WazirX: come la Corea del Nord ha rubato 235 milioni di dollari agli indiani (e nessuno pagherà)

Il 18 luglio 2024, alle 9:04 ora di Mumbai, qualcuno ha iniziato a svuotare il wallet più grande di WazirX. Ventisei minuti dopo, 235 milioni di dollari erano spariti. A gennaio 2026, gli utenti tengono in mano token non negoziabili. I responsabili sono a Pyongyang.

WazirX hack 2024 - Lazarus Group Corea del Nord

1. Il colpo del secolo

Mumbai, 18 luglio 2024. WazirX è il principale exchange crypto dell'India — decine di milioni di utenti registrati, il punto di accesso al mercato cripto per una delle popolazioni più giovani del pianeta.

Alle 9:04 un wallet multi-firma autorizzato a gestire le riserve della piattaforma inizia a svuotarsi. Token dopo token: SHIB, ETH, MATIC, PEPE. Poi altri. Il ritmo è meccanico, rapido, preciso. Ventisei minuti. $235 milioni trasferiti verso indirizzi anonimi.

Gli utenti nel frattempo navigano normalmente. Le app mostrano i saldi. Alle 13:00 WazirX sospende i prelievi con un comunicato laconico: "problemi tecnici". Ore dopo arriva la conferma: "We are aware that one of our multisig wallets has been compromised."

Era il secondo hack più grande nella storia del crypto, superato solo dal furto di $625 milioni a Ronin Network nel 2022. La differenza: Axie Infinity e Sky Mavis hanno rimborsato gli utenti. WazirX no.

Schema wallet multisig WazirX: 3 firme WazirX + 1 firma Liminal Custody
Il wallet Safe multisig di WazirX richiedeva 4 firme per autorizzare ogni transazione

2. L'anatomia dell'hack

Il wallet colpito era un Safe multisig wallet. Safe richiede più firme digitali da dispositivi separati per autorizzare qualsiasi transazione. Tre firme su quattro appartenevano a WazirX. La quarta a Liminal Custody, il provider di custodia terzo scelto dall'exchange per aumentare la sicurezza operativa.

L'attacco ha sfruttato il meccanismo di upgrade del contratto Safe. Gli attaccanti hanno preparato una transazione di aggiornamento con un payload malevolo: anziché aggiornare il contratto con codice legittimo, sostituivano l'implementazione con una versione che trasferiva il controllo del wallet agli attaccanti stessi. Quando i firmatari autorizzati hanno approvato quella che sembrava un'operazione di manutenzione ordinaria, stavano firmando la propria rovina.

Tutte e quattro le firme hanno approvato. I fondi sono usciti.

Chainalysis, Elliptic, ZachXBT e Mandiant hanno analizzato l'attacco. I tre dispositivi hardware di WazirX usati per firmare erano puliti — nessuna compromissione rilevata. La manipolazione era avvenuta prima, nel layer di visualizzazione che mostrava ai firmatari la transazione da approvare.

3. La firma fantasma — il ruolo di Liminal Custody

Liminal Custody gestiva la quarta firma. Ma gestiva anche qualcosa di più rilevante: la piattaforma di interfaccia che WazirX usava per visualizzare e approvare le transazioni in uscita. I firmatari di WazirX vedevano quello che Liminal mostrava loro sullo schermo. Non quello che stava accadendo realmente on-chain.

Il 22 ottobre 2024 — 75 giorni dopo l'hack — Liminal ha rivelato un dettaglio che avrebbe dovuto fare notizia: WazirX aveva ancora $175 milioni depositati sulla propria piattaforma. Di questi, circa $50 milioni erano sotto controllo diretto di WazirX stessa. Un exchange appena derubato di $235 milioni che continuava a usare lo stesso custody provider per centinaia di milioni di dollari.

A settembre 2024, Liminal ha commissionato un audit a Grant Thornton. La conclusione: l'infrastruttura di Liminal era integra. Il breach era partito dal "client side" — cioè WazirX. Nischal Shetty, fondatore di WazirX, ha risposto a TheStreet con una dichiarazione precisa: "The cyber attack was not on the infrastructure of WazirX. It was a website we were using for managing these funds — Liminal's platform. We don't know what was happening behind the scenes of a different website."

Due audit. Due risultati opposti. Ognuno commissionato dalla parte che intendeva scagionare.

