Bitcoin Depot hackerata, sottratti 50 BTC - furto da 3,6 milioni di dollari

Cinquanta bitcoin. Poco più di cinquanta, per la precisione: 50,903 BTC, equivalenti a circa 3,665 milioni di dollari. Tanto è bastato a un attaccante sconosciuto per mettere a nudo la fragilità strutturale di uno dei più grandi operatori di ATM Bitcoin al mondo. Bitcoin Depot, società quotata al NASDAQ con il ticker BTM e responsabile di oltre 25.000 sportelli automatici e punti BDCheckout, ha reso pubblica la violazione. L'incidente risale al 23 marzo scorso: l'azienda ha impiegato più di due settimane per comunicarlo formalmente al mercato.

Come è avvenuto l'attacco

Dal documento depositato presso la SEC emerge che il 23 marzo 2026 Bitcoin Depot ha rilevato attività sospette sui propri sistemi informatici interni. L'indagine ha stabilito che un soggetto non autorizzato era riuscito a sottrarre le credenziali di accesso ai conti di regolamento degli asset digitali dell'azienda. Le chiavi del caveau, in sostanza.

Con quelle credenziali in mano, l'attaccante ha trasferito i 50,903 BTC dai wallet controllati dalla società senza alcuna autorizzazione. La natura stessa di Bitcoin ha fatto il resto: la transazione, una volta confermata sulla blockchain, è irreversibile. Non esiste un numero verde da chiamare, non c'è un intermediario che possa annullare il movimento. I fondi sono spariti.

Bitcoin Depot dichiara di aver «prontamente attivato i protocolli di risposta all'incidente, coinvolto esperti esterni di sicurezza informatica e notificato le forze dell'ordine». L'accesso dell'attaccante sarebbe stato bloccato dopo il trasferimento. L'azienda sostiene che la violazione sia rimasta confinata all'ambiente aziendale e che le piattaforme rivolte ai clienti, i loro dati e i sistemi operativi degli sportelli non siano stati compromessi.

Un precedente scomodo

La rassicurazione suona meno convincente se si considera il curriculum recente di Bitcoin Depot in materia di sicurezza. A luglio 2025, la società aveva notificato oltre 26.000 persone di una precedente violazione dei dati personali, avvenuta circa un anno prima, attorno alla metà del 2024. In quell'occasione erano stati esposti nomi, numeri di telefono, indirizzi email, date di nascita, indirizzi fisici e numeri di patente. La comunicazione era arrivata con un anno di ritardo, giustificato dall'azienda con un'indagine delle forze dell'ordine in corso.

Due incidenti significativi in meno di due anni per una società che nel 2025 ha dichiarato ricavi per 615 milioni di dollari e si presenta come il più grande operatore di Bitcoin ATM negli Stati Uniti. Non è un dettaglio trascurabile.

Il problema strutturale degli operatori centralizzati

Il caso Bitcoin Depot illustra un paradosso che attraversa l'intero settore dei servizi cripto centralizzati. Bitcoin nasce come sistema decentralizzato, progettato per eliminare i singoli punti di rottura (single point of failure). Ma nel momento in cui un'azienda gestisce migliaia di sportelli e concentra i fondi in wallet aziendali protetti da credenziali tradizionali, quel singolo punto di rottura si ricrea. La sicurezza dell'intera rete di ATM dipende dalla robustezza dell'infrastruttura IT interna dell'operatore. Se quella cade, i fondi escono dalla porta in pochi minuti e non tornano indietro.

Il vettore di attacco - furto di credenziali per accedere ai conti di regolamento - non è nemmeno particolarmente sofisticato. Nessun exploit crittografico, nessuna vulnerabilità nel protocollo Bitcoin: solo un accesso non autorizzato a sistemi IT aziendali, lo stesso tipo di attacco che colpisce banche, ospedali e aziende di ogni settore. La differenza cruciale è che nel mondo cripto non esiste la possibilità di stornare la transazione.

Impatto finanziario e incognite

Bitcoin Depot ha registrato una stima preliminare della perdita pari a circa 3,665 milioni di dollari, calcolata sul valore di mercato dei Bitcoin trasferiti alla data dell'incidente. L'azienda afferma che l'attacco non ha avuto un impatto materiale sulle operazioni correnti, ma ammette che potrebbero derivarne costi reputazionali, legali, di risposta all'incidente e regolamentari.

Sul fronte assicurativo, la società dichiara di disporre di una copertura che «potrebbe coprire alcune perdite associate a incidenti di sicurezza informatica», precisando però che «non vi è garanzia che tale copertura sia sufficiente a recuperare tutte le perdite subite». Tradotto dal linguaggio aziendale: non sanno ancora se l'assicurazione pagherà in toto o solo in parte.

Un contesto più ampio

La notizia arriva a pochi giorni di distanza da un altro attacco di portata ben maggiore: il furto di 285 milioni di dollari dalla piattaforma DeFi Drift, attribuito a gruppi riconducibili alla Corea del Nord. Le due vicende sono tecnicamente molto diverse - un operatore ATM centralizzato da un lato, un protocollo di finanza decentralizzata dall'altro - ma condividono un denominatore comune: la velocità con cui i fondi in criptovaluta possono essere sottratti una volta che le difese perimetrali cedono, e l'impossibilità pratica di recuperarli.

Per Bitcoin Depot, la questione più urgente non riguarda tanto i 3,6 milioni persi - una cifra gestibile per un'azienda con 615 milioni di ricavi - quanto la fiducia. Due violazioni in due anni, la seconda con sottrazione diretta di fondi. Chi inserisce contante in un ATM Bitcoin Depot vuole sapere che i sistemi dietro quello sportello sono solidi. La risposta ufficiale dell'azienda è che «le piattaforme dei clienti non sono state interessate»: il fatto che le credenziali dei wallet aziendali fossero raggiungibili dall'ambiente IT compromesso è però di per sé un segnale che qualcosa, nell'architettura di sicurezza, non ha funzionato come avrebbe dovuto.

Fonti: bleepingcomputer.com, securityweek.com