Perdite nel Settore delle Criptovalute nel 2025
Nel 2025, oltre 3,1 miliardi di dollari in criptovalute sono stati persi a causa di problematiche come bug nei contratti intelligenti, vulnerabilità nel controllo degli accessi, rug pulls e truffe, secondo un rapporto dell’auditor di sicurezza blockchain Hacken. Questa cifra per la prima metà del 2025 supera il totale di 2,85 miliardi di dollari registrato nell’intero 2024. Sebbene l’hack di 1,5 miliardi di dollari subito da Bybit nel primo trimestre del 2025 possa essere considerato un caso isolato, il settore delle criptovalute continua a fronteggiare sfide significative.
La distribuzione dei tipi di perdita rimane sostanzialmente coerente con le tendenze osservate nel 2024. Gli exploit legati al controllo degli accessi sono stati il principale fattore di perdita, rappresentando circa il 59% del totale. Le vulnerabilità nei contratti intelligenti hanno contribuito a circa il 8% delle perdite, con 263 milioni di dollari rubati. Yehor Rudytsia, Responsabile di Forensics e Incident Response, ha dichiarato a Cointelegraph di aver osservato un significativo sfruttamento di GMX V1, con il suo codice obsoleto preso di mira a partire dal terzo trimestre del 2025. Rudytsia ha affermato:
“I progetti devono prendersi cura del loro vecchio codice se non hanno completamente fermato le operazioni.”
Vulnerabilità nelle Piattaforme DeFi e CeFi
Con la maturazione del settore crypto, gli attaccanti hanno spostato il focus dall’esploitare difetti crittografici a prendere di mira debolezze umane e a livello di processo. Queste tecniche sofisticate includono attacchi di blind signing, perdite di chiavi private e complesse campagne di phishing. Questo panorama in evoluzione evidenzia una vulnerabilità cruciale: il controllo degli accessi nelle criptovalute rimane una delle aree più sottosviluppate e ad alto rischio, nonostante i crescenti sistemi di protezione tecnica.
Le vulnerabilità nella sicurezza operativa sono state responsabili della maggior parte delle perdite, con 1,83 miliardi di dollari rubati tra piattaforme DeFi e CeFi. L’incidente di spicco nel secondo trimestre è stato l’hack di Cetus, dove 223 milioni di dollari sono stati drenati in soli 15 minuti, segnando il peggior trimestre per DeFi dall’inizio del 2023 e interrompendo una tendenza al ribasso di cinque trimestri nelle perdite legate agli exploit. Prima di questo, il quarto trimestre del 2024 e il primo trimestre del 2025 hanno visto una predominanza di fallimenti nel controllo degli accessi, oscurando la maggior parte degli exploit basati su bug.
Tuttavia, questo trimestre ha visto le perdite da controllo degli accessi in DeFi scendere a soli 14 milioni di dollari, il livello più basso dal secondo trimestre del 2024, sebbene gli exploit nei contratti intelligenti siano aumentati. L’attacco a Cetus ha sfruttato una vulnerabilità nel controllo di overflow nel calcolo della liquidità. L’attaccante ha utilizzato un prestito flash per aprire posizioni minime, quindi ha attraversato 264 pool. Se fosse stato implementato un monitoraggio in tempo reale del valore totale bloccato (TVL) con auto-pausa, fino al 90% dei fondi avrebbe potuto essere salvato, secondo Hacken.
Minacce Crescenti dall’Intelligenza Artificiale
L’intelligenza artificiale (IA) e i modelli di linguaggio di grandi dimensioni (LLM) sono profondamente integrati sia negli ecosistemi Web2 che Web3. Sebbene questa integrazione stimoli l’innovazione, amplia anche la superficie di attacco, introducendo nuove e in evoluzione minacce alla sicurezza. Gli exploit legati all’IA sono aumentati del 1.025% rispetto al 2023, con un incredibile 98,9% di questi attacchi legati a API insicure.
Inoltre, cinque importanti vulnerabilità e esposizioni comuni (CVE) legate all’IA sono state aggiunte all’elenco, e il 34% dei progetti Web3 ora utilizza agenti IA in ambienti di produzione, rendendoli un obiettivo crescente per gli attaccanti. I tradizionali framework di cybersecurity, come ISO/IEC 27001 e il National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF), sono mal equipaggiati per affrontare i rischi specifici dell’IA, come l’allucinazione del modello, l’iniezione di prompt e il avvelenamento dei dati avversari. Questi framework devono evolversi per offrire una governance completa che includa le sfide uniche poste dall’IA.
