Gli hack nel settore crypto raggiungono i 3,4 miliardi di dollari nel 2025, aumentano gli attacchi ai wallet individuali: Chainalysis

I furti di criptovalute hanno superato i 3,41 miliardi di dollari da gennaio ai primi di dicembre, secondo la società di intelligence blockchain Chainalysis. Questa cifra rappresenta un aumento rispetto ai 3,38 miliardi dell'anno scorso.

Un singolo incidente — l'hack da 1,5 miliardi di dollari dell'exchange Bybit — ha rappresentato circa il 44% del totale annuale. I primi tre hack hanno rappresentato il 69% di tutte le perdite dai servizi, evidenziando la crescente gravità delle principali violazioni. 

Chainalysis ha segnalato un notevole aumento degli attacchi ai wallet personali di criptovalute e alle chiavi private sui servizi centralizzati di criptovalute quest'anno. "Le compromissioni dei wallet personali sono cresciute in modo sostanziale, passando dal solo 7,3% del valore totale rubato nel 2022 al 44% nel 2024," ha dichiarato Chainalysis. 

Le compromissioni dei wallet personali hanno raggiunto 158.000 casi, coinvolgendo almeno 80.000 vittime uniche. Il valore totale rubato agli individui è sceso a 713 milioni di dollari, rispetto agli 1,5 miliardi dell'anno precedente, suggerendo che gli aggressori hanno preso di mira importi più piccoli su un numero maggiore di utenti. Ethereum e Tron hanno mostrato tassi più elevati di vittime ogni 100.000 wallet rispetto a reti come Base e Solana.

I servizi centralizzati rimangono vulnerabili agli attacchi nonostante le misure di sicurezza professionali, a causa della loro suscettibilità alle violazioni delle chiavi private. Tali attacchi hanno rappresentato l'88% degli importi rubati nel primo trimestre del 2025.

La sicurezza DeFi migliora

Le perdite dovute agli hack DeFi sono rimaste contenute anche se il valore totale bloccato è rimbalzato. Questo rappresenta una divergenza chiave rispetto ai cicli precedenti, in cui l'aumento del TVL di solito significava più attacchi riusciti. Chainalysis ha affermato che ciò potrebbe indicare progressi significativi nella sicurezza del settore.

"L'incidente del Venus Protocol di settembre 2025 esemplifica come le pratiche di sicurezza migliorate stiano facendo una differenza tangibile," ha osservato la società. Venus, insieme alla piattaforma di monitoraggio della sicurezza Hexagate, ha rilevato attività sospette 18 ore prima dell'attacco e ha rapidamente sospeso le operazioni e recuperato i fondi nel giro di poche ore.

Dopo l'attacco, Venus ha approvato un protocollo di governance per congelare 3 milioni di dollari sotto il controllo dell'attaccante, portando il responsabile a subire effettivamente una perdita.

"La combinazione di monitoraggio proattivo, capacità di risposta rapida e meccanismi di governance in grado di agire in modo deciso ha reso l'ecosistema più agile e resiliente," ha dichiarato Chainalysis. "Sebbene gli attacchi si verifichino ancora, la capacità di rilevarli, rispondere e persino invertirli rappresenta un cambiamento fondamentale rispetto alla prima era DeFi, quando gli hack riusciti significavano spesso perdite permanenti."

L'anno record della DPRK

La Democratic People's Republic of Korea (DPRK) continua a rappresentare la minaccia più grande per la sicurezza delle criptovalute, raggiungendo un importo record di furti di criptovalute per almeno 2,02 miliardi di dollari nel 2025. Si tratta di 681 milioni di dollari in più rispetto a quanto la Corea del Nord ha rubato nel 2024.

Con i dati del 2025, gli attori informatici sostenuti dallo stato della DPRK hanno ora rubato un importo cumulativo di 6,75 miliardi di dollari, una grande parte dei quali, secondo quanto riferito, viene utilizzata per finanziare lo sviluppo delle armi nucleari del regime.

Chainalysis ha affermato che la principale tattica della Corea del Nord è l'inserimento di lavoratori IT fraudolenti all'interno dei servizi crypto per ottenere accesso privilegiato a informazioni o fondi. L'importo record dei fondi rubati riflette probabilmente una maggiore dipendenza da questa strategia di infiltrazione, secondo la società.

I metodi di riciclaggio della DPRK sono caratterizzati dall'introduzione dei fondi rubati in servizi in lingua cinese, bridge, mixer e servizi dedicati come Huione. Questo approccio si distingue da quello della maggior parte degli altri hacker, che generalmente preferiscono utilizzare protocolli di lending, exchange senza KYC e piattaforme P2P, secondo Chainalysis.

Il loro movimento di fondi mostra anche fasi strutturate che di solito durano 45 giorni — i primi cinque giorni vengono spesi per allontanare immediatamente i fondi dalla fonte del furto tramite protocolli DeFi e mixer. La seconda settimana si concentra sull'integrazione dei fondi nell'ecosistema più ampio attraverso exchange senza KYC e bridge, e inizia a spostare i fondi verso l'off-ramp. 

Tra il 20° e il 45° giorno, gli hacker nordcoreani utilizzano piattaforme in lingua cinese meno regolamentate, come Huione, e altri exchange centralizzati per completare la conversione in fiat o altri asset.

"Poiché la Corea del Nord continua a utilizzare i furti di criptovalute per finanziare le priorità statali e aggirare le sanzioni internazionali, il settore deve riconoscere che questo attore della minaccia opera secondo regole diverse rispetto ai tipici cybercriminali," ha dichiarato Chainalysis. "La sfida per il 2026 sarà rilevare e prevenire queste operazioni ad alto impatto prima che gli attori della DPRK causino un altro incidente su scala Bybit."