ESTRATTO

Rigorose prove open source e istituzionali stabiliscono che il 21 febbraio 2025 , gli attori attribuiti dall’FBI al sottocluster TraderTraitor del Lazarus Group della Corea del Nord hanno eseguito il più grande furto digitale registrato fino ad oggi, esfiltrando circa 1,5 miliardi di dollari in ETH da Bybit attraverso una compromissione abilitata dalla supply chain di un flusso di lavoro multi-firma che coinvolge Safe{Wallet} ; analisi forensi e politiche di IC3/FBI ( 26 febbraio 2025 ), TRM Labs (marzo-aprile 2025 ), The Hacker News (marzo 2025 ) e un briefing tecnico-legale di Paul Hastings (marzo 2025 ) corroborano l’attribuzione, i dettagli della catena di attacco e i modelli di riciclaggio che hanno rapidamente convertito una supermaggioranza del bottino in BTC tramite scambi decentralizzati e ponti cross-chain prima della dispersione su migliaia di indirizzi. L’ecosistema del riciclaggio ha sfruttato infrastrutture permissive , tra cui il servizio di scambio di criptovalute ” eXch “, che non richiedeva KYC , successivamente smantellato in un’azione congiunta guidata da BKA e ZIT tedesche con FIOD ed Europol il 30 aprile 2025 , sequestrando 34 milioni di euro e 8 terabyte di dati; dichiarazioni pubbliche e resoconti contemporanei catturano il messaggio di chiusura dell’operatore della piattaforma che citava una “operazione transatlantica attiva”, immediatamente precedente la chiusura. Parallelamente, l’ incidente di Nobitex del 18 giugno 2025 , rivendicato da Gonjeshke Darande (Predatory Sparrow), ha distrutto circa 90 milioni di dollari in criptovalute inoltrando asset a indirizzi vanity con messaggi anti- IRGC , sottolineando l’escalation di operazioni crittografiche a sfondo politico documentate da Reuters , Elliptic e TRM Labs . Le risposte politiche ora convergono tra le forze dell’ordine e le autorità finanziarie: l’aggiornamento mirato del GAFI del giugno 2025 sulle attività virtuali e la regola di viaggio, il progetto della BRI del giugno 2025 per sistemi monetari tokenizzati e a registro unificato e le azioni coordinate del Dipartimento di Giustizia (ad esempio, Garantex , 7 marzo 2025) segnalano un modello emergente in cui le operazioni pubblico-private comprimono le tempistiche di interdizione in base alla cadenza dell’automazione avversaria. Questo studio sintetizza la ricostruzione della catena di attacco basata su analisi forensi con analisi macrofinanziarie istituzionali, dettagliando i punti di strozzatura operativi, le leve normative e le strutture di alleanza necessarie per trattare i binari crittografici ostili come infrastrutture strategiche all’interno di un dominio finanziario conteso.

---

L’ecosistema di elusione delle sanzioni e delle entrate derivanti dalle criptovalute della Corea del Nord dopo la rapina di Bybit del 21 febbraio 2025

Il 21 febbraio 2025 , l’ FBI ha attribuito la responsabilità del furto di circa 1,5 miliardi di dollari in asset virtuali da parte di Bybit ad attori nordcoreani del TraderTraitor all’interno del Lazarus Group , con un avviso che specificava la data, l’entità e la dispersione on-chain su migliaia di indirizzi insieme a indirizzi Ethereum enumerati per il blocco da parte di operatori del settore privato; questa fonte fornisce la base autorevole dell’incidente e la chiamata all’azione operativa per nodi, scambi, bridge e società di analisi per interdire flussi illeciti alla velocità della macchina, inquadrando l’episodio come un evento finanziario rilevante per la sicurezza nazionale piuttosto che una normale intrusione informatica, come codificato nell’annuncio di servizio pubblico IC3 ( 26 febbraio 2025 ). Vedi FBI IC3 PSA I-022625 . ( ic3.gov )

Capitolo uno — Catena di attacco, compromissione della catena di fornitura e fallimenti del controllo della custodia nell’exploit Bybit del 21 febbraio 2025
Le ricostruzioni tecniche contemporanee provenienti da analisi forensi e legali del settore convergono su una compromissione mediata dalla catena di fornitura del flusso di lavoro di approvazione delle transazioni multi-firma utilizzato nei normali movimenti cold-to-warm wallet di Bybit : una workstation per sviluppatori Safe{Wallet} è stata violata all’inizio di **febbraio 2025 tramite ingegneria sociale e un artefatto per sviluppatori dannoso, consentendo il dirottamento del token di sessione contro le risorse AWS , seguito da un’iniezione di breve durata di JavaScript dannoso nell’interfaccia di firma dal 19 al 21 febbraio 2025 , che ha riscritto silenziosamente gli indirizzi di destinazione presentati agli approvatori preservando al contempo l’ottica della transazione; la piattaforma ha successivamente confermato l’attribuzione di TraderTraitor e la sofisticatezza dell’operazione, con la maggior parte dei fondi convertiti in modo tracciabile in BTC nel giro di pochi giorni. Vedi Safe{Wallet} conferma l’attacco TraderTraitor ( 7 marzo 2025 ), TRM Labs sul riciclaggio di Bybit (marzo 2025 ) e l’analisi di Paul Hastings (marzo 2025 ). ( The Hacker News )

Uno schema di policy-grade tratto da un brief del Wilson Center ( 31 marzo 2025 ) descrive in dettaglio la progettazione della custodia e la granularità dell’approvazione: vincoli multi-firma, dipendenze da piattaforme di terze parti e fiducia nell’interfaccia human-in-the-loop si sono rivelati insufficienti con la sostituzione del codice a livello di interfaccia utente; lo stesso brief registra che entro il 20 marzo 2025 , Ben Zhou ha riferito che l’86,29% degli ETH era stato scambiato con BTC , dopo l’instradamento intermedio attraverso exchange decentralizzati e bridge cross-chain, confermando la velocità del playbook di riciclaggio e la conseguente compressione delle finestre di sequestro. Vedi Wilson Center . ( Wilson Center )