Il report ufficiale di WazirX sull'attacco, pubblicato il 28 luglio 2024
Il report ufficiale di WazirX sull'attacco, pubblicato il 28 luglio 2024 — Fonte: wazirx.com

4. Il Lazarus Group — quando dietro c'è Pyongyang

L'FBI, Chainalysis e ZachXBT hanno attribuito l'attacco al Lazarus Group, la cellula di hacker dell'intelligence militare nordcoreana (RGB, Reconnaissance General Bureau).

Il Lazarus Group ha rubato oltre $3 miliardi in criptovalute tra il 2017 e il 2024, secondo le stime del Tesoro americano. Quei fondi finanziano il programma nucleare e missilistico di Kim Jong-un, aggirando le sanzioni internazionali.

Il loro modus operandi è documentato e ricorrente. Mesi di preparazione: infiltrazione nelle organizzazioni bersaglio tramite falsi colloqui di lavoro con ingegneri software — una tecnica usata anche nell'attacco a Ronin — installazione di malware attraverso file condivisi durante i colloqui, mappatura dell'infrastruttura, identificazione dei punti deboli nel processo di firma.

I fondi rubati a WazirX hanno seguito il percorso standard Lazarus: wallet intermedi, poi Tornado Cash — il mixer di Ethereum sanzionato dall'OFAC nel 2022. Da Tornado Cash i fondi si disperdono in migliaia di micro-transazioni verso wallet puliti. $235 milioni. Recuperati: zero.

Wikipedia: attribuzione dell'attacco al Lazarus Group nordcoreano
Wikipedia: attribuzione dell'attacco al Lazarus Group nordcoreano — Fonte: wikipedia.org
WazirX: 45% dei fondi congelati per 4,4 milioni di utenti dopo l'hack del luglio 2024
Il piano di 'socializzazione delle perdite': il 45% dei saldi di ogni utente bloccato dal 9 agosto 2024

5. La socializzazione delle perdite — chi ha pagato il conto

WazirX non ha dichiarato fallimento. Ha fatto qualcosa di più sottile.

Il 9 agosto 2024, tre settimane dopo l'hack, l'exchange ha pubblicato il piano di "socializzazione delle perdite". Il 45% dei saldi di ogni utente veniva congelato immediatamente. Chi aveva 10.000 euro su WazirX poteva usarne 5.500. Gli altri 4.500 erano bloccati in attesa di un piano di recupero ancora da definire.

La logica: la perdita di $235 milioni viene distribuita proporzionalmente su tutta la base utenti, anziché concentrarsi sui detentori dei token specificamente rubati. Una forma di mutualizzazione forzata del rischio.

Il problema: un utente che teneva solo USDT o Bitcoin su WazirX — asset non toccati dall'hack — si è trovato ugualmente con il 45% dei fondi bloccati. La sua perdita non era operativa, era imposta.

WazirX Recovery Token distribution — gennaio 2026
WazirX, 9 gennaio 2026: distribuzione Recovery Token completata — Fonte: wazirx.com

6. Singapore, Recovery Token e la giustizia impossibile

WazirX opera attraverso Zettai Pte Ltd, società registrata a Singapore. Il 28 agosto 2024 ha presentato richiesta di moratoria alla Singapore High Court, ottenuta il 27 settembre 2024.

Parallelamente, 54 vittime dell'hack hanno portato il caso alla Corte Suprema dell'India. Il 16 aprile 2025, i giudici Gavai e Masih hanno respinto il ricorso: la regolamentazione delle criptovalute è materia politica, non giudiziaria.

Il piano di ristrutturazione approvato ad aprile 2025 ha ottenuto il 93,1% dei voti dei creditori. L'83% dei fondi non rubati viene redistribuito subito; per il resto ci sono i Recovery Token, distribuiti a gennaio 2026.

Tre problemi strutturali che il piano non risolve: i Recovery Token non sono scambiabili su nessun exchange — zero liquidità, zero prezzo di mercato indipendente. Vengono rivalutati ogni tre mesi da WazirX stessa, senza meccanismo esterno. Il piano non garantisce alcuna percentuale minima di recupero.

7. Il blame game — chi ha mentito

Quasi due anni dopo l'hack, cinque domande restano senza risposta pubblica credibile.

