Il più grande furto crypto di sempre
Il 21 febbraio 2025 si è consumato il più grave attacco nella storia delle criptovalute. L’exchange Bybit, secondo al mondo per volumi dopo Binance e con sede a Dubai, ha subito un furto da circa 1,5 miliardi di dollari in asset digitali custoditi in un cold wallet Ethereum. Nessuna blockchain è stata violata. Nessun bug crittografico sfruttato. Il punto debole è stato umano, infrastrutturale e sistemico. L’attacco ha svelato l’inadeguatezza dell’attuale architettura ibrida del Web3, fondata su un paradosso: strumenti decentralizzati costruiti su infrastrutture centralizzate.
21 febbraio 2025
Alle 13:30 UTC del 21 febbraio, Bybit esegue un’operazione di routine: il trasferimento di 30.000 ETH da uno dei suoi cold wallet multi-firma verso un wallet più accessibile, un cosiddetto “warm wallet”. Il movimento, apparentemente innocuo, si trasforma in un punto di rottura storico: 401.347 ETH, 90.375 stETH, 15.000 cmETH e 8.000 mETH vengono sottratti nel giro di pochi minuti.
Totale stimato del danno:
- 401.347 ETH ≈ 1,12 miliardi di dollari
- 90.375 stETH ≈ 253 milioni
- 15.000 cmETH ≈ 44 milioni
- 8.000 mETH ≈ 23 milioni
Totale: ≈ 1,5 miliardi di dollari
Confronto con gli hack precedenti
| Hack | Data | Valore sottratto |
|---|---|---|
| Bybit | Feb 2025 | 1,5 miliardi USD |
| Ronin (Axie Infinity) | Mar 2022 | 620 milioni USD |
| Poly Network | Ago 2021 | 610 milioni USD |
| Mt.Gox (Tokyo) | 2014 | 850.000 BTC (~450M) |
| KuCoin | Set 2020 | 275 milioni USD |
L’attacco a Bybit non solo supera per entità tutti i precedenti, ma sposta il campo di battaglia da vulnerabilità interne alla blockchain a un nuovo livello: la supply chain dell’infrastruttura Web3.
Perché questo attacco è “systemic-level”
L’exploit non ha colpito smart contract vulnerabili. Ha colpito l’infrastruttura di firma che connetteva esseri umani, wallet software, e ambienti cloud. È un test di stress fallito per l’intero ecosistema crypto, e in particolare per la presunta invulnerabilità dei cold wallet multi-firma, da sempre considerati il gold standard della custodia digitale.
La dinamica dell’attacco: il trasferimento “di routine” che non lo era
La transazione fraudolenta si è mimetizzata in una routine. I firmatari hanno visto — nella GUI di Safe{Wallet} — un trasferimento legittimo. On-chain, però, i fondi venivano diretti verso contratti controllati dagli attaccanti. L’interfaccia mostrava un indirizzo corretto, ma il codice JavaScript eseguito nel browser aveva modificato la logica sottostante del pacchetto di firma, alterando i parametri to, operation e data.
Il ruolo di Safe{Wallet} e della supply chain Web2
Safe (ex Gnosis Safe) è il multisig più usato nel settore. Bybit lo usava per gestire la firma a 3 livelli dei propri cold wallet. Il punto di ingresso dell’attacco è stato la compromissione della macchina di uno sviluppatore di Safe, da cui gli attaccanti hanno ottenuto accesso al bucket AWS S3 che ospitava il frontend pubblico di Safe.
Modificando il file safe-transaction.js, gli aggressori hanno iniettato un payload JavaScript in grado di riconoscere quando un signer di Bybit stava approvando una transazione, e modificarne il contenuto al volo. Il codice modificato è stato poi servito come se fosse legittimo attraverso AWS CloudFront.
Questo è il paradosso: una soluzione pensata per essere decentralizzata e trustless che dipendeva da un CDN centralizzato e da storage cloud non blindato.
Lazarus Group: il “braccio cyber” della Corea del Nord
L’attribuzione è stata confermata dall’FBI e da aziende di analisi blockchain come Chainalysis ed Elliptic. Il gruppo responsabile è Lazarus, un’unità di elite della Corea del Nord collegata al Reconnaissance General Bureau (RGB), organo di intelligence militare.
Attacchi precedenti: la traiettoria di Lazarus, dallo spionaggio ai furti crypto
Il gruppo Lazarus, identificato come unità operativa sotto il Reconnaissance General Bureau (RGB), è passato in poco più di un decennio da operazioni di sabotaggio informativo a sofisticate campagne di cybercriminalità finanziaria. La progressione mostra un’evoluzione netta: dal targeting di entità statunitensi con finalità geopolitiche alla costruzione di un’infrastruttura industriale per il furto di criptovalute.
