Criptovaluta.it® Ultime Notizie Bitcoin e Crypto News | Criptovalute Oggi
Una storia davvero curiosa e che tocca un tasto particolarmente dolente del mondo DeFi, quella di Garden Finance, bridge cross-chain che proprio in queste ore è stato vittima di un hack da circa $10 milioni. Sembra ci sia stato un attacco informatico ad uno dei nodi “resolver” del protocollo, avanzato verosimilmente dagli stessi clienti con cui il bridge ha fatto grossi affari negli ultimi mesi operando come piattaforma per il riciclaggio di fondi rubati.
ZachXBT, noto ricercatore on-chain, solo 3 giorni fa aveva fatto notare alla stessa Garden Finance di come l’80% delle commissioni incassate, equivalenti a milioni di $, provenissero da flussi collegati alle attività del gruppo Lazarus, nello specifico da fondi sottratti a Bybit durante il famoso hack da $1,5 miliardi. Il team del progetto si è rifiutato di collaborare, e non ha risposto al suggerimento della community di restituire le fees guadagnate immoralmente. Oggi, il “karma on-chain” sembra aver presentato il conto.
La controversa storia del protocollo Garden Finance
Garden Finance è una piattaforma di bridging cross-chain che consente di trasferire Bitcoin e altri asset tra diverse blockchain in modo rapido, economico e soprattutto con un accorgimento lato privacy. Il protocollo sfrutta infatti un sistema di resolver esterni, cioè di entità che prestano liquidità per facilitare gli scambi (detti “atomic swaps”), rendendo il tracciamento delle operazioni molto più complesso ed offuscato rispetto ai classici bridge.
Nell’ultimo anno Garden ha registrato ottime metriche on-chain, attirando un gran flusso di capitali, tanto da riuscire a toccare il traguardo dei $2 miliardi di all-time volume. Peccato che questi numeri, che gli hanno permesso di incassare commissioni a 6 cifre, siano per l’80% inerenti a bridge eseguiti dai wallet di Lazarus Group, come evidenziato da ZachXBT e da altri ricercatori.
Per chi non lo sapesse, Lazarus Group è la banda criminale informatica più potente al mondo, che opera sotto le disposizioni del governo della Corea del Nord, e che è stata ritenuta responsabile di tutti i maggiori exploit a blockchain e protocolli crypto. Si stima che nel corso degli anni abbiano rubato oltre $3 miliardi in oltre 50 incidenti, tra cui l’hack al bridge Ronin per $620 milioni nel 2022 e l’attacco a Bybit per $1,5 miliardi a febbraio di quest’anno.
ZachXBT chiede a Garden di restituire i fondi agli utenti colpiti
Pare addirittura che ZachXBT, assieme ad altri esperti di analisi forensi, abbiano domandato più volte a Garden Finance di implementare misure per prevenire l’utilizzo del bridge a scopi malevoli, e di restituire fondi alle vittime degli hack attraverso i propri proventi. Il team non ha mai accolto le richieste ed anzi ha continuato a trarre vantaggio proprio dai volumi generati dai nord-coreani che cercavano di riciclare i fondi rubati.
Tra aprile e luglio 2025, oltre il 75% dei flussi proveniva da monete connesse ad hack, verosimilmente quasi tutte di Lazarus. Ricordiamo che il modus operandi di questa banda è molto lento: dopo un exploit come quello di Bybit (febbraio 2025) passano mesi/anni prima che tutti i fondi vengano riciclati, poco per volta, proprio attraverso piattaforme come Garden.