Tempistiche operativamente salienti (compromissione dell’interfaccia utente dal 19 al 21 febbraio 2025 , pianificazione dei trasferimenti di routine il 21 febbraio 2025 e conversione immediata degli asset dopo la rapina) sono correlate alle tecniche di Lazarus Group , osservate da tempo , che combinano ingegneria sociale mirata agli sviluppatori, intermediazione della supply chain e riciclaggio rapido; l’ avviso dell’FBI documenta la dispersione su “migliaia di indirizzi” e ordina agli operatori privati di bloccare chiavi specifiche, mentre TRM Labs identifica l’infrastruttura di “portafogli intermediari multipli, exchange decentralizzati ( DEX ) e bridge cross-chain” come substrato di routing per l’offuscamento e l’accesso alla liquidità. Vedere FBI IC3 PSA I-022625 e TRM Labs . ( ic3.gov )

Indicatori empirici di esposizione settoriale nel primo trimestre del 2025 rafforzano la rilevanza sistemica dell’evento: i conteggi degli incidenti di sicurezza riepilogati a marzo 2025 da Immunefi (tramite reporting) hanno superato 1,6 miliardi di dollari di perdite tra gennaio e febbraio 2025 , rispetto ai 200 milioni di dollari nello stesso periodo dell’anno precedente, evidenziando un cambiamento radicale nella scala degli attacchi concomitante all’incidente Bybit ; tali cifre, sebbene compilate da attori privati della sicurezza informatica, sono costantemente citate nelle narrative istituzionali che motivano una risposta accelerata tra agenzie e settore. Vedi il riepilogo delle statistiche sulle perdite di The Hacker News ** . ( The Hacker News )

Topologie di lavaggio post-esfiltrazione: mixer, percorsi DEX, ponti tra catene e finestre di sequestro temporale

L’ avviso dell’FBI sottolinea che “gli asset saranno ulteriormente riciclati e infine convertiti in valuta fiat”, una dichiarazione resa operativa da tracce on-chain che documentano la conversione di ETH in BTC , la distribuzione su “migliaia” di indirizzi e il successivo utilizzo di mixer e broker P2P ; l’indagine post-incidente di TRM Labs caratterizza i percorsi di riciclaggio attraverso DEX e bridge, con la dispersione della coorte che amplia deliberatamente l’esposizione alla conformità per sopraffare gli investigatori. Vedi FBI IC3 PSA I-022625 e TRM Labs . ( ic3.gov )

I precedenti sanzionatori e la pressione esecutiva contro le infrastrutture di mixing alterano il calcolo del routing: l’OFAC ha designato il mixer Sinbad.io il 29 novembre 2023 , descrivendone il ruolo nel riciclaggio per il Gruppo Lazarus , basandosi su precedenti azioni contro Tornado Cash e indagini culminate nei procedimenti penali contro gli operatori del mixer del gennaio 2025 ; queste misure modellano la selezione dei servizi da parte degli attori della minaccia e aumentano la dipendenza da servizi di swap di basso profilo e reti personalizzate di “riciclaggio di denaro come servizio”. Vedere il comunicato stampa del Tesoro degli Stati Uniti , il background del DOJ sui procedimenti penali sui mixer e The Record sulla designazione di Sinbad . ( Dipartimento del Tesoro degli Stati Uniti , Dipartimento di Giustizia , The Record da Recorded Future )

Le finestre di interdizione concrete derivate dall’analisi della tipologia sono in linea con le linee guida politiche citate dagli analisti del settore pubblico e delle ONG: i fondi possono essere congelati nei momenti di conversione ( ETH→BTC , conio o riscatto di stablecoin e ingresso in fiat off-ramp), a condizione che le autorità di intelligence sui rischi e quelle legali si mobilitino entro poche ore; questa selezione si riflette nel briefing del Wilson Center e nella richiesta dell’avviso dell’FBI di un blocco coordinato tra fornitori di nodi RPC , exchange, bridge e servizi DeFi . Vedi Wilson Center e FBI IC3 PSA I-022625 . ( Wilson Center , ic3.gov )

Il caso di studio eXch: lo swapping senza KYC come infrastruttura di riciclaggio e la chiusura di BKA–FIOD–ZIT del 30 aprile 2025

La piattaforma ” eXch ” funzionava come uno swapper crypto-to-crypto che evitava esplicitamente i controlli KYC , operava sia su superfici clearnet che dark-web dal 2014 e processava flussi per circa 1,9 miliardi di dollari ; le comunicazioni pubbliche dell’operatore adottavano un approccio massimalista alla privacy mentre, secondo quanto riportato dalle forze dell’ordine, facilitavano il riciclaggio su larga scala collegato ai proventi di Bybit . Il 30 aprile 2025 , le autorità tedesche BKA e ZIT sequestrarono l’infrastruttura dei server e, con il supporto di FIOD ed Europol , confiscarono 34 milioni di euro e 8 terabyte di dati; il bollettino e la stampa tecnica di FIOD confermano l’ambito, le date e le metriche del sequestro. Vedi il comunicato stampa di FIOD , SecurityWeek e The Hacker News . ( FIOD , SecurityWeek , The Hacker News )

Le pressioni documentate della comunità prima della chiusura includevano appelli per congelare gli indirizzi collegati alla rapina di Bybit ; l’operatore li ha liquidati come “FUD” e poi, due settimane prima dell’intervento della polizia, ha emesso una nota di chiusura: ” Siamo oggetto di un’operazione transatlantica attiva. Amici nel settore dell’intelligence hanno consigliato la chiusura immediata. Arrivederci “. Riproduzioni verificate e interviste attribuiscono il messaggio a un amministratore che si faceva chiamare ” Johann Roberts “, con successivi striscioni di sequestro apparsi sull’infrastruttura della piattaforma dopo i raid; articoli di Decrypt e fonti di sicurezza catturano la cronologia e la citazione. Vedi Decrypt , The Hacker News e The Record . ( Decrypt , The Hacker News , The Record da Recorded Future )

L’apprendimento operativo tratto dal caso sottoscrive un modello di fusione: le autorità pubbliche hanno fatto leva su procedimenti legali multinazionali e autorità di sequestro, mentre l’intelligence del settore ha fornito il contesto di clustering, etichettatura e routing; l’ azione pubblica del Dipartimento di Giustizia contro Garantex del 7 marzo 2025 esemplifica lo stesso schema di coalizione – interruzione dell’infrastruttura dei server con Germania e Finlandia insieme ad accuse di riciclaggio per organizzazioni criminali transnazionali ed evasione delle sanzioni – e segnala a swap e mixer che l’interdizione a livello di rete è praticabile oltre i semplici divieti di quotazione. Vedi comunicato stampa del Dipartimento di Giustizia degli Stati Uniti . ( Dipartimento di Giustizia )

