Le autorità sudcoreane hanno rivelato nuovi dettagli sull’attacco a Upbit e sulle somme bloccate da Binance, evidenziando limiti significativi nelle attuali procedure di risposta agli hack sugli exchange.
Summary
I risultati preliminari dell’indagine in Corea del Sud
Secondo quanto riportato dai media locali, gli investigatori hanno confermato che solo il 17% degli asset segnalati per il congelamento è stato effettivamente bloccato. Le informazioni sono emerse venerdì, nell’ambito delle verifiche in corso sulle responsabilità operative degli exchange coinvolti.
Gli analisti di sicurezza che seguono la vicenda spiegano che il gruppo di hacker ha messo in atto una strategia di riciclaggio particolarmente elaborata la mattina del 27 novembre, distribuendo rapidamente gli asset sottratti su oltre un migliaio di wallet diversi.
Come sono stati movimentati i fondi rubati
Gli attaccanti hanno suddiviso ripetutamente i fondi in porzioni sempre più piccole, trasferendoli su più blockchain differenti. Inoltre, hanno fatto ampio uso di token bridge e di operazioni di swap per rendere più difficile ricostruire il tracciato on-chain.
Nonostante questa complessità, le autorità sostengono che la maggior parte degli asset riciclati sia infine confluita in wallet di servizio della piattaforma Binance, punto di passaggio cruciale per le successive mosse di conversione e liquidazione.
Richiesta di congelamento e risposta di Binance
Subito dopo l’attacco, Upbit e la polizia sudcoreana hanno chiesto un congelamento immediato di circa 470 milioni di won (circa 370.000 dollari) in token Solana, somma confermata come già arrivata sull’exchange globale.
Tuttavia, la piattaforma ha bloccato solo 80 milioni di won (circa 75.000 dollari), sostenendo di aver bisogno di ulteriori verifiche prima di estendere l’azione di congelamento. Questa scelta ha ridotto in modo significativo l’efficacia dell’intervento richiesto dalle autorità.
Il congelamento è stato confermato intorno alla mezzanotte del giorno dell’incidente, circa 15 ore dopo la richiesta iniziale. Inoltre, il ritardo temporale ha aumentato le possibilità per gli aggressori di proseguire il riciclaggio su altre reti.
La posizione ufficiale di Binance e le critiche degli esperti
Interrogata dall’emittente coreana KBS in merito all’entità limitata del congelamento e al ritardo nella sua attuazione, Binance ha rifiutato di entrare nei dettagli, richiamandosi alla propria policy sulle indagini in corso.
L’exchange si è limitato ad affermare di continuare a collaborare con le autorità competenti e con i partner, nel rispetto delle procedure interne previste per i casi di sicurezza. Detto ciò, questa spiegazione non ha convinto gli analisti locali.
Il professor Cho Jae-woo, direttore del Blockchain Research Institute dell’Università Hansung, ha sottolineato che una reazione tempestiva è essenziale per ridurre al minimo le perdite in situazioni di cyber attacco.
A suo avviso, una procedura di congelamento troppo prudente, giustificata con il timore di contenziosi legali, rischia di tradursi in un grave danno per gli utenti. Inoltre, Cho ha invitato il settore a valutare la creazione di una sorta di hotline globale di emergenza tra exchange.
L’esigenza di un congelamento exchange coordinato
Secondo gli esperti, servirebbe un organismo di coordinamento o un meccanismo condiviso in grado di disporre congelamenti immediati in caso di crisi, almeno in via cautelare. Un simile modello potrebbe ridurre in maniera rilevante l’efficacia delle strategie di riciclaggio transfrontaliero.
In questo contesto, la gestione parziale e ritardata dei fondi da parte di Binance viene indicata come un caso emblematico dei limiti strutturali attuali, emersi in modo evidente durante l’attacco a Upbit.
Conversione dei fondi: da Solana a Ethereum
Gli investigatori segnalano che la maggior parte degli asset rubati è stata successivamente convertita da Solana a Ethereum. Questa scelta appare coerente con l’obiettivo di sfruttare la maggiore liquidità dei mercati legati alla seconda criptovaluta per capitalizzazione.
Inoltre, analisi on-chain indicano che gli hacker starebbero utilizzando il protocollo Railgun, noto per le sue funzionalità di privacy, come ulteriore passaggio nel processo di offuscamento della provenienza illecita dei fondi.
Secondo un aggiornamento circolato su X, il soggetto dietro l’attacco avrebbe superato il sistema di “ZK proof of innocence” di Railgun, un meccanismo automatizzato che valuta se un indirizzo possa essere considerato “buon attore” utilizzando dati forensi provenienti da più provider.
La risposta di Upbit: quasi tutti i fondi in cold storage
Parallelamente, l’operatore Dunamu ha annunciato uno dei più drastici rafforzamenti di sicurezza mai visti su un grande exchange, dopo il furto di 44,5 miliardi di won (circa 30 milioni di dollari) dal wallet caldo Solana di Upbit.
La società ha dichiarato che aumenterà il rapporto di fondi custoditi in cold wallet fino al 99%, riducendo di fatto l’esposizione dei hot wallet a un livello prossimo allo zero. Inoltre, questa soglia supera di molto il requisito legale sudcoreano, che impone almeno l’80% dei fondi offline.
Alla fine di ottobre, l’exchange già deteneva il 98,33% degli asset in cold storage, il valore più elevato tra le piattaforme domestiche. Tuttavia, la società ha accelerato il piano di revisione dell’architettura di custodia dopo la violazione.
L’attacco a Upbit e il possibile legame con Lazarus Group
Nel frattempo, le autorità sudcoreane hanno avviato un’indagine formale sull’incidente, lavorando in collaborazione con unità specializzate nel contrasto al cyber crimine. Le prime valutazioni di intelligence, secondo la stampa locale, collegherebbero l’attacco al Lazarus Group nordcoreano.
Se confermato, questo collegamento rafforzerebbe il sospetto che alcune grandi operazioni di hacking a danno degli exchange asiatici rientrino in strategie strutturate di finanziamento illecito. Inoltre, l’eventuale coinvolgimento di Lazarus porrebbe la vicenda anche sul piano della sicurezza nazionale.
Prospettive per la sicurezza degli exchange
Nel complesso, il caso Upbit evidenzia la distanza tra la velocità operativa degli hacker e la capacità degli exchange di reagire in modo coordinato e immediato a livello globale. Gli esperti indicano nella standardizzazione delle procedure di congelamento una priorità per l’intero settore.
Detto ciò, la scelta di Upbit di portare al 99% la quota di asset in cold storage viene considerata una risposta di rilievo, che potrebbe diventare un riferimento per altre piattaforme chiamate a rafforzare le proprie difese contro futuri attacchi.
