Home / BEFFA su THORChain: rubati $1,2M al fondatore e RIPULITI sulla sua stessa rete dagli hacker

BEFFA su THORChain: rubati $1,2M al fondatore e RIPULITI sulla sua stessa rete dagli hacker

Ancora Lazarus in prima pagina: hack sofisticato ad uno dei fondatori di THORChain.

Alessandro Adami 12/09/25 16:08 Web3 1 Comment

Quanto appena accaduto sulla rete THORChain ha dell’incredibile: il fondatore del noto protocollo di scambio cross-chain è stato derubato di circa $1,2 milioni da un gruppo di hacker, verosimilmente appartenenti all’organizzazione criminale nordcoreana Lazarus. Uno dei suoi wallet è stato svuotato a seguito di un incidente che ha coinvolto un suo collaboratore, con cui poi gli hacker sono riusciti a mettere in atto un sofisticato inganno di social-engineering.

Qui ti aspettano $305 freschi freschi in bonus con Bitget: clicca sul link, registrati e scopri come ottenere il super premio! Promozione riservata ai lettori di Criptovaluta.it®!

Ma la cosa più FOLLE di tutta questa storia, è che i fondi rubati sono stati subito riciclati in modo da farne perdere le tracce, proprio sulla stessa infrastruttura di THORChain. La vittima in pratica è stata artefice del suo stesso destino, avendo costruito negli anni una macchina perfetta capace potenzialmente di ripulire capitali illeciti, sfruttata a lungo da Lazarus ed utilizzata anche in questa occasione per completare il colpo. Punito dalla sua stessa invenzione. Cerchiamo di ricostruire tutta la storia con calma.

Hack al fondatore di THORChain: danno da $1,2 milioni

Andiamo con ordine: tutto è iniziato di recente quando JP Thor, uno dei co-fondatori della piattaforma THORChain, ha subito un hack da $1,2 milioni in un suo portafoglio Metamask. Immediatamente è stata diffusa la notizia su X, allarmando la community riguardo un possibile exploit della chain. Invece si è scoperto poco dopo che l’attacco degli hacker era limitato ai danni di un singolo utente, anche se inizialmente non è stato specificato chi fosse la vittima.

hack THorchain utente — *THORChain hack* – **Fonte dati**: https://x.com/PeckShieldAlert

Dalle indagini dell’analista on-chain ZachXBT si è scoperto subito che il portafoglio apparteneva proprio al fondatore di THORChain, con l’importo del furto corretto a $1,35 milioni. Il soggetto è stato colpito a causa di un link malevolo su Zoom, inviato dall’account telegram hackerato di un suo amico/collaboratore.

Si tratta di uno schema di truffa ricorrente ma altamente sofisticato: prima si buca l’account di una persona vicina ad un noto imprenditore del mondo crypto, si organizza un webinar zoom tramite link malevolo e si falsifica il video con la tecnologia DeepFake. In pochi minuti dal collegamento, gli hacker hanno scaricato uno script dannoso sul device di JP THOR che ha permesso loro di accedere all’iCloud Keychain, un servizio di Apple dove salvare password e chiavi private.

Nell’Icloud c’erano salvate anche le chiavi private del wallet Metamask, contenente per l’appunto $1,2 milioni, immediatamente svuotato da Lazarus. E a quanto pare, JP THOR neanche si ricordava di quei fondi, visto che erano impegnati in staking e da Etherscan non si legge il saldo (LMAO, ndr). Immaginate perdere $1,2 milioni, di cui non ricordavate l’esistenza.

Metamas dimenticato — *Account Metamask dimenticato* – **Fonte dati**: https://x.com/jpthor

Lazarus ripulisce i fondi da THORChain: POETICO secondo ZachXBT

Le follie non finiscono qua: come anticipato prima, i fondi rubati dal gruppo Lazarus, descritti su crypto Twitter come DPRK (Repubblica Popolare Democratica di Corea), sono stati subito trasferiti su altre destinazioni cross-chain, sfruttando l’architettura permissionless di THORChain, la stessa sviluppata dal “povero” JP Thor e dal suo team.

Per chi non lo sapesse THORChain è una rete molto conosciuta per la sua capacità di facilitare scambi cross-chain nativi, senza bisogno di wrapping o stable intermediari. Un’innovazione che ha spesso facilitato i gruppi criminali internazionali come Lazarus a riciclare capitali illeciti, proprio perché permette di far perdere le tracce delle valute a seguito di vari intrecci di transazioni.