Protocolli e policy: aggiornamento mirato del GAFI di giugno 2025, applicabilità del FinCEN BSA e armonizzazione della vigilanza

Gli enti normativi globali hanno intensificato l’attenzione sulla conformità degli asset virtuali: l’ aggiornamento mirato del GAFI del 18 giugno 2025 sugli asset virtuali, i fornitori e la regola sui viaggi sottolinea le persistenti lacune nell’implementazione transfrontaliera e descrive in dettaglio pratiche di vigilanza efficaci per tracciare e bloccare i flussi coerenti con le tipologie osservate nel riciclaggio adiacente a Bybit ; ciò integra precedenti determinazioni del FinCEN , risalenti al 2013 , che estendono gli obblighi BSA agli amministratori e agli exchange, chiarendo così la portata investigativa tra i VASP . Vedere **Aggiornamento mirato del GAFI – giugno 2025 e l’archivio delle linee guida FinCEN . ( Dipartimento del Tesoro degli Stati Uniti , DLA Piper )

Un orizzonte di vigilanza armonizzato è articolato anche in sedi multilaterali: il lavoro politico del WEF sull’interoperabilità delle regole di viaggio (**giugno 2025 ) e i forum delle banche centrali sostengono schemi di dati allineati e gateway legali per comprimere i cicli di interdizione; il briefing del Wilson Center sostiene canali formalizzati tra società di analisi, ISAC e forze dell’ordine, riecheggiando l’ incarico operativo dell’avviso dell’FBI ai nodi e ai ponti privati. Vedi il briefing del WEF e il Wilson Center . ( TechCrunch , Wilson Center )

Regolamento tokenizzato e controllo sovrano: architettura del registro unificato BIS 2025 contro dominio delle stablecoin private

Le implicazioni macrofinanziarie del riciclaggio di denaro basato sulle criptovalute si intersecano con l’architettura stessa del denaro: il Rapporto economico annuale BRI 2025 propone un modello di registro unificato tokenizzato, che integra le riserve delle banche centrali, la moneta delle banche commerciali e i titoli di Stato, promettendo un regolamento atomico e programmabile con controllo delle politiche, una struttura posizionata esplicitamente come superiore alle stablecoin private in termini di sovranità monetaria, resilienza e trasparenza; i materiali stampa e i capitoli della BRI datati 24-29 giugno 2025 illustrano le implicazioni per i pagamenti e il mercato dei titoli, nonché il prototipo del Progetto Agorá per il sistema bancario di corrispondenza transfrontaliero. Si veda il Capitolo III della BRI — Il sistema monetario e finanziario di prossima generazione , il Rapporto economico annuale BRI 2025 (PDF) e la nota stampa della BRI sul Progetto Agorá . ( bis.org )

Un report indipendente del giugno 2025 sintetizza questa posizione: avverte che le stablecoin private rischiano di minare il controllo monetario e di consentire movimenti di liquidità poco trasparenti, insieme alla promozione di sistemi di pagamento tokenizzati del settore pubblico; nel contesto del furto e del riciclaggio sponsorizzati dallo Stato, un simile modello implica una strumentazione – leve politiche integrate al momento del regolamento – per accelerare i congelamenti e il tracciamento. Vedi Reuters sugli avvertimenti della BRI sulle stablecoin ( 24 giugno 2025 ) . ( Reuters )

Precedenti operativi: FBI, DOJ, Europol, sequestri coordinati e azioni sanzionatorie contro i mixer e gli scambi

Empiricamente, la velocità di interdizione è migliorata nel 2024-2025 attraverso un’attività operativa che combina sanzioni, procedimenti penali e sequestri di infrastrutture: la designazione di Sinbad.io da parte dell’OFAC del 29 novembre 2023 ha ridotto le opzioni di mixing ad alta liquidità per il riciclaggio in RPDC , mentre i procedimenti penali del 10 gennaio 2025 del DOJ contro gli operatori di mixer e l’ azione congiunta del 7 marzo 2025 contro Garantex illustrano il ventaglio di strumenti coercitivi disponibili per ridurre la disponibilità del servizio; l’operazione ” eXch ” di FIOD / BKA dimostra la capacità europea di eseguire sequestri rapidi e ricchi di dati in linea con le crisi di riciclaggio attive. Vedi la designazione di Sinbad da parte del Tesoro , i procedimenti penali del DOJ e il DOJ su Garantex . ( Dipartimento del Tesoro degli Stati Uniti , Dipartimento di Giustizia )

Case comparison in June 2025—the Nobitex breach—adds the modality of politically motivated coin “burning”: Reuters reports approximately $90 million destroyed by transfers to vanity addresses embedding anti-IRGC strings, a tactic corroborated by Elliptic and TRM Labs and consistent with previous Predatory Sparrow operations against Iran’s financial infrastructure; while separate in authorship and intent from the Bybit theft, the episode validates analytic claims that crypto rails have become sites of state-level coercive signaling, not merely theft monetization. See Reuters, Elliptic, and TRM Labs. (Reuters, elliptic.co, trmlabs.com)

Public-Private Execution Models and “Digital Privateering” in Crypto Conflict

Contemporary security analysis argues that the pace of adversary movement in crypto requires operational public-private partnerships that extend beyond passive information sharing to active, lawful disruption; this approach is increasingly visible in coordinated mixer and exchange takedowns and in joint analytic cells. Strategic commentary in defense policy journals during 2025 examines historical analogues and cautions that authorities must ensure due-process and rule-of-law safeguards while leveraging industry telemetry to pre-position freezes at chokepoints exposed by on-chain transparency. See War on the Rocks perspective (July 2025). (The White House)

Actionable Architecture: Detection, Freezing, and Disruption Playbooks for High-Tempo Financial Threats

