Hacker nordcoreani hanno rubato 2,1 mld $ nel 2025

Lo sviluppo

La recente analisi di CertiK, riportata da Decrypt il 12 maggio 2026, attribuisce 2,1 miliardi di dollari di furti di criptovalute nel 2025 a gruppi sponsorizzati dallo Stato nordcoreano, pari a circa il 60% delle perdite totali dell'anno scorso. Tale attribuzione implica furti aggregati in criptovalute per circa 3,5 miliardi di dollari nel 2025 (2,1/0,60 = 3,5), una concentrazione materialmente più alta rispetto a quanto riportato dagli osservatori del settore in molti anni precedenti. Il rapporto evidenzia che queste operazioni hanno impiegato reti di riciclaggio cross-chain sempre più sofisticate per spostare valore attraverso bridge, mixer e intermediari che appaiono conformi in superficie. Per i gestori del rischio istituzionali, il rapporto rappresenta una riclassificazione del panorama della minaccia crypto: l'attore dominante è ora uno Stato con obiettivi geopolitici e accesso a risorse nazionali.

Lo sviluppo è significativo non solo per i numeri in copertina ma per quello che CertiK descrive come un cambiamento sistemico. Là dove in passato le bande criminali private rappresentavano la maggior parte delle rapine in crypto, la distribuzione del 2025 indica una centralizzazione del rischio in attori più difficili da scoraggiare con gli strumenti tradizionali delle forze dell'ordine, a causa della protezione statale e della complessità delle sanzioni internazionali. L'articolo di Decrypt cita le metodologie forensi di CertiK; la dichiarazione pubblica e il dataset di CertiK restano la fonte primaria per la cifra di 2,1 miliardi di dollari (CertiK via Decrypt, 12 mag 2026). I partecipanti al mercato e i team di compliance dovrebbero considerare la divulgazione sia come una conferma delle tattiche note della RPDC sia come evidenza che tali tattiche si sono scalate.

Sul mercato, la reazione immediata è stata contenuta: i prezzi spot delle criptovalute hanno mostrato volatilità intraday ma nessuna mossa direzionale sostenuta imputabile esclusivamente al rapporto. È più probabile che i partecipanti istituzionali rivedano il rischio di controparte, gli accordi di custodia e le esposizioni implicite nell'attività cross-chain, piuttosto che modificare l'allocazione macroovernight. Detto questo, l'attribuzione di grandi furti legati a uno Stato tende a generare un'intensificazione della vigilanza regolamentare, e qualsiasi risposta politica — da sanzioni aggiuntive a restrizioni sui bridge e sugli strumenti di privacy — avrebbe effetti secondari sulla liquidità e sulle valutazioni in DeFi e nei libri d'ordine degli exchange centralizzati. Per contesto e approfondimenti sulle tendenze regolamentari pertinenti, vedere topic.

Contesto

L'uso, da parte della Corea del Nord, del crimine finanziario abilitato dal cyber non è nuovo; team di attribuzione e autorità sanzionatorie hanno collegato gruppi come "Lazarus" a numerosi incidenti di alto profilo nell'ultimo decennio. Esempi storici includono il colpo alla Bangladesh Bank del 2016 — circa 81 milioni di dollari deviati tramite sistemi SWIFT — e lo sfruttamento del bridge Ronin nel 2022 che sottrasse circa 625 milioni di dollari da una sidechain di Ethereum. Questi incidenti contestualizzano i dati 2025 di CertiK: gli attori legati alla RPDC da tempo combinano capacità tecnica con necessità strategica di generare valuta dura al di fuori dei canali bancari convenzionali. La concentrazione delle perdite nel 2025 sotto insegne statali sembra essere il passo successivo in una timeline in escalation.

I driver geopolitici sono misurabili. Le sanzioni internazionali contro la Repubblica Popolare Democratica di Corea hanno fortemente limitato i ricavi legittimi dall'export; il Dipartimento del Tesoro e i panel ONU hanno documentato ripetutamente l'uso di operazioni cyber da parte della RPDC per eludere tali restrizioni. Questo contesto incentiva uno sforzo persistente e ben finanziato per monetizzare asset digitali. I dati di CertiK devono quindi essere letti sia come una constatazione di cybersecurity sia come un segnale macro-finanziario: riflettono come la pressione geopolitica si traduca in flussi finanziari digitali.

Da una prospettiva industriale, la meccanica del riciclaggio si è evoluta. I bridge cross-chain hanno rappresentato uno spostamento sproporzionato di valore tra il 2022 e il 2025; sebbene i totali precisi dei bridge per il 2025 varino a seconda della fonte, i pattern documentati da CertiK mostrano flussi di asset instradati attraverso più reti per oscurare la provenienza. La conseguenza pratica è che il tracciamento forense richiede più risorse, mentre la velocità e l'automazione di questi flussi aumentano la probabilità che il valore rubato venga re-tokenizzato e speso prima che si verifichi un'interdizione. I team di compliance istituzionali devono quindi valutare non solo la custodia ma il rischio end-to-end della catena di proprietà (chain-of-title) per gli asset on-chain.

Approfondimento sui dati

L'headline di CertiK: 2,1 miliardi di dollari rubati nel 2025 da gruppi legati alla Corea del Nord, che il rapporto quantifica come il 60% di tutte le perdite crypto in quell'anno (CertiK, come riportato da Decrypt, 12 mag 2026). L'aritmetica implica furti totali di circa 3,5 miliardi di dollari nel 2025. Queste cifre derivano da tracciamento on-chain, analisi di cluster e dati pubblicamente disponibili sulle interazioni con exchange e mixer. La metodologia di CertiK avrebbe utilizzato clustering di indirizzi, monitoraggio dei bridge cross-chain e tagging storico di entità legate alla RPDC per attribuire i flussi; la società osserva inoltre che il livello di confidenza nell'attribuzione varia a seconda dell'incidente e che le tecniche di offuscamento on-chain possono diminuire la certezza.

Oltre ai numeri principali, la distribuzione degli asset rubati mostra una concentrazione in una manciata di bridge e contratti intelligenti intermediari, che hanno servito da punti di snodo per il riciclaggio. Il rapporto di CertiK identifica schemi ripetuti: exploit o compromissione iniziali; trasferimento verso indirizzi intermediari; conversione in token orientati alla privacy o in protocolli di wrapping; quindi trasferimento cross-chain verso giurisdizioni o exchange con applicazione limitata delle norme AML. Pur non pubblicando un elenco completo degli exchange implicati nel suo brief pubblico, il rapporto sottolinea l'importanza del monitoraggio dei bridge e di un maggiore rigore KYC ai punti di uscita (off-ramps).

In confronto, i gruppi criminali privati negli anni precedenti tendevano a monetizzare tramite exchange centralizzati o desk OTC con controlli più deboli, producendo flussi identificabili che regolatori e società di analytics on-chain riuscivano a interrompere. Il modello legato allo Stato descritto da CertiK è più industrializzato: somme maggiori in singoli eventi, offuscamento multilivello e riutilizzo di infrastrutture tra incidenti. T