L’analista ZachXBT ha risposto pubblica che tutta questa situazione ha del poetico, visto che JP Thor a lungo ha tratto grandi vantaggi economici dal fatto che Lazarus utilizzasse la sua infrastruttura (commissioni in ingresso). Ora però i suoi stessi clienti preferiti, gli hanno presentato il conto. Possiamo pensarlo goliardicamente come uno “sconto” sulle fees pagate nel corso degli anni.

ZachXBT poetico — *Commento ZachXBT* – **Fonte dati**: https://x.com/zachxbt

Offerte Bounty per restituire i fondi

Nel frattempo, su Etherscan possiamo leggere dei messaggi inviati da parte dell’aggregatore DEX THORSwap ad uno degli indirizzi exploiter di Lazarus. Per chi non lo sapesse, ogni transazione Ethereum può includere dati aggiuntivi spesso usati per allegare messaggi testuali anche in transazioni di valore minimo.

Ecco, il team ha proposto agli hacker di restituire i token $THOR rubati attraverso un accordo OTC, a patto di non procedere per vie legali (LMAO,ndr). Per chi non conosce il contesto del gruppo criminale Lazarus questa richiesta potrebbe anche essere legittima, ma in realtà fa solamente ridere i polli.

Lazarus è un ecosistema criminale promosso e finanziato direttamente dal governo coreano, che da anni cerca di bucare quanti più protocolli e wallet possibili (In passato hanno anche hackerato il bridge Ronin per oltre $600 milioni, oltre ad un wallet di Bybit per oltre $1 miliardo). Non scenderanno MAI a compromessi, e certamente non si preoccuperanno in alcun modo delle “conseguenze legali”.

offerta Lazarus — *Bounty offerta* – **Fonte dati**: https://etherscan.io

Piccola curiosità: in nord-corea non esiste internet se non per alcune élite appartenenti a cerchie politiche ed imprenditoriali di Pyongyang, tra cui anche gli hacker Lazarus. La popolazione vive in condizioni di miseria e povertà assoluta, ma allo stesso tempo vantano le menti più abili al mondo in tema di sicurezza informatica ed exploit.

Un dettaglio importante dell’hack

Tutta questa storia, nonostante non abbia evidentemente creato grossi danni economici al fondatore di THORChain, in quanto non si ricordava nemmeno di avere quei soldi, ci lascia un’importante lezione. Non importa che tu sia lo sviluppatore di una delle infrastrutture più all’avanguardia nel mondo on-chain, il rischio di social hacking è sempre presente.

JP THOR non aveva commesso alcun errore nella gestione della sue chiavi o dei suoi dati, se non fidarsi dei messaggi di un suo amico. C’è da mantenere sempre gli occhi aperti e fare un double check anche in contesti in cui ci sentiamo sicuro. Poi aggiungiamo altre considerazioni finali:

Stanno circolando molti attacchi di phishing che sfruttano inviti fasulli a meeting Zoom. Fate attenzione se siete spesso in videocall per lavoro

I wallet multisignature sono rimasti salvi durante l’attacco, necessitando di più conferme (da altri device) per confermare qualsiasi operazione. Se gestite fondi importanti o in team, sarebbe il caso di utilizzare questi portafogli, anche se possono sembrare più scomodi.

I nordcoreani, ahimè, sono davvero forti

Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi

BEFFA su THORChain: rubati $1,2M al fondatore e RIPULITI sulla sua stessa rete dagli hacker

Hack al fondatore di THORChain: danno da $1,2 milioni

Lazarus ripulisce i fondi da THORChain: POETICO secondo ZachXBT

Offerte Bounty per restituire i fondi

Un dettaglio importante dell’hack

Potrebbe interessarti anche

L’ossessione dei 94.000$ | Il livello chiave che decide il destino di Bitcoin [Analisi]

Ripple: fase di rimbalzo ma resta fondamentale il breakout di area 2,25$ [Analisi]

$CRO: dal rally estivo al test di sopravvivenza | I livelli chiave di Cronos [Analisi]

Domina il FUD con calo Bitcoin e indici azionari | Tiene l’oro e incertezza rendimenti [Analisi]

Bitcoin e la purga della leva | Nuovo test del supporto a 84.000$ [Analisi]

50$ BONUS GRATIS

Super Bonus USDT

305$ BONUS FREE!