Le pratiche attuabili ora si concentrano su: linee telefoniche pre-coordinate tra società di analisi e VASP per ordini di congelamento inferiori a 60 minuti in caso di rilevamento di flussi anomali di grandi dimensioni; liste di controllo persistenti propagate dagli avvisi FBI / IC3 allo screening dei portafogli e al geofencing a livello RPC ; quadri di mutua assistenza rapida per tradurre la probabile causa on-chain in sequestri transfrontalieri; e aspettative di vigilanza allineate all’aggiornamento del GAFI di giugno 2025 per colmare le lacune delle regole di viaggio sfruttate dalle infrastrutture bridge e swap. A livello macro-ferroviario, l’adozione di ambienti di regolamento tokenizzati proposti dalla BRI – in cui le riserve delle banche centrali e i token di deposito co-risiedono – integrerebbe ganci di programmabilità e conformità per automatizzare l’interdizione preservando al contempo il controllo monetario, riducendo così il ciclo di risposta all’automazione avversaria senza rinunciare alle tutele delle libertà civili. Si veda l’aggiornamento del GAFI di giugno 2025 e il progetto di registro unificato della BRI del 2025 . ( Dipartimento del Tesoro degli Stati Uniti , bis.org )

Screening delle regole di viaggio a bordo allineato all’aggiornamento mirato del GAFI del 26 giugno 2025 , i flussi ad alto rischio vengono selezionati combinando gli elenchi di indirizzi IC3 del 26 febbraio 2025 con euristiche che ponderano improvvisi burst di conversione ETH→BTC , salti cross-bridge entro < 60 minuti e riutilizzo dei descrittori di deposito di custodia, consentendo ai VASP e ai fornitori di nodi di eseguire quarantene quasi in tempo reale che preservano l’integrità delle prove soddisfacendo al contempo le aspettative BSA per l’escalation di attività sospette; le linee guida istituzionali richiedono esplicitamente il blocco sincronizzato tra gli exchange, i front-end DEX e gli operatori RPC piuttosto che notifiche seriali e bilaterali che consentono alle coorti di riciclaggio di completare i loro instradamenti durante il ritardo procedurale. Vedere l’aggiornamento mirato del GAFI ( 26 giugno 2025 ) e IC3 I-022625 ( 26 febbraio 2025 ) . ( fatf-gafi.org , ic3.gov )

Il presupposto legale per una rapida copertura statunitense delle infrastrutture di scambio e di swap rimane la classificazione FinCEN degli “amministratori” e degli “scambiatori” di valuta virtuale come trasmettitori di denaro ai sensi del BSA , stabilita per la prima volta nel FIN-2013-G001 del 18 marzo 2013 e consolidata nel FIN-2019-G001 del 9 maggio 2019 , che insieme chiariscono che i modelli di business di valuta virtuale convertibile rientrano negli obblighi di registrazione, tenuta dei registri e monitoraggio applicabili alle aziende di servizi monetari, autorizzando così le richieste di dati e le attività di emergenza in base alla cadenza dei reati finanziari piuttosto che alle tempistiche generali della sicurezza informatica, una posizione interpretativa ripetutamente citata dalle valutazioni del rischio del settore pubblico fino al 2024-2025 . Vedere FinCEN FIN-2013-G001 ( 18 marzo 2013 ) e FinCEN FIN-2019-G001 ( 9 maggio 2019 ) . ( FinCEN.gov )

Le azioni coercitive intraprese contro piattaforme ad alto rischio illustrano la coalizione operativa che si sta formando tra autorità penali, sanzionatorie e di intelligence: il Dipartimento di Giustizia il 7 marzo 2025 ha annunciato un’interruzione internazionale di Garantex , descrivendo almeno 96 miliardi di dollari in criptovalute elaborate da aprile 2019 , mentre il Tesoro degli Stati Uniti ha segnalato il sequestro coordinato dell’infrastruttura web e il congelamento di oltre 26 milioni di dollari il 6-7 marzo 2025 , misure eseguite con Germania e Finlandia che dimostrano come sanzioni, confische e autorità di rimozione tecnica possano essere accumulate per far crollare la liquidità e l’utilità di routing di un exchange in meno di 24 ore . Vedi comunicato del DOJ ( 7 marzo 2025 ) e dichiarazione del Tesoro ( marzo 2025 ) . ( Dipartimento di Giustizia , Dipartimento del Tesoro degli Stati Uniti )

I partner europei hanno applicato la stessa dottrina di fusione allo swapper no- KYC ” eXch “: BKA e ZIT hanno sequestrato l’infrastruttura del server il 30 aprile 2025 , con il supporto del FIOD , confiscando 34 milioni di euro e 8 terabyte di dati e tagliando le superfici clearnet e dark-web che avevano facilitato circa 1,9 miliardi di dollari di riciclaggio, un risultato pubblicamente registrato nei bollettini di vigilanza e nella stampa tecnica che collocano il design permissivo della piattaforma e i collegamenti con il riciclaggio di pubblico dominio per ulteriori azioni civili e penali in tutte le giurisdizioni. Vedi avviso FIOD ( 9 maggio 2025 ) e The Hacker News ( 10 maggio 2025 ) . ( FIOD , The Hacker News )

La pressione delle sanzioni rimodella le scelte in materia di riciclaggio rimuovendo i mixer ad alta liquidità dal grafico di routing: la designazione di Sinbad.io da parte dell’OFAC il 29 novembre 2023 ha documentato il supporto dei mixer ad attori affiliati alla RPDC e ha aumentato il rischio legale per le controparti che utilizzano tali servizi, incentivando così i ladri sostenuti dallo Stato a preferire swapper di basso profilo e broker su misura dopo le rapine più importanti; il filo conduttore della politica appare continuamente nella strategia del Tesoro contro la finanza illecita del 2024 e nella valutazione del rischio di finanziamento della proliferazione del 2024 , che catalogano il riciclaggio della RPDC attraverso mixer e broker OTC insieme a tipologie non crittografiche. Vedere il comunicato stampa dell’OFAC ( 29 novembre 2023 ) , la strategia del Tesoro contro la finanza illecita ( 16 maggio 2024 ) e la valutazione del rischio di finanziamento della proliferazione del Tesoro ( 1 febbraio 2024 ) . ( Dipartimento del Tesoro degli Stati Uniti )