Sony Pictures (2014): sabotaggio come arma diplomatica
L’attacco del 2014 contro Sony Pictures Entertainment segna l’ingresso di Lazarus nel panorama cyber globale. Il movente fu politico: la distribuzione del film The Interview, una satira sul regime di Kim Jong-un. Lazarus penetrò nella rete interna della compagnia, distrusse il 70% dei server e dei dispositivi interni, esfiltrò terabyte di dati riservati, incluse email private, stipendi, contenuti inediti e informazioni personali dei dipendenti. L’attacco costò a Sony decine di milioni di dollari. Fu la dimostrazione che Lazarus operava non come un gruppo di attivisti, ma come strumento strategico statale.
Banca Centrale del Bangladesh (2016): il passaggio al furto finanziario
Nel febbraio 2016, Lazarus sfruttò le credenziali SWIFT compromesse della Bangladesh Bank per tentare un furto di 951 milioni di dollari dalla Federal Reserve di New York. Solo un errore tipografico nel nome del beneficiario (“Fundation” anziché “Foundation”) impedì il successo completo. Tuttavia, 81 milioni USD furono trasferiti con successo, in gran parte riciclati attraverso casinò filippini. È il primo caso documentato di attacco diretto a un sistema bancario internazionale con obiettivo finanziario puro, segnando il passaggio dal sabotage allo sfruttamento economico su scala globale.
Upbit (2019): Lazarus entra nel mondo crypto
Nel novembre 2019, Lazarus violò l’exchange sudcoreano Upbit, sottraendo 342.000 ETH (≈ 41 milioni USD all’epoca). Il furto avvenne da un wallet hot, compromesso con un attacco mirato. A differenza del caso Bangladesh, la natura permissionless delle blockchain consentì un’esecuzione più veloce e una dispersione quasi istantanea dei fondi. L’attacco segna l’ingresso ufficiale del gruppo nella criminalità crypto-native: basso rischio, alta velocità, massima liquidabilità.
KuCoin (2020): furto decentralizzato, ma fondi in parte recuperati
Nel settembre 2020, Lazarus colpì l’exchange KuCoin, con sede alle Seychelles ma operativo soprattutto nel mercato asiatico. Vennero sottratti circa 275 milioni di dollari in una moltitudine di token ERC-20 e altri asset su blockchain compatibili. La differenza rispetto agli attacchi precedenti fu nel recupero parziale: oltre l’80% dei fondi venne restituito grazie alla collaborazione tra sviluppatori dei token, che congelarono contratti o re-deployarono asset. L’episodio evidenzia due elementi: la rapidità di Lazarus nell’aggredire l’infrastruttura crypto e, al contempo, la vulnerabilità degli asset fungibili ai controlli dei team originari.
Ronin / Axie Infinity (2022): l’attacco più grande fino al 2025
Il 23 marzo 2022, Lazarus colpisce il Ronin Network, sidechain di Ethereum sviluppata per il gioco Axie Infinity. Il gruppo compromette cinque dei nove validatori richiesti per autorizzare le transazioni sulla chain, riuscendo così a trasferire 173.600 ETH e 25,5 milioni USDC, per un totale di circa 620 milioni di dollari. L’attacco è una lezione sul rischio sistemico di schemi di validazione semi-centralizzati travestiti da decentralizzazione. È anche il primo caso in cui l’Office of Foreign Assets Control (OFAC) statunitense sanziona un wallet Ethereum direttamente, riconoscendolo come strumento statale nordcoreano.
Atomic Wallet (2023): exploit fuori dall’exchange
Nel giugno 2023, Lazarus compromette Atomic Wallet, software di self-custody non custodial usato da milioni di utenti. L’exploit non colpisce un exchange, ma dispositivi privati degli utenti. Il gruppo sfrutta una vulnerabilità nel codice del wallet per rubare circa 100 milioni USD in diverse criptovalute. L’attacco mostra una nuova frontiera: colpire il layer del singolo utente, scavalcando ogni controllo istituzionale. Nessuna copertura, nessun rimborso. L’individuazione dell’exploit e la mitigazione sono avvenute troppo tardi per qualsiasi recupero significativo.
Lazarus non è un gruppo criminale “normale”: agisce come strumento di politica estera finanziaria per la Corea del Nord, convertendo furti crypto in finanziamento per armi nucleari e missili balistici.
Riciclaggio e frammentazione: la fase 2 dell’operazione
Appena concluso il furto, è iniziata immediatamente la seconda fase dell’operazione: la dispersione sistematica dei fondi rubati. I responsabili dell’attacco, identificati come membri del gruppo Lazarus, hanno attivato un piano di riciclaggio ad alta efficienza, frammentando e occultando gli asset digitali su vasta scala.