Il karma punisce: Garden hackerata dagli stessi clienti hacker
A quanto pare tutte le frecciatine mandate dai vari ricercatori a Garden Finance sono state prese in considerazione dall’entità soprannaturale nota come “Karma”, che ha punito l’avido bridge con la stessa pietanza che serviva ai suoi clienti. Poche ore fa c’è stato infatti un hack da $10 milioni ad uno dei resolver del protocollo, che ricordiamo essere indirizzi con una propria riserva privata di asset da utilizzare per “risolvere” le transazioni nel bridge,
Garden ha subito affermato che i fondi, sia dei clienti che del protocollo, non sono a rischio, e che il wallet del resolver appartiene ad una entità slegata dalle sue finanze interne. Ma gli investigatori non sono esattamente dello stesso parere.
Lo stesso ZachXBT, che ormai aveva preso la questione sul piano personale, ha smentito pubblicamente tale versione mostrando prove on-chain che collegano l’indirizzo compromesso a un wallet deployer del team, facendo intendere che non si trattasse affatto di un hack esterno. L’attacco, quindi, sembra avere ripercussioni dirette sul protocollo stesso, tanto che la stessa Garden ha inviato una richiesta di bounty all’attaccante, cosa che ovviamente non avrebbe fatto se i fondi non fossero i suoi.
Ma la cosa più folle, e allo stesso tempo ironica, è che l’hack potrebbe essere stato condotto proprio da Lazarus, gli stessi soggetti che per mesi avevano usato Garden per riciclare i fondi rubati. Non ci sono ancora prove concrete di questo claim, ma è comunque curioso che una piattaforma abituata a facilitare il riciclaggio, sia stata colpita da chi vive con certi espidienti.
Legalità o anonimato? Il trade-off dei protocolli permissionless
Questa storia ci porta inevitabilmente a riflettere sulla natura delle piattaforme permissionless, come Garden Finance, e sul modo con cui esse, pur perseguendo ideali come la libertà di accesso, finiscono spesso per favorire una gran parte delle attività illecite del mondo crypto.
Dal punto di vista di chi vi scrive, è estremamente importante proteggere quei protocolli che operano in maniera completamente open source e decentralizzata, battendosi per offrire uno spunto in più per la privacy, ma vi è un confine sottile tra permissionless e irresponsabilità.
Qualcuno sicuramente avrà pensato a progetti come Tornado.cash e Thorchain, che più o meno fanno la stessa cosa di Garden, e che in passato hanno (involontariamente) favorito il riciclaggio di denaro da Lazarus ed altri gruppi. Ma in questi due casi la questione è differente perché non vengono impiegati solo ed esclusivamente per tali scopi, potendo contare su una base utenti più ampia, e soprattutto su una vera decentralizzazione.
Garden è un protocollo gestito da un team centralizzato, pur avendo un’impostazione non custodial, che ha ovviamente basato il suo business nel favorire l’illegalità, e che guarda caso, proprio nei giorni successivi all’hack di Bybit, ha aumentato il suo “swap limit” a 10 BTC proprio per facilitare le operazioni di criminali come Lazarus, mossa da cui hanno incassato commissioni notevoli
C’è una soluzione?
Non potremo mai arrivare ad una soluzione definitiva con cui poter distinguere chi opera realmente per difendere la privacy degli utenti e chi invece lavora per nascondere i volti dei criminali. L’unico modo sarebbe imporre dei controlli o delle serie limitazioni che finirebbero però per danneggiare anche chi vuole solo proteggere il diritto della libertà finanziaria, diritto che riteniamo insopprimibile per ovvie ragioni.
C’è però un discorso molto più semplice da fare, che si basa su un concetto di cui spesso ci dimentichiamo nella vita quotidiana: il buonsenso. La domanda da porsi per risolvere il trade off dovrebbero essere queste:
- Il tuo business, sebbene trustless, guadagna prevalentemente da queste attività illecite? Se si, stai facendo per arginare i flussi?
- Se guadagni una commissione dal tuo servizio, ed emergono prove di fondi rubati, ti impegni almeno a restituire le fees incassate o fai finta di niente?
- Il tuo servizio è prestato interamente alla comunità e non ne trai beneficio diretto? Okay, non hai grosse responsabilità.