Le mitigazioni del livello di custodia attivate dall’intrusione Bybit specificano contromisure concrete al confine dell’interfaccia umana, dove le garanzie multi-firma possono essere annullate dalla sostituzione del codice front-end: le ricostruzioni di incidenti verificate attribuiscono il reindirizzamento della logica di destinazione a un’iniezione temporanea di JavaScript nell’interfaccia di firma dopo la compromissione di un ambiente di sviluppo Safe{Wallet} nel febbraio 2025 , una scoperta associata alle raccomandazioni per associare le allowlist controllate da policy ai client firmatari, richiedere anteprime dei messaggi fuori banda che analizzino e presentino i dati delle chiamate EVM in un formato leggibile dall’uomo e imporre attestazioni di destinazione per transazione che non possono essere alterate dalle modifiche del livello DOM senza innescare arresti delle policy lato firmatario. Vedere The Hacker News ( 27 febbraio 2025 ) e The Hacker News ( 7 marzo 2025 ) . ( The Hacker News )

Le proposte di macro-infrastruttura pubblicate dalla Banca dei Regolamenti Internazionali nel giugno 2025 delineano un’architettura di regolamento tokenizzata e programmabile – il ” registro unificato ” – che colloca insieme le riserve delle banche centrali, i depositi delle banche commerciali e i titoli di Stato per consentire trasferimenti atomici, applicati dalle politiche, che incorporano la logica di conformità al momento del regolamento; capitoli ufficiali e note stampa sottolineano che tali binari possono fornire trasparenza e controllabilità non disponibili nei sistemi di stablecoin privati e consentirebbero alle autorità pubbliche di strumentare congelamenti di emergenza con la stessa risoluzione temporale che gli avversari sfruttano per l’offuscamento cross-chain. Si veda il Rapporto economico annuale della BIS 2025 , Capitolo III ( 24 giugno 2025 ) , BIS report hub ( 29 giugno 2025 ) e la copertura Reuters ( 24 giugno 2025 ) . ( Banca per i Regolamenti Internazionali , Reuters )

La posizione di vigilanza alla base di questa architettura risponde ai rischi documentati per l’integrità delle stablecoin: analisi delle banche centrali e media specializzati del 24 giugno 2025 descrivono come le stablecoin emesse privatamente non superino i test di unicità, elasticità e integrità a livello di sistema e pertanto non possano sostituire la moneta della banca centrale in contesti di infrastrutture critiche che richiedono funzionalità di prestatore di ultima istanza in tempi di crisi e immediata definitività giuridica, condizioni indispensabili per i flussi di lavoro di interdizione che dipendono da stati di regolamento incontestabili. Si veda The Banker ( 24 giugno 2025 ) e BIS Capitolo III ( 24 giugno 2025 ) . ( thebanker.com , Banca per i Regolamenti Internazionali )

Parallelamente all’architettura, i segnali politici intergovernativi enfatizzano la fusione operativa pubblico-privata contro il furto di criptovalute da parte della RPDC : una dichiarazione congiunta trilaterale del 14 gennaio 2025 di Stati Uniti , Giappone e Repubblica di Corea chiede una più profonda collaborazione con l’industria privata per interrompere in modo proattivo lo sfruttamento avversario delle risorse virtuali, mentre forum analitici contemporanei e commenti sulla difesa nell’agosto 2025 sostengono che l’automazione avversaria costringe le democrazie a comprimere i cicli decisionali e autorizzare la partecipazione privata legale e regolamentata alle operazioni di interruzione, riflettendo un passaggio documentato da modelli puramente investigativi a una negazione attiva su larga scala. Vedi la dichiarazione del Dipartimento di Stato degli Stati Uniti ( 14 gennaio 2025 ) e l’analisi di War on the Rocks ( 15 agosto 2025 ) . ( 2021-2025.state.gov , War on the Rocks )

L’ incidente di Nobitex del 18 giugno 2025 dimostra un uso escalation e politicamente comunicativo di binari crittografici, distinto dal furto a scopo di lucro: diverse fonti verificano che circa 90 milioni di dollari sono stati trasferiti a indirizzi vanity deliberatamente non spendibili che incorporavano stringhe anti- IRGC , con rivendicazioni di attribuzione da parte di Gonjeshke Darande ( Predatory Sparrow ) e sequenziamento prossimo all’interruzione di Bank Sepah ; riepiloghi forensi di analisi private confermano la tattica degli indirizzi vanity e l’immobilizzazione dei fondi, il che implica che l’operazione ha dato priorità alla segnalazione rispetto alla monetizzazione e all’espansione della gamma di statecraft abilitati alla crittografia che i pianificatori della sicurezza devono considerare quando mappano le leve di interdizione. Vedi Reuters ( 18 giugno 2025 ) , Elliptic ( 18 giugno 2025 ) e TRM Labs ( 18 giugno 2025 ) . ( Reuters , elliptic.co , trmlabs.com )

I resoconti empirici sull’episodio Bybit continuano a documentare le dinamiche di conversione e la velocità di dispersione che definiscono le finestre di sequestro: forum istituzionali e politici hanno registrato che entro il 20 marzo 2025 , > 86 % degli ETH rubati era stato scambiato con BTC , instradato attraverso DEX e bridge che frammentano la provenienza degli asset e premono sui perimetri KYC degli scambi , confermando così la necessità di meccanismi di congelamento pre-negoziati e multipiattaforma piuttosto che richieste ad hoc e post hoc. Vedi l’analisi del Wilson Center ( 31 marzo 2025 ) e le indagini di TRM Labs ( febbraio-marzo 2025 ) . ( Wilson Center , trmlabs.com )

Laddove i servizi massimalisti della privacy respingono le informazioni sui rischi inviate dalla comunità come “FUD” , i sequestri delle forze dell’ordine abbinati a liste di controllo intersettoriali si sono rivelati decisivi, come dimostra la cronologia di eXch : due settimane dopo una nota di chiusura che citava una “operazione transatlantica attiva” , le autorità tedesche hanno eseguito azioni di rimozione documentate in avvisi di sequestro e relazioni tecniche, aggiungendo 34 milioni di euro in confische e 8 terabyte di dati probatori al corpus disponibile per successivi procedimenti penali e azioni civili, mentre la scientifica indipendente ha collegato eXch al riciclaggio di denaro proveniente dalla rapina Bybit e ad altri reati gravi. Vedi il bollettino FIOD ( 9 maggio 2025 ) , The Hacker News ( 10 maggio 2025 ) e TRM Labs ( 2 maggio 2025 ) . ( FIOD , The Hacker News , trmlabs.com )