Per convertire gli Ethereum rubati in Bitcoin, sono stati utilizzati una serie di exchange decentralizzati (DEX) e bridge cross-chain noti per la loro assenza di controlli KYC (Know Your Customer). Tra questi figurano THORSwap, Chainflip, Uniswap e eXch, quest’ultimo già oggetto di controversie per la sua mancata collaborazione iniziale nel blocco dei fondi. La mancanza di identificazione obbligatoria ha consentito agli attaccanti di spostare rapidamente i capitali senza ostacoli regolamentari.
Il processo ha coinvolto oltre 4.400 indirizzi crypto distinti, utilizzati per frammentare i fondi e renderne più difficile il tracciamento. La strategia mirava a saturare gli strumenti di sorveglianza on-chain e i team di compliance degli exchange, rendendo impraticabile una risposta tempestiva. Questa tattica, definita “flood the zone”, è ormai parte del modus operandi ricorrente di Lazarus nei furti su larga scala.
Secondo le analisi combinate di Elliptic e Bybit, circa il 90% dei fondi rubati è stato convertito in Bitcoin nei primi giorni successivi all’attacco. Una volta trasformati, i BTC sono stati ulteriormente smistati attraverso mixer, wallet intermediari e transazioni incrociate su blockchain alternative.
Almeno il 20% dei fondi totali è considerato “andato dark”, ovvero non più rintracciabile con gli strumenti attuali di investigazione blockchain. Questo segmento include monete già convertite in contante, criptovalute offuscate tramite tumblers o asset congelati in wallet non attivi.
Nonostante l’elevata sofisticazione del piano, alcune contromisure hanno prodotto risultati parziali: solo 42,89 milioni di dollari sono stati congelati grazie all’intervento coordinato di alcuni partner del settore, tra cui Tether, ChangeNOW, THORchain e altri operatori che hanno collaborato nel riconoscimento e blocco degli indirizzi compromessi. Tuttavia, la quota recuperata resta marginale rispetto all’ammontare totale sottratto.
Il LazarusBounty di Bybit
Il 25 febbraio, Bybit lancia LazarusBounty, il primo programma di bounty strutturato contro un gruppo cybercriminale statale. In palio: 10% dei fondi rubati, circa 140 milioni USD per chiunque aiuti nel tracing e nel blocco dei fondi.
Al 10 marzo 2025, il programma LazarusBounty lanciato da Bybit ha cominciato a produrre i primi risultati concreti. L’iniziativa, progettata per incentivare il tracciamento dei fondi rubati attraverso la collaborazione della comunità crypto, ha permesso di ottenere progressi significativi nella mappatura delle transazioni sospette.
In totale, oltre 4 milioni di dollari in ricompense sono già stati distribuiti a soggetti che hanno fornito informazioni utili all’identificazione e al blocco di circa 40 milioni di dollari in asset sottratti. Queste segnalazioni hanno permesso ad alcuni exchange e servizi intermediari di interrompere transazioni o congelare fondi prima che venissero riciclati completamente.
Almeno 20 collaboratori distinti – tra analisti indipendenti, gruppi forensics e membri della comunità crypto – hanno preso parte attiva all’operazione, segnalando movimenti sospetti e mappando percorsi di transazione in tempo reale. Anche se l’importo recuperato rappresenta solo una frazione del totale sottratto, l’operazione dimostra l’efficacia di una risposta distribuita e incentivata contro attacchi sofisticati di natura statale.
Impatto sul mercato e sugli utenti
L’attacco a Bybit ha avuto conseguenze immediate sull’intero mercato crypto, generando turbolenze sia sul fronte dei prezzi sia sul piano psicologico degli investitori. A partire dal giorno del furto, il sentiment di mercato si è rapidamente deteriorato, innescando un’ondata di vendite che ha colpito in particolare i due asset più rilevanti dell’ecosistema.
Bitcoin (BTC), che aveva toccato il suo all-time high a $109.000 nel gennaio 2025, ha registrato un calo del 20%, scendendo a $87.000 nel giro di poche settimane. La pressione al ribasso è stata amplificata da timori generalizzati sulla sicurezza dell’infrastruttura crypto, aggravati dalla consapevolezza che anche gli asset custoditi in cold wallet potevano essere compromessi da attacchi indiretti.
Ethereum (ETH) ha subito una contrazione ancora più violenta. Da un prezzo di circa $6.200, è sceso a $5.100 in sole 48 ore, bruciando oltre 100 miliardi di dollari in capitalizzazione di mercato. Il crollo è stato direttamente collegato alla quantità di ETH rubati (oltre 400.000) e alla successiva frammentazione on-chain, che ha alimentato l’incertezza sul reale grado di tracciabilità degli asset.
