Nel complesso scacchiere della cybersicurezza internazionale, il furto di criptovalute da parte di gruppi specializzati continua a rappresentare una sfida sempre più complessa. L'ultimo episodio che ha scosso il settore riguarda i fondi sottratti dall'exchange Bybit, dove ben 1,4 miliardi di dollari in criptovalute sono finiti nelle mani del gruppo nordcoreano Lazarus. Ma ciò che preoccupa maggiormente gli esperti è la capacità di questi hacker di far letteralmente "sparire" ingenti somme di denaro digitale nel giro di poche settimane, rendendo quasi impossibile il loro recupero.
La metamorfosi invisibile di mezzo miliardo di Ethereum
Secondo quanto rivelato dal CEO di Bybit, Ben Zhou, oltre un quarto (27,59%) dei circa 500.000 ETH rubati è ormai diventato completamente irrintracciabile. Una cifra impressionante che si traduce in centinaia di milioni di dollari volatilizzati nel cyberspazio. Nonostante il 68,57% dei fondi risulti ancora teoricamente monitorabile, solo una frazione minima – appena il 3,84% – è stata effettivamente congelata dalle autorità.
La capacità del gruppo Lazarus di manipolare questi capitali digitali rappresenta un caso studio sulla sofisticazione delle tecniche di riciclaggio nel mondo cripto. Gli hacker hanno orchestrato una strategia articolata che ha trasformato la maggior parte del bottino in Bitcoin, frammentandolo successivamente in migliaia di portafogli diversi per complicarne il tracciamento.
L'architettura del perfetto crimine digitale
Quello che emerge dall'analisi di Zhou è un vero e proprio manuale operativo del crimine finanziario moderno. Il primo strumento utilizzato è stato Wasabi Mixer, seguito da altri servizi di miscelazione come CryptoMixer, Tornado Cash e Railgun, piattaforme che permettono di "lavare" le criptovalute rompendo il legame tra indirizzo di origine e destinazione.
Non limitandosi a queste tecniche, i cybercriminali hanno sfruttato anche piattaforme di scambio cross-chain come Thorchain, eXch, Lombard e altre per trasferire gli asset attraverso diverse blockchain. La fase finale ha visto la conversione in valuta fiat attraverso scambi peer-to-peer (P2P) e over-the-counter (OTC), canali notoriamente difficili da monitorare.
La metamorfosi: da Ethereum a Bitcoin
I dati più sconcertanti riguardano la trasformazione della refurtiva: ben 432.748 ETH (l'84,45% del totale rubato) sono stati convertiti in Bitcoin tramite Thorchain. Di questi, 342.975 ETH – equivalenti a circa 960 milioni di dollari – sono diventati 10.003 BTC, successivamente distribuiti in quasi 36.000 portafogli diversi. Una frammentazione estrema che rende praticamente impossibile seguire il denaro.
Solo una minima parte dei fondi rubati è rimasta sulla blockchain Ethereum, mentre attraverso il solo Wasabi sono transitati 944 BTC, pari a circa 90,6 milioni di dollari. Un'operazione che evidenzia la pianificazione meticolosa dietro l'attacco.
La caccia ai fondi perduti
Per contrastare questo fenomeno, Bybit ha lanciato l'iniziativa "Lazarus Bounty", un programma di ricompense per chi riesce a rintracciare i fondi rubati. Negli ultimi due mesi sono arrivate 5.443 segnalazioni, ma solo 70 sono state validate, dimostrando quanto sia arduo seguire le tracce di criptovalute che passano attraverso mixer e servizi di offuscamento.
Zhou ha sottolineato come ci sia urgente bisogno di "cacciatori di taglie" specializzati nell'analisi delle transazioni miscelate, ammettendo che il tracciamento dei flussi ormai oscurati richiederà uno sforzo collaborativo senza precedenti tra exchange, autorità e specialisti di cybersicurezza.
Il caso eXch: quando il business della privacy diventa insostenibile
Tra le piattaforme coinvolte nella catena di riciclaggio figura anche eXch, exchange focalizzato sulla privacy che ha recentemente annunciato la cessazione delle proprie attività a partire dal 1° maggio. La decisione arriva dopo le accuse di aver facilitato il riciclaggio di circa 35 milioni di dollari collegati proprio all'hack di Bybit.
Pur negando qualsiasi coinvolgimento intenzionale in attività criminali, eXch ha citato un ambiente ostile e una "operazione transatlantica attiva" finalizzata alla sua chiusura. Come ultimo atto, la piattaforma ha annunciato l'istituzione di un fondo da 50 BTC per sostenere lo sviluppo di strumenti crittografici orientati alla privacy, ribadendo così la propria filosofia anche nel momento dell'addio.