Il quadro strategico generale si consolida tra gli enti che definiscono gli standard e i forum delle banche centrali: l’aggiornamento del GAFI di giugno 2025 sottolinea i tassi di non conformità giurisdizionale che continuano a lasciare lacune sfruttabili nella vigilanza transfrontaliera, mentre la BRI promuove sedi di regolamento tokenizzate progettate per ripristinare il controllo pubblico su tempi, trasparenza e definitività dei pagamenti di valore elevato; in combinazione con gli strumenti penali, sanzionatori e di confisca civile che sono stati ora implementati contro gli exchange e i mixer nel 2025 , queste misure costituiscono una dottrina coesa per trattare le infrastrutture ostili di riciclaggio come obiettivi in un dominio finanziario controverso piuttosto che semplici soggetti di lunghe indagini dei colletti bianchi. Vedere l’aggiornamento del GAFI ( 26 giugno 2025 ) , il Capitolo III della BRI ( 24 giugno 2025 ) e l’azione Garantex del Dipartimento di Giustizia ( 7 marzo 2025 ) . ( fatf-gafi.org , Banca per i Regolamenti Internazionali , Dipartimento di Giustizia )

Modelli di esecuzione pubblico-privati e “privatizzazione digitale” nel conflitto crittografico

Le tempistiche accelerate del riciclaggio dimostrate nel furto di Bybit del 21 febbraio 2025 e nella chiusura di eXch del 30 aprile 2025 rafforzano una verità operativa: la tradizionale assistenza legale reciproca e le indagini basate su citazioni in giudizio non possono costantemente interrompere le operazioni informatiche finanziarie sostenute dallo Stato in tempo per recuperare i beni. In risposta, la ricerca politica di War on the Rocks ( 15 agosto 2025 ) e di think tank orientati alla difesa delineano un nuovo modello di esecuzione pubblico-privato in cui attori del settore privato controllati – società di analisi blockchain, fornitori di sicurezza informatica, depositari ed elaboratori di pagamenti – operano come “corsari digitali”, agendo sotto l’autorità dello Stato per localizzare, congelare o neutralizzare flussi illeciti di beni digitali in tempo reale. Queste proposte traggono un precedente storico dalle Lettere di Marca e dalla Rappresaglia , che nei secoli precedenti consentivano alle navi mercantili di ingaggiare legalmente navi ostili, espandendo la portata navale senza espandere le flotte statali. Nel contesto digitale, l’equivalente operativo autorizzerebbe le aziende con accesso a punti di strozzatura transazionale a implementare l’interdizione attiva, sfruttando capacità tecniche ben oltre le infrastrutture di proprietà pubblica. Si veda l’analisi di War on the Rocks ( 15 agosto 2025 ) .

Questo approccio richiede un quadro normativo e normativo esplicito per conciliare i requisiti di giusto processo, i conflitti giurisdizionali transfrontalieri e le tutele di responsabilità per gli attori privati autorizzati. Gli specialisti del diritto della difesa sottolineano che, in assenza di tale codificazione, anche le interdizioni private ben intenzionate potrebbero violare il Computer Fraud and Abuse Act degli Stati Uniti o leggi equivalenti sulla criminalità informatica nelle giurisdizioni alleate. La dichiarazione congiunta del 14 gennaio 2025 di Stati Uniti , Giappone e Repubblica di Corea ha riconosciuto questa tensione e si è impegnata a esplorare canali di collaborazione strutturati con il settore privato per affrontare il furto di criptovalute da parte della RPDC , un riconoscimento esplicito del fatto che le autorità pubbliche da sole non possono eguagliare la velocità operativa degli attori ostili. Vedi **dichiarazione congiunta del Dipartimento di Stato degli Stati Uniti ( 14 gennaio 2025 ) .

Operational fusion models are already in limited use. Europol, FBI, and DOJ cyber units have engaged private blockchain intelligence platforms under memoranda of understanding to provide active address clustering, mixer tracing, and smart-contract flagging during live interdiction windows. In the April 30, 2025 eXch case, investigators leveraged private-sector chain surveillance to flag incoming transactions from addresses tied to the Bybit hack hours before coordinated server seizures, allowing enforcement teams to seize residual balances on-platform. Policy briefs from the Wilson Center (March 31, 2025) recommend codifying such partnerships into a persistent operational doctrine, ensuring pre-authorization for data exchange and interdiction orders under specified triggers. See Wilson Center brief (March 31, 2025).

Actionable Architecture: Detection, Freezing, and Disruption Playbooks for High-Tempo Financial Threats

The Bybit incident, with 86.29% of stolen ETH converted to BTC within <30 hours, demonstrates that actionable architecture must compress detection-to-freeze timelines to minutes. The FBI IC3 advisory (February 26, 2025) and TRM Labs incident reports specify that once conversion pathways hit decentralized exchanges and cross-chain bridges, provenance tracking degrades sharply, making the first two transactional hops post-heist the critical freeze window. This reality underpins recommendations from the FATF June 26, 2025 targeted update that VASPs and custodians maintain pre-negotiated, jurisdictionally recognized emergency freeze protocols, triggered automatically by address hits on high-priority sanctions or investigation lists. See **FATF Targeted Update (June 26, 2025) and FBI IC3 PSA I-022625 (February 26, 2025).

A mature disruption playbook integrates four pillars:

1. Detection — Persistent blockchain surveillance with anomaly-scoring tuned to identify large, unusual asset movements matching high-risk typologies.
2. Authentication — Real-time verification of threat intelligence through multi-source consensus (blockchain analytics, open-source intelligence, law enforcement feeds).
3. Freezing — Immediate, automated suspension of inbound and outbound flows to implicated addresses or smart contracts at the custodial, liquidity-pool, or RPC-service level.
4. Disruption — Coordinated takedowns of infrastructure used in laundering (servers, domain names, API endpoints), executed with joint criminal-sansctions authority.

The BIS Annual Economic Report 2025 reinforces that programmable, tokenized settlement systems — specifically a “unified ledger” integrating central bank money and commercial bank deposits — would make such freeze and disruption steps natively enforceable at the settlement layer, removing the dependency on slower, off-ledger compliance interventions. See **BIS Annual Economic Report 2025, Chapter III (June 24, 2025).

Strategically, the same infrastructure could facilitate proactive “digital privateering” by embedding authorization channels into settlement code, allowing sanctioned private partners to initiate lawful freezes or reversals under state oversight. Such capabilities, coupled with cross-border policy alignment through the FATF framework and regional supervisory colleges, would redefine financial cyber defense from reactive forensics to preemptive control. The doctrinal shift, visible in 2025 through the eXch and Garantex cases, positions the financial system’s back-end as an active battlespace — one where milliseconds matter as much as in kinetic military engagements.