Paradossalmente, nonostante il furto, l’attività su Bybit è aumentata. Nei giorni successivi all’attacco, l’exchange ha registrato un incremento del +25% nei volumi di scambio, trainato da un massiccio rientro di capitali istituzionali. Questo afflusso non è stato casuale: è avvenuto dopo l’annuncio ufficiale della copertura totale dei fondi rubati e della piena operatività della piattaforma.
Per coprire il buco patrimoniale, Bybit ha ricevuto in meno di 48 ore 1,23 miliardi di dollari in ETH, provenienti da tre fonti: prestiti ponte, depositi da “whale” e acquisti OTC (over-the-counter). La risposta del network ha mostrato come, nonostante l’attacco, l’exchange mantenesse solvibilità e fiducia operativa da parte degli attori chiave del settore.
Entro 72 ore dall’incidente, Bybit ha ristabilito una proof-of-reserves 1:1, certificata da audit esterni e validata on-chain. Questo ha contribuito a contenere la fuga di capitali e a stabilizzare la posizione dell’exchange agli occhi del mercato.
Il dato più rilevante rimane però il flusso netto: 4 miliardi di dollari in fondi sono affluiti su Bybit in appena 12 ore dopo la conferma della copertura patrimoniale. È un segnale inequivocabile: nonostante la gravità dell’attacco, la rapidità e la trasparenza nella risposta hanno consolidato – anziché erodere – la fiducia di una parte significativa dell’utenza, soprattutto quella istituzionale.
Perché questo hack segna un punto di svolta
L’attacco a Bybit rappresenta una frattura strutturale nel paradigma di sicurezza delle criptovalute. Il mito dell’inviolabilità dei cold wallet multi-firma è crollato. Per anni considerati lo standard di sicurezza più elevato, questi strumenti si sono rivelati vulnerabili non nei loro meccanismi crittografici, ma nel punto di interazione umano. La firma della transazione — ritenuta l’elemento di controllo — si è trasformata nel punto di fallimento. L’interfaccia utente compromessa ha ingannato i firmatari, inducendoli ad autorizzare un’operazione fraudolenta. Il risultato dimostra che l’isolamento fisico (cold storage) non basta se l’ambiente di firma è manipolabile.
Il secondo elemento critico riguarda la dipendenza strutturale dell’ecosistema Web3 da componenti Web2. L’infrastruttura teoricamente decentralizzata poggia ancora su servizi centralizzati come AWS S3, CloudFront, e ambienti JavaScript non verificabili. Il codice malevolo è stato iniettato in un bucket S3 e distribuito tramite CDN come contenuto “ufficiale”, eludendo ogni controllo. Questo rende evidente che la decentralizzazione dei protocolli non implica automaticamente resilienza dell’intera filiera tecnologica.
L’attacco segna anche un cambio definitivo nella natura dell’avversario. Non si tratta più di singoli hacker, ma di attori statali con risorse illimitate, motivazioni strategiche e competenze operative avanzate. Il gruppo Lazarus opera come estensione del potere statale nordcoreano, trasformando ogni furto crypto in un atto di politica estera finanziaria. Il furto non è più solo una perdita economica per un exchange, ma una questione geopolitica con impatto su sanzioni, sicurezza internazionale e circolazione del capitale digitale.
Infine, il vettore d’attacco ha abbandonato il piano puramente tecnico. Non si è trattato di un bug in uno smart contract o di una falla in una blockchain. L’intera operazione si è basata su vulnerabilità cognitive e procedurali: social engineering, phishing mirato, manipolazione dell’ambiente runtime, cecità dell’utente di fronte a dati non leggibili. Il nuovo modello di attacco non sfrutta più la matematica, ma l’inconsapevolezza dell’operatore umano e l’assenza di verifiche indipendenti tra ciò che viene visualizzato e ciò che viene effettivamente firmato.
Il furto a Bybit non è solo un incidente. È una dimostrazione tecnica e strategica che il Web3, nella sua forma attuale, è intrinsecamente esposto a rischi sistemici non mitigati.
Il futuro del Web3
L’hack di Bybit non è solo un furto, ma un attacco all’architettura stessa della decentralizzazione moderna. La fiducia cieca nella sicurezza dei multisig e dei cold wallet viene scardinata non da una vulnerabilità zero-day o da un bug crittografico, ma da una firma approvata da un essere umano ingannato da un’interfaccia falsificata.
Il Web3, se vuole sopravvivere, deve riformarsi partendo dai suoi fondamenti: la trasparenza del codice, la resilienza dell’infrastruttura e la capacità di ridurre l’errore umano a zero. In caso contrario, la narrativa della decentralizzazione resterà un’illusione sopra uno stack vulnerabile.