Come questo milionario hacker crypto continua a incassare liberamente dopo un anno

Il 31 ottobre 2025, l’exploiter di Radiant ha trasferito circa 5.411,8 ETH su Tornado Cash, una mossa dal valore di circa 20,7 milioni di dollari.

Nove giorni prima, lo stesso cluster aveva spostato circa 2.834,6 ETH, equivalenti a 10,8 milioni di dollari, dopo aver trasferito fondi tra diverse chain e attraverso swap prima di arrivare al mixer.

Nessuno dei due trasferimenti sembrava affrettato. Entrambi apparivano come operazioni attente di un operatore che testava la liquidità e i tempi di compliance, suddividendo i depositi in denominazioni comuni di Tornado che sono economiche da mescolare e fastidiose da tracciare.

Come è avvenuto l’hack di Radiant

La storia di Radiant inizia il 16 ottobre 2024, quando i suoi lending pool su Arbitrum e BNB Chain sono stati svuotati di circa 50 milioni a 58 milioni di dollari. Le prime analisi tecniche post-mortem hanno convergito su un punto semplice ma devastante.

La violazione è stata causata da un compromesso operativo che ha coinvolto i detentori delle chiavi e le approvazioni, permettendo a un attaccante di far passare transazioni malevole attraverso un processo multi-firma. Le società di sicurezza hanno descritto i firmatari come indotti ad approvare le chiamate sbagliate.

Il progetto prevedeva uno schema tre su undici per le azioni sensibili. Questo ampio insieme di firmatari migliorava la disponibilità ma ampliava anche l’area bersaglio per il compromesso dei dispositivi e l’ingegneria sociale. Analisi di Halborn e altri hanno ricostruito come le approvazioni e l’igiene dei dispositivi abbiano creato finestre che l’attaccante ha sfruttato, mentre gli aggiornamenti sugli incidenti di Radiant hanno fissato la timeline e la portata.

Successive segnalazioni hanno suggerito che un gruppo sostenuto dallo stato abbia utilizzato l’impersonificazione per ottenere l’accesso, una tesi che Radiant ha ripreso una volta che la situazione si è stabilizzata.

CryptoSlate ha coperto le conseguenze all’epoca attraverso una lente di analisi delle tendenze criminali. Il report ha osservato che le perdite totali per exploit di ottobre sono scese a circa 116 milioni di dollari, e che l’incidente di Radiant rappresentava quasi la metà di quella cifra mensile, concentrando una quota sproporzionata del danno in un solo luogo.

Questa prospettiva è importante perché mostra come una singola violazione cross-chain possa influenzare significativamente il profilo di rischio mensile, anche quando l’ambiente generale sembra calmo.

Ciò che è seguito nell’anno successivo ha stabilito il modello visibile oggi. I fondi sono stati spostati fuori dagli L2 e riportati su Ethereum tramite bridge dove la liquidità è più profonda. Gli swap hanno consolidato i saldi in ETH per prepararsi al processo di mixing.

La tranche del 22-23 ottobre 2025 ne fornisce un esempio chiaro. CertiK ha segnalato 2.834,6 ETH in depositi su Tornado e ha notato che 2.213,8 ETH erano arrivati tramite il bridge Arbitrum dall’EOA 0x4afb, con il resto proveniente da conversioni DAI.

L’ondata del 31 ottobre ha aumentato il totale di altri 5.411,8 ETH, con depositi modulari che corrispondono alle norme dei pool di Tornado. La chain è pubblica, il percorso è prevedibile e gli incentivi favoriscono la pazienza rispetto allo spettacolo.

Cosa rivelano i nuovi burst di riciclaggio

L’attività recente sul mixer sembra una strategia di drenaggio lento piuttosto che una singola uscita. I salti tra bridge da Arbitrum o BNB Chain portano i saldi nei pool più profondi su mainnet. Le rotazioni sui DEX impostano l’inventario in ETH per le entrate più efficienti su Tornado.

Il raggruppamento in denominazioni standard frammenta il grafo pubblico in pezzi che sono costosi da ricostruire. I team di compliance vedono comunque molto nonostante ciò. Raggruppano gli indirizzi attorno a pattern di gas condivisi e tempistiche, abbinano i depositi alle finestre di prelievo e osservano le catene di “peel” che iniziano piccole, si allargano e poi si aggregano vicino a una venue target.

L’approccio è pragmatico perché l’ambiente legale premia il pragmatismo. I tribunali hanno ristretto le teorie più ampie del governo riguardo la sanzione del software decentralizzato. I procuratori hanno vinto e perso vari casi relativi ai mixer.

Il risultato è una zona grigia in cui gli strumenti per la privacy continuano a operare e gli exchange si affidano a controlli basati sul comportamento piuttosto che a etichette generalizzate. Le indagini riescono ancora a intercettare le uscite. L’attrito si sposta solo dal software al processo.

Per utenti e sviluppatori, la lezione è concreta. Le scelte di design hanno conseguenze economiche. Bridge e router concentrano valore e modalità di fallimento, ed è proprio per questo che gli exploiters li usano per uscire. Le app multi-chain richiedono memoria muscolare per blocchi, switch di allowlist e snapshot di liquidità, piuttosto che improvvisazioni ad hoc nell’ora successiva a una violazione.

La documentazione di Radiant mostra come la risposta si sia rafforzata nel tempo. I costi di quella curva di apprendimento sono stati reali perché l’attaccante aveva l’iniziativa. I flussi attuali attraverso Tornado Cash sono la coda della stessa distribuzione.

L’operatore continua a muoversi perché le infrastrutture continuano a funzionare. La risposta corretta sono procedure rafforzate per i keyholder, approvazioni più ristrette, monitoraggio in tempo reale dei bridge e una cultura che tratta i dispositivi dei firmatari come gioielli della corona.

È probabile che l’exploiter di Radiant continui a utilizzare lo stesso schema finché le condizioni non cambieranno. Altri depositi su Tornado arriveranno in dimensioni familiari. Altre attività sui bridge appariranno da indirizzi collegati ai percorsi di ottobre 2024. Una uscita pulita alla fine raggiungerà una venue regolamentata, e i desk valuteranno tempistiche ed euristiche rispetto alle narrazioni dei clienti.

La conseguenza per il mercato è prevedibile. Ogni uscita paziente come questa riduce la fiducia nelle astrazioni cross-chain e spinge i team a controllare non solo il codice ma anche le operazioni. Gli utenti inseguono il rendimento attraverso le reti perché l’esperienza sembra senza soluzione di continuità. I ladri più abili sanno esattamente dove si nasconde quella giuntura.

L’articolo How this millionaire crypto hacker continues to freely cash out a year later è apparso per la prima volta su CryptoSlate.