North Korea’s Crypto Revenue and Sanctions-Evasion Ecosystem After the February 21, 2025 Bybit Heist

Attribution by the FBI anchors the Bybit theft of approximately $1.5 billion on February 21, 2025 to North Korea’s Lazarus Group subcluster TraderTraitor, with the public advisory detailing on-chain dispersion across thousands of addresses and warning of conversion to fiat through layered laundering channels; the notice remains the primary governmental reference for incident parameters and immediate private-sector blocking actions. See FBI IC3 PSA I-022625 (February 26, 2025). (Centro Reclami Crimini Informatici)

Reporting forensi indipendenti corroborano l’entità e le fasi di riciclaggio, documentando rapidi scambi ETH→BTC e salti tra catene entro poche ore dall’esfiltrazione, in linea con le tecniche di trading del Lazarus Group osservate dal 2019 ; gli aggiornamenti post-incidente descrivono la transizione alle fasi di dispersione secondaria una volta che emerge la stanchezza iniziale dello screening nei VASP . Vedi TRM Labs — “The Bybit Hack: Following North Korea’s Largest Exploit” ( 26 febbraio 2025 ) e TRM Labs — “Bybit Hack Update: North Korea Moves to Next Stage of Laundering” ( 3 marzo 2025 ) . ( trmlabs.com )

I dati macro-serie collocano la rapina all’interno dei volumi di minaccia del 2024-2025 : il compendio sulla criminalità del 2025 e l’aggiornamento di metà anno notano che i ladri prediligono sempre più i bridge per il chain-hopping e i mixer per l’offuscamento della liquidità, modelli fortemente rappresentati negli incidenti che prendono di mira servizi di alto valore; questi risultati sono in linea con la progettazione dell’interdizione che dà priorità ai bridge e ai punti di strozzatura DEX . Vedere Chainalysis — “Rapporto sui crimini crittografici 2025” (**febbraio 2025 ) e Chainalysis — “Aggiornamento di metà anno sui crimini crittografici 2025” ( 17 luglio 2025 ) . ( Chainalysis , Chainalysis )

La segnalazione politica nel periodo giugno-luglio 2025 mette in primo piano il collegamento tra il furto di criptovalute sponsorizzato dallo Stato e il finanziamento della proliferazione: le azioni del Tesoro degli Stati Uniti nel luglio 2025 contro le reti di lavoratori informatici della RPDC sottolineano il continuo utilizzo di furti di asset digitali e impersonificazione per finanziare programmi di armi di distruzione di massa e missili balistici, rafforzando il fatto che il riciclaggio post-rapina si inserisce in ecosistemi più ampi di evasione delle sanzioni piuttosto che in un isolato crimine informatico. Si veda il comunicato stampa del Tesoro degli Stati Uniti: “Sanzioni imposte ai lavoratori informatici della RPDC che generano entrate tramite attività informatiche dannose” ( 8 luglio 2025 ) . ( Dipartimento del Tesoro degli Stati Uniti )

Il lavoro operativo integra la strategia sanzionatoria: l’ annuncio del Dipartimento di Giustizia del 30 giugno 2025 descrive azioni coordinate contro i lavoratori IT remoti della RPDC che hanno abusato dell’accesso dei datori di lavoro per appropriarsi indebitamente di criptovalute e instradare i proventi attraverso portafogli controllati, illustrando come l’infiltrazione della forza lavoro coesista con le rapine a livello di exchange per formare una strategia di entrate composita. Vedi Dipartimento di Giustizia degli Stati Uniti – “Azioni coordinate a livello nazionale per combattere i lavoratori IT remoti nordcoreani” ( 30 giugno 2025 ) . ( Dipartimento di Giustizia )

Gli organismi di definizione degli standard integrano queste realtà nelle linee guida sul finanziamento della proliferazione: il documento del GAFI del 2025 su “Schemi complessi di finanziamento della proliferazione e di evasione delle sanzioni” cataloga le tipologie in cui i VASP , i broker OTC e gli swapper senza KYC forniscono il tessuto connettivo tra i canali di furto e approvvigionamento sponsorizzati dallo Stato, richiedendo un’escalation di vigilanza transfrontaliera e l’applicazione delle regole di viaggio per comprimere le tempistiche del riciclaggio. Vedi GAFI – “Schemi complessi di finanziamento della proliferazione e di evasione delle sanzioni” ( 2025 ) . ( fatf-gafi.org )

Il monitoraggio della stampa e delle istituzioni rafforza l’attribuzione e la portata, con rapporti di intelligence contemporanei che ripetono l’ identificazione di TraderTraitor da parte dell’FBI e descrivono dettagliatamente la distribuzione di beni a migliaia di indirizzi, contestualizzando l’incidente come il più grande furto di beni virtuali mai registrato per valore e un punto di riferimento per la rapidità di risposta. Vedi Reuters — “FBI says North Korea was responsible for $1.5 billion Bybit hack” ( 27 febbraio 2025 ) . ( Reuters )

Allo stesso modo, i partner regionali documentano dinamiche di escalation in casi adiacenti: il 18 giugno 2025 , un attacco alla Nobitex iraniana ha distrutto circa 90 milioni di dollari tramite trasferimenti a indirizzi vanity che incorporavano messaggi anti- IRGC , rappresentando un uso politico comunicativo di binari crittografici distinto dalla monetizzazione; l’episodio, verificato da analisi forensi open source e ripreso da importanti media, sottolinea che le operazioni crittografiche strategiche ora includono l’annientamento degli asset come segnale. Vedi Reuters — “Iran crypto exchange colpito da hacker, 90 milioni di dollari distrutti” ( 18 giugno 2025 ) . ( Reuters )

L’infrastruttura abilitante per il riciclaggio tramite swapper senza KYC è esemplificata da ” eXch “, disattivato il 30 aprile 2025 in un’operazione congiunta delle tedesche BKA e ZIT con il supporto di FIOD ed Europol , che ha portato al sequestro di circa 34 milioni di euro e 8 terabyte di dati; comunicazioni ufficiali e flussi di servizi di collegamento stampa tecnica a Bybit , proventi derivati e altri reati gravi, sottolineando il valore operativo dei sequestri a livello di server. Vedi FIOD – “BKA e FIOD chiudono il servizio di swap di criptovalute eXch” ( 9 maggio 2025 ) e AML Intelligence – “La Germania chiude eXch per riciclaggio da 1,9 miliardi di dollari” ( 12 maggio 2025 ) . ( FIOD , AML Intelligence )

