliardi di dollari nel febbraio 2025, e quello di 100 milioni di dollari dal bridge Horizon di Harmony nel 2022, tra gli altri attacchi informatici degni di nota, Lazarus ha ripetutamente utilizzato Tornado Cash , insieme a exchange decentralizzati e bridge cross-chain, per riciclare fondi offuscando le tracce delle transazioni.
Circa 1,25 milioni di dollari risiedono ancora in un indirizzo wallet identificato dent " 0xa5...d528 " su Ethereum , detenuti in una combinazione di DAI ed ETH. Gli analisti ipotizzano che questi fondi possano essere parcheggiati per un futuro riciclaggio o mantenuti intenzionalmente dormienti per mitigare il rischio di essere scoperti.
Il Gruppo Lazarus è attivo dal 2017
Il Lazarus Group si è guadagnato la reputazione di essere l'organizzazione criminale informatica più prolifica legata allo Stato, con sanzioni imposte alla Corea del Nord che lo hanno classificato come una minaccia persistente avanzata legata alle unità d'élite dell'intelligence militare di Pyongyang. Nel corso degli anni, dal 2017, ha rubato miliardi di dollari in criptovalute.
Il loro modus operandi spesso inizia con l'infiltrazione di personale chiave tramite phishing o malware, sfruttando falle negli smarttraco vulnerabilità dei wallet. Una volta ottenuti i fondi, questi vengono rapidamente convertiti in asset liquidi, suddivisi in più wallet e riciclati attraverso catene utilizzando mixer come Tornado Cash e servizi che forniscono swap istantanei senza requisiti Know Your Customer (KYC).
Tornado Cash rimane centrale nella strategia antiriciclaggio di Lazarus. Nonostante le sanzioni statunitensi imposte nel 2022, l'hosting decentralizzato e l'immutabilità hanno permesso al servizio di evitare la chiusura definitiva. Nel gennaio 2025, una corte d'appello statunitense ha revocato tali sanzioni, citando considerazioni sulla libertà di parola, nonostante le crescenti prove che collegassero Lazarus all'uso continuato di mixer.
Le autorità di regolamentazione e gli exchange potrebbero ora adottare misure per contrassegnare gli indirizzi segnalati come sospetti. Tuttavia, data la velocità e la complessità del processo di riciclaggio di Lazarus, i servizi di mixing continuano a rivelarsi sufficienti per nascondere il movimento dei fondi rubati.
