Quest’anno ha già segnato un record di furti di criptovalute legati alla Corea del Nord. A pochi mesi dalla data del calendario, gli hacker che si ritiene siano collegati a Pyongyang hanno già rubato più di 2 miliardi di dollari in asset digitali. Questi dati provengono da recenti analisi dei flussi blockchain, delle dichiarazioni delle forze dell’ordine e delle società di tracciamento blockchain.
Un cambiamento sorprendente nel loro approccio è che non si stanno più concentrando esclusivamente sui grandi exchange. Sempre più spesso, gli individui, in particolare i possessori di criptovalute che utilizzano portafogli, piattaforme DeFi o exchange meno conosciuti, stanno diventando bersagli. La strategia sembra essere quella di moltiplicare gli attacchi piuttosto che fare affidamento su uno o due grandi colpi. I guadagni alimentano preoccupazioni più ampie sul crimine informatico sponsorizzato dallo stato utilizzato per finanziare programmi missilistici, nucleari e di altre armi.
Storicamente, molti degli hack più pubblicizzati hanno riguardato violazioni di importanti exchange o bridge in cui gli hacker sono fuggiti con centinaia di milioni. Ma recenti indagini mostrano un approccio più sfumato. Piuttosto che su hack “smash-and-grab” fulminei, alcune di queste operazioni ora si basano sull’ingegneria sociale, false offerte di reclutamento e compromessi basati su cloud.
In un esempio, gli hacker si sono spacciati per reclutatori di lavoro o contatti di app di messaggistica, inducendo gli sviluppatori di criptovalute e i proprietari di wallet a concedere l’accesso. In un altro, è stato sfruttato un ambiente cloud, che ha dato agli aggressori l’accesso all’infrastruttura di cripto-wallet di un’azienda e ha permesso di dirottare i fondi senza far scattare allarmi evidenti. Queste tecniche rendono il rilevamento più difficile e le vittime meno evidenti.
Ciò che spicca è che il motivo finanziario è chiaro. La criptovaluta è attraente per i regimi sanzionati perché è globale, difficile da tracciare e può essere convertita in fiat o utilizzata per finanziare beni e servizi del mercato nero. Per la Corea del Nord, i furti informatici di questo tipo sono uno dei pochi modi affidabili rimasti per generare valuta forte sotto pesanti sanzioni.
Come si presenta l’impatto per le vittime e i mercati
Per i singoli possessori di criptovalute, il pericolo è diventato più immediato. Se gli aggressori passano da violazioni a livello di exchange a compromissioni di portafogli personali e servizi cloud, allora qualsiasi utente con partecipazioni sostanziali è a rischio, non solo le grandi istituzioni. Una chiave privata rubata, una credenziale cloud compromessa o un accesso per sviluppatori di ingegneria sociale possono portare a settimane o mesi di prosciugamento dei fondi in piccoli incrementi.
Dal punto di vista del mercato, i grandi furti agiscono come onde d’urto. Quando miliardi vengono rubati e i mercati si adeguano, il sentiment degli investitori subisce un duro colpo. Gli exchange inaspriscono i controlli, le autorità di regolamentazione pongono domande più difficili e alcune piattaforme congelano i prelievi o aumentano le commissioni. In molti casi, le conseguenze arrivano molto tempo dopo la rapina iniziale. C’è anche un costo reputazionale: quando gli hacker legati a un attore statale compiono il furto, solleva domande più ampie sulla resilienza dell’ecosistema crypto.
E per i governi e le multilaterali, i furti aprono nuove sfide per l’applicazione delle norme. Una cosa è annunciare pubblicamente il furto, un’altra è rintracciare i beni, congelarli, recuperare valore e penalizzare gli attori dietro di essi. Quando gli aggressori sono sostenuti da un regime che rispetta poco le norme internazionali, la sfida diventa ancora più complessa.
Perché questo è importante al di là dei numeri
È facile rimanere impressionati dalle dimensioni del bottino, poiché 2 miliardi di dollari sono una quantità significativa di denaro. Ma la vera storia sta nel modo in cui le tattiche si sono evolute e cosa significa per tutti coloro che usano o detengono criptovalute ora.
Il fatto che gli aggressori prendano di mira gli individui, sfruttino i sistemi cloud e utilizzino l’ingegneria sociale significa che l’inviluppo del rischio si è ampliato. Non si tratta più solo di grandi exchange. Qualcuno con un portafoglio di alto valore, un’esposizione alla DeFi o una configurazione multi-account potrebbe essere in prima linea.
Mostra anche che la difesa delle criptovalute non è solo una questione di “sicurezza degli exchange”, ma un gioco molto più ampio: le credenziali cloud, le identità degli sviluppatori, le pratiche di gestione dei portafogli, l’autenticazione a più fattori, la sicurezza degli endpoint e l’igiene informatica generale. I confini tra il crimine informatico tradizionale, l’hacking degli stati nazionali, lo sfruttamento del lavoro a distanza e il crimine crittografico stanno diventando sempre più sfumati.
È importante sottolineare che ci ricorda che quando i fondi illeciti entrano nel sistema su larga scala, raramente scompaiono nell’etere. Alimentano dinamiche geopolitiche più ampie, catene di approvvigionamento illegali e talvolta anche programmi di armamento. Per gli utenti ordinari, ciò significa che un portafoglio rubato non colpisce solo il tuo saldo e può alimentare un problema più grande che non hai mai registrato per supportare.
Cosa puoi fare se sei nel settore delle criptovalute
Se detieni criptovalute o utilizzi servizi di portafoglio o piattaforme DeFi, ci sono alcuni passaggi chiari che dovresti adottare immediatamente. Innanzitutto, supponi di essere preso di mira. Questo cambiamento di mentalità aiuta a migliorare il comportamento. Utilizza password complesse e univoche per gli account, abilita l’autenticazione a più fattori ovunque e archivia le chiavi o le seed phrase offline, ove possibile.
Sii particolarmente cauto quando sono coinvolti servizi cloud o integrazioni di portafogli. Se utilizzi un portafoglio cloud, uno strumento per sviluppatori o un portafoglio connesso all’exchange, considera tali credenziali come di alto valore. Mantieni aggiornato il software, riduci al minimo le autorizzazioni e utilizza i registri di controllo, se disponibili.
Evita di interagire con “offerte di lavoro” non richieste che menzionano lo sviluppo di criptovalute o portafogli, a meno che tu non verifichi l’identità dell’offerta e la tratti come qualsiasi altro processo di reclutamento ad alto rischio. L’ingegneria sociale è più comune di quanto si pensi.
Infine, monitora gli indirizzi del tuo portafoglio e la cronologia delle transazioni. Utilizza strumenti o servizi di analisi della catena che ti avvisano se i token vengono spostati. Adotta una mentalità del tipo “Voglio vedere ogni transazione” perché una volta che gli aggressori iniziano a spostare fondi, spesso li suddividono in dozzine di indirizzi, catene e giurisdizioni. Prima rilevi qualcosa di insolito, maggiori sono le tue probabilità di fermare ulteriori perdite.