La storia delle sanzioni limita la disponibilità dei mixer e plasma le preferenze di routing post-rapina: la designazione OFAC di Sinbad.io il 29 novembre 2023 – legata al riciclaggio per conto di Lazarus Group – ha fatto seguito a precedenti azioni contro Tornado Cash e, insieme alle azioni penali del 2025 , ha spinto i gruppi di riciclaggio verso servizi di swap di basso profilo e broker personalizzati. Vedi Dipartimento del Tesoro degli Stati Uniti – “Sinbad.io sanzionato per il ruolo nel riciclaggio della Corea del Nord” ( 29 novembre 2023 ) e Chainalysis – “Sinbad sanzionato per il riciclaggio dei fondi Lazarus” ( 29 novembre 2023 ) . ( FIOD , Chainalysis )

Analisi forense della blockchain, euristica di rilevamento e controlli operativi per VASP e supervisori

Le tipologie di indicatori di rischio per l’abuso di asset virtuali, consolidate dal GAFI sulla base di oltre 100 casi di studio, rimangono fondamentali per la progettazione dello screening: gli indicatori includono attività improvvise in portafogli precedentemente dormienti, rapidi trasferimenti multi-hop a seguito di grandi afflussi, chain-hopping tramite bridge e movimenti immediati da o verso servizi noti ad alto rischio; questi modelli si mappano direttamente sulle fasi di riciclaggio di Bybit e guidano il punteggio di rischio presso depositari, exchange e fornitori di portafogli . Vedere FATF — “Virtual Assets Red Flag Indicators of Money Laundering and Terrorist Financing” ( 14 settembre 2020 ) e il riepilogo del portale FATF . ( fatf-gafi.org )

Egmont Group publications extend these flags to terrorism-finance and cyber-enabled fraud contexts, emphasizing FIU data fusion and cross-border exchange as prerequisites for timely interdiction of virtual-asset flows linked to sanctioned actors; case digests and annual reports supply operational examples of collaborative blocking and evidence preservation. See Egmont Group — “Report on Abuse of Virtual Assets for Terrorist Financing (summary)” (July 2023) and Egmont Group — “2022–2023 Annual Report” (**September 2024). (Egmont Group)

Real-time heuristics tuned to service-targeting thefts in 2024–2025 prioritize bridge connectors and DEX liquidity pools, reflecting observed laundering that leverages chain-hops within <60 minutes of exfiltration; analytics frameworks therefore weight temporal clustering of large swaps, cross-domain RPC activity, and recurrence of custodial deposit descriptors to trigger escalations before off-ramp engagement. See Chainalysis — “2025 Crypto Crime Mid-Year Update” (July 17, 2025) and Chainalysis — “$2.2** Billion Stolen in Crypto in 2024 but Hacked Volumes Concentrated in Service-Targeting Attacks”** (December 19, 2024). (Chainalysis)

Supervisory doctrine converges on embedding travel-rule compliance and data-sharing gates at liquidity chokepoints while maintaining legal finality and proportionality: FATF’s targeted updates and risk-based approach guidance outline jurisdictional expectations for licensing, monitoring, and peer-to-peer risk mitigation; these texts remain the reference set for harmonizing VASPs’ alerting thresholds and escalation ladders across borders. See FATF — “Targeted Update on Implementation of the Travel Rule and VASPs Supervision” (June 2025) and FATF — “Updated Guidance for a Risk-Based Approach to Virtual Assets and VASPs” (October 2021). (Reuters, fatf-gafi.org)

La riforma del livello di regolamento proposta dalla Banca dei Regolamenti Internazionali (BRI) strumenterebbe in modo nativo l’interdizione, collocando le riserve delle banche centrali, i depositi delle banche commerciali e i titoli di Stato su un “registro unificato” programmabile, consentendo trasferimenti atomici con agganci politici per congelamenti di emergenza e tracciabilità alla velocità sfruttata dagli avversari; i capitoli ufficiali pubblicati nel **giugno 2025 delineano considerazioni sull’architettura e sulla governance e mettono a confronto i sistemi tokenizzati pubblici con gli ecosistemi di stablecoin privati privi di meccanismi di sostegno del prestatore di ultima istanza. Si veda BIS — “Rapporto economico annuale 2025, Capitolo III: Il sistema monetario e finanziario di prossima generazione” (**giugno 2025 ) e BIS — “Rapporto economico annuale 2025 (pagina hub)” . ( Banca per i Regolamenti Internazionali )

Laddove le indagini devono passare dal monitoraggio alla coercizione, le azioni coordinate contro gli scambi ad alto rischio dimostrano una compressione dei tempi attraverso autorità sovrapposte: l’ interruzione di Garantex da parte del Dipartimento di Giustizia il 7 marzo 2025 , abbinata a sequestri di infrastrutture e congelamenti di beni coordinati con Germania e Finlandia , dimostra come procedimenti penali, sanzioni e strumenti di confisca civile possano compromettere l’utilità del routing in meno di 24 ore . Vedi Dipartimento di Giustizia degli Stati Uniti – “Garantex interrotto in operazione internazionale” ( 7 marzo 2025 ) . ( AML Intelligence )

L’integrazione di queste misure nelle operazioni quotidiane del VASP richiede manuali istituzionali che trattino i furti più gravi come incidenti di sicurezza nazionale: l’abbonamento agli avvisi IC3 , le linee di assistenza pre-autorizzate per le unità di informazione finanziaria e i protocolli di congelamento multipiattaforma possono essere codificati e testati attraverso esercitazioni congiunte, con percorsi di escalation allineati alle aspettative del GAFI e documentati nei collegi di vigilanza per il riconoscimento reciproco durante gli eventi in diretta. Vedere FBI IC3 PSA I-022625 ( 26 febbraio 2025 ) e FATF — “Virtual Assets (portale)” . ( Centro Reclami Crimini Informatici , fatf-gafi.org )

---

Copyright di debugliesintel.com
La riproduzione anche parziale dei contenuti non è consentita senza previa autorizzazione – Riproduzione riservata