Preoccupazioni per la Sicurezza delle Criptovalute
Le preoccupazioni per la sicurezza delle criptovalute si sono intensificate dopo che Manuel Aráoz, co-fondatore di OpenZeppelin, ha dichiarato di aver consigliato a familiari e amici di uscire da tutte le posizioni nel settore della finanza decentralizzata (DeFi), inclusa l’esposizione a importanti protocolli di prestito. In un post pubblicato martedì su X, Aráoz ha affermato di non considerare più “tutto il DeFi” sicuro, sostenendo che l’equilibrio tra attaccanti e difensori si è inclinato troppo a favore degli hacker. Anche le posizioni a rischio più basso legate a protocolli consolidati come Aave, MakerDAO e Compound sono state incluse nel suo avviso.
“PSA: ora considero tutto il DeFi insicuro. Gli attaccanti sono diventati sovrumani nel trovare vulnerabilità, e la sicurezza dei contratti intelligenti è troppo asimmetrica: i difensori devono correggere ogni bug, mentre gli attaccanti hanno bisogno solo di un exploit per rubare fondi”.
Descrivendo l’attuale stato della sicurezza dei contratti intelligenti, Aráoz ha sottolineato che gli attaccanti sono diventati “sovrumani nel trovare vulnerabilità”, mentre gli sviluppatori rimangono intrappolati in un sistema in cui “i difensori devono correggere ogni bug, mentre gli attaccanti hanno bisogno solo di un exploit per rubare fondi”.
“Ho consigliato privatamente a familiari e amici di uscire da tutte le posizioni DeFi, comprese le ‘blue chip’ a basso rischio come Aave, MakerDAO e Compound”.
Incidenti Recenti nel Settore DeFi
I commenti di Aráoz sono arrivati mentre l’industria delle criptovalute continua a far fronte a uno dei periodi più critici per gli exploit DeFi, dopo la violazione di Bybit da 1,5 miliardi di dollari nel febbraio 2025. I dati di DefiLlama hanno mostrato che circa 629,7 milioni di dollari sono stati rubati dai protocolli DeFi solo ad aprile, rendendolo il mese peggiore per gli hack legati alle criptovalute in oltre un anno. Due attacchi hanno rappresentato la maggior parte delle perdite. Tra i più gravi incidenti, il Drift Protocol ha perso circa 285 milioni di dollari dopo che gli attaccanti hanno utilizzato una campagna di ingegneria sociale durata sei mesi. Kelp DAO ha subito un altro exploit di 293 milioni di dollari legato a vulnerabilità nella sua infrastruttura di bridge cross-chain. I ricercatori di sicurezza e gli investigatori blockchain hanno ampiamente collegato entrambi gli attacchi a gruppi di hacking sostenuti dallo stato nordcoreano.
DefiLlama ha registrato 27 incidenti di exploit DeFi durante aprile. Allo stesso tempo, il valore totale bloccato nei protocolli DeFi è diminuito di circa il 14% rispetto ai livelli di metà aprile, passando da quasi 172 miliardi di dollari a circa 148 miliardi di dollari. La concentrazione delle perdite è derivata principalmente da debolezze legate ai bridge, fallimenti di accesso privilegiato e errori operativi, piuttosto che da bug di codifica isolati.
Al di fuori delle due violazioni più grandi, diversi attacchi più piccoli hanno continuato a colpire i protocolli durante il mese. Come riportato in precedenza da crypto.news, il Wasabi Protocol ha perso circa 5,5 milioni di dollari attraverso le reti Ethereum, Base, Blast e Berachain durante un exploit attivo. La piattaforma move-to-earn Sweat Economy ha anche riportato perdite di circa 3,46 milioni di dollari dopo che gli attaccanti hanno drenato quasi il 65% del suo pool di liquidità in meno di 30 secondi. Il progetto ha successivamente dichiarato che alcuni degli asset rubati erano stati congelati su MEXC mentre continuavano gli sforzi di recupero.
“Siamo lieti di confermare che TUTTI i saldi dei conti esterni sono stati completamente ripristinati e le operazioni sono tornate alla normalità. Apprezziamo profondamente il supporto e i consigli della comunità che ci hanno aiutato a risolvere rapidamente questa situazione”.
Attacchi Recenti e Sviluppi
Nel frattempo, sulla blockchain Sui, la piattaforma di trading decentralizzata Aftermath Finance ha perso quasi 1,1 milioni di dollari in USDC dalla sua piattaforma di perpetui. La società di sicurezza blockchain Blockaid ha dichiarato che l’attaccante ha effettuato 11 transazioni in circa 36 minuti. Blockaid ha rilevato e segnalato un exploit attivo su Perpetuals in cui l’USDC è stato drenato attraverso 11 transazioni in circa 36 minuti dall’attaccante 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e. L’exploit ha preso di mira un bug nel sistema.
Anche se maggio non ha prodotto perdite su scala simile a quelle viste ad aprile, gli incidenti di sicurezza hanno continuato a verificarsi nel settore DeFi. Tra i casi più recenti, il bridge Ethereum di Verus Network è stato sfruttato per 11,6 milioni di dollari. La piattaforma di mercato delle previsioni Polymarket ha anche rivelato una violazione di 573.200 dollari la scorsa settimana, che la società ha dichiarato potrebbe aver coinvolto una chiave privata compromessa legata a un portafoglio di ricarica interno.
