Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 15 Aprile 2022 08:28
Il 29 marzo, il Ronin Network ha annunciato che 173.600 Ether (ETH) e 25,5 milioni di dollari erano stati rubati dal bridge Ronin sei giorni prima.
Il valore totale delle criptovalute rubate al momento del furto era di 540 milioni di dollari. Di fatto questo è il secondo più grande furto di criptovalute di tutti i tempi.
Il 14 aprile, l’Office of Foreign Assets Control (OFAC) del Tesoro statunitense ha annunciato nuove sanzioni contro l’indirizzo Ethereum del criminale e ha indicato il proprietario di questo indirizzo come Lazarus Group, il gruppo national state nordcoreano.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le sanzioni vietano a persone ed entità statunitensi di effettuare transazioni con questo indirizzo per garantire che il gruppo sponsorizzato dallo stato non possa incassare ulteriori fondi che continuano a trattenere tramite scambi di criptovalute con sede negli Stati Uniti.
L’incidente è avvenuto sei giorni prima che l’exploit fosse annunciato da Ronin.
Tra la confusione per la risposta ritardata, è stato annunciato che l’exploit è stato scoperto solo dopo che un tentativo di prelievo di 5.000 ETH da parte di uno dei suoi utenti è fallito. Al momento della scoperta, i fondi rubati valevano oltre 615 milioni di dollari.
Secondo l’analisi forense pubblicata da Ronin, il furto sarebbe avvenuto a seguito dell’hacking dei “nodi validatori” del bridge Ronin da parte di un aggressore.
I fondi possono essere spostati se cinque dei nove validatori lo approvano. L’attaccante è riuscito a impossessarsi delle chiavi crittografiche private appartenenti a cinque di questi validatori, sufficienti per rubare i criptoasset. L’analisi forense afferma che
“tutte le prove indicano che questo attacco ha sfruttato il social engineering , piuttosto che un difetto tecnico“.
La società Elliptic ha indicato che l’attaccante è riuscito a riciclare il 18% dei fondi rubati a partire dal 14 aprile.
Innanzitutto, l’USDC rubato è stato scambiato con ETH tramite scambi decentralizzati (DEX) per impedirne il sequestro. I token come le stablecoin sono controllati dai loro emittenti, che in alcuni casi possono bloccare i token coinvolti in attività illecite.
Convertendo i token presso i DEX, l’hacker ha evitato i controlli antiriciclaggio (AML) e “know your customer” (KYC) eseguiti presso le borse centralizzate.
Questa è una tattica sempre più comune negli hack di questo tipo, come descritto nel recente rapporto di Elliptic: DeFi: Risk, Regulation, and the Rise of DeCrime.
Tuttavia, l’attaccante ha quindi iniziato a riciclare 16,7 milioni di dollari in ETH attraverso tre scambi centralizzati. Questa strategia è rara per i tipici exploit DeFi, dati gli obblighi AML di questi scambi, sebbene sia stata osservata più spesso in precedenti exploit afferenti al gruppo Lazarus.
Quando gli scambi interessati hanno annunciato pubblicamente che avrebbero collaborato con le forze dell’ordine per stabilire l’identità, l’attaccante ha cambiato la propria strategia di riciclaggio per utilizzare invece Tornado Cash, un popolare mixer basato su contratti intelligenti sulla blockchain di Ethereum.
Le transazioni in corso hanno finora inviato ETH per un valore di 80,3 milioni di dollari tramite Tornado Cash.
L’attività blockchain dell’attaccante mostra che altri 9,7 milioni di dollari di ETH si trovano in portafogli intermedi pronti per essere riciclati, molto probabilmente anche attraverso Tornado Cash.
Ciò lascia un considerevole 433 milioni di dollari rimanenti nel portafoglio originale dell’attaccante.
Gli investigatori di Elliptic stanno monitorando questi fondi rubati e hanno etichettato gli indirizzi associati a questo aggressore nei loro sistemi, assicurando che i clienti vengano avvisati se ricevono uno di questi fondi.
Lazarus Group si riferisce a un gruppo di hacker nordcoreani che prendono di mira entità crittografiche almeno dal 2017.
Fino al 2021, la maggior parte di questa attività era diretta verso scambi centralizzati situati in Corea del Sud o altrove in Asia. Tuttavia, nell’ultimo anno l’attenzione del gruppo si è rivolta ai servizi DeFi. Mentre il servizio che è stato attaccato in questo caso – il bridge di Ronin Network – è decentralizzato, i creatori della rete Sky Mavis si trovano in Vietnam.
Non sorprende che questo attacco sia stato attribuito alla Corea del Nord. Molte caratteristiche dell’attacco rispecchiavano il metodo utilizzato da Lazarus Group in precedenti attacchi di alto profilo, inclusa la posizione della vittima, il metodo di attacco (che si crede abbia coinvolto l’ingegneria sociale) e il modello di riciclaggio utilizzato dal gruppo dopo l’evento.
Molti tecnici ritengono che le criptovalute rubate da Lazarus Group vengano utilizzate per finanziare i programmi statali per i missili nucleari e balistici. Con i recenti rapporti secondo cui la Corea del Nord potrebbe prepararsi di nuovo per i test nucleari, l’attività sanzionatoria di oggi sottolinea l’importanza di garantire che Lazarus Group non sia in grado di riciclare con successo i proventi di questi attacchi.
RedazioneDal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
Le spie informatiche cinesi sono rimaste nascoste per anni nelle reti di organizzazioni critiche, infettando le infrastrutture con malware sofisticati e rubando dati, avvertono agenzie governative ed ...
Nove mesi dopo la sua implementazione in Europa, lo strumento di intelligenza artificiale (IA) conversazionale di Meta, integrato direttamente in WhatsApp, sarà oggetto di indagine da parte della Com...