Quanto sapevano i dirigenti di WazirX prima della comunicazione agli utenti? L'attacco è avvenuto alle 9:04. I prelievi sono stati sospesi alle 13:00. Quattro ore in cui l'exchange era tecnicamente operativo e alcuni utenti hanno depositato fondi.

Perché l'interfaccia di Liminal mostrava dati difformi dalla blockchain? Se i firmatari WazirX vedevano una transazione legittima sullo schermo mentre on-chain accadeva qualcos'altro, il punto di compromissione era nell'interfaccia. Liminal non ha pubblicato log tecnici verificabili relativi all'incidente.

Chi ha approvato l'upgrade del contratto Safe e seguendo quale procedura? Un upgrade di contratto Smart è un'operazione ad alto rischio. La procedura interna di WazirX non è mai stata resa pubblica.

La struttura a Singapore era pensata per proteggere l'azienda dai creditori? La moratoria ha bloccato le azioni legali degli utenti per oltre un anno mentre WazirX operava e costruiva il proprio piano.

🔄 Aggiornamento maggio 2026

A quasi due anni dall'hack da $235 milioni del luglio 2024, la storia di WazirX ha trovato un nuovo capitolo — non necessariamente il finale.

Il 13 ottobre 2025, il Tribunale di Singapore ha sanzionato ufficialmente il piano di ristrutturazione di Zettai Pte Ltd (holding di WazirX). Undici giorni dopo, il 24 ottobre 2025, la piattaforma ha riaperto con zero commissioni di trading — fine di un blocco durato 16 mesi che aveva congelato i fondi di oltre 6,6 milioni di utenti.

Entro novembre 2025, WazirX ha completato la "Prima Distribuzione": gli utenti hanno ricevuto circa l'85% del loro credito approvato. Il restante 15% è stato convertito in Recovery Token (RT), allocati a tutti gli aventi diritto entro gennaio 2026.

Come funzionano i Recovery Token? Ogni trimestre, WazirX verifica i propri profitti netti. Se l'exchange realizza almeno $10 milioni di valore non vincolato nel periodo, una quota viene destinata al buyback degli RT. Se la soglia non viene raggiunta, l'accumulo si somma al trimestre successivo. In totale, 1 miliardo di RT sono stati distribuiti pro-rata tra i creditori. Il recupero potenziale finale stimato è tra il 75% e l'80% dei fondi persi — a condizione che la piattaforma continui a generare profitti.

Sul fronte Lazarus Group: delle somme rubate — $235 milioni in 45 minuti — meno di $3 milioni sono stati congelati o recuperati. I fondi nordcoreani restano per lo più irrintracciabili.

La storia di WazirX insegna qualcosa di amaro: anche quando la giustizia funziona, recuperare il maltolto da un gruppo hacker statale è quasi impossibile.

Fonti: WazirX Blog (ottobre–gennaio 2026), Singapore High Court, Cryptopolitan

8. Conclusione investigativa

Il furto a WazirX racconta qualcosa che vale la pena capire bene.

Il protocollo Safe non aveva vulnerabilità. La blockchain di Ethereum non è stata compromessa. La crittografia alla base delle firme digitali ha funzionato esattamente come previsto. L'attacco ha funzionato perché ha sfruttato il layer umano e infrastrutturale sopra la tecnologia: l'interfaccia che mostra le transazioni, il processo di revisione interno, la fiducia tra partner commerciali.

Lazarus Group ha rubato $235 milioni senza toccare un singolo algoritmo crittografico. Ha manipolato quello che le persone vedevano sullo schermo.

A gennaio 2026, gli utenti di WazirX tengono Recovery Token il cui valore dipende interamente dal futuro operativo di un'azienda che ha appena subito il secondo furto crypto più grande della storia. Lazarus Group ha già convertito i fondi. Il programma missilistico nordcoreano ha ricevuto un'iniezione di liquidità.

Chiunque detenga le tue chiavi private detiene i tuoi fondi. L'unica protezione reale contro il prossimo WazirX è non avere un prossimo WazirX a cui affidarsi.

Segugio / BitcoinMarket Research Analisi investigativa indipendente su hacking, frodi e incidenti crypto. Focus sulla tracciabilità on-chain e timeline documentata dei fatti.
← Torna al Magazine Migliori exchange 2026 →

Approfondisci: Alternative a WazirX: exchange sicuri 2026 | Migliori exchange Bitcoin 2026 | Tassazione crypto Italia 2026 | ETP Bitcoin in Borsa