Crisi di Sicurezza nel Settore DeFi
Il settore della finanza decentralizzata (DeFi) e delle criptovalute continua a fronteggiare una grave crisi di sicurezza, con hacker che drenano miliardi dai protocolli a un ritmo allarmante. Solo nella prima metà del 2025, gli exploit nel settore crypto hanno raggiunto i 2,1 miliardi di dollari, quasi eguagliando tutte le perdite totali del 2024 e mettendo l’industria sulla buona strada per infrangere i precedenti record annuali.
Tuttavia, in mezzo a questo caos, sta emergendo una narrativa diversa. I programmi di bug bounty stanno dimostrando che incentivare gli hacker etici può cambiare radicalmente l’economia della cybersecurity, rendendo la difesa più redditizia dell’attacco. Il concetto è semplice ma rivoluzionario: invece di aspettare che attori malintenzionati sfruttino le vulnerabilità, i protocolli pagano gli hacker white hat per trovare e segnalare i difetti prima che possano essere sfruttati.
La Rivoluzione della Difesa da $25 Milioni
I protocolli DeFi hanno perso oltre 1,4 miliardi di dollari a causa di hack nel 2024, con incidenti significativi come l’exploit DMM da 300 milioni di dollari e la violazione di WazirX da 230 milioni di dollari. Il più grande attacco finora è avvenuto a Bybit all’inizio di quest’anno, dove sono stati completamente cancellati 1,4 miliardi di dollari.
Tuttavia, il rapporto 2024 di Hacken mostra una diminuzione del 40% delle perdite nella DeFi rispetto al 2023, attribuita in gran parte a misure di sicurezza migliorate, inclusi programmi di bug bounty più robusti. L’efficacia di questo approccio è stata dimostrata in modo drammatico quando i protocolli hanno prevenuto perdite massicce attraverso pagamenti strategici. Il più grande bounty software della storia, 10 milioni di dollari pagati da Wormhole per una vulnerabilità critica del ponte, ha probabilmente prevenuto miliardi di danni potenziali.
Immunefi, la principale piattaforma di bug bounty nel settore Web3, si trova al centro di questa trasformazione. L’azienda ha facilitato oltre 120 milioni di dollari in pagamenti di bounty e afferma di aver prevenuto più di 25 miliardi di dollari in hack potenziali su oltre 500 protocolli.
Capovolgere l’Economia della Cybersecurity
“Nel 2022, un white hat ha segnalato un bug critico nel contratto del ponte principale di Wormhole su Ethereum. Questo bug era un problema di auto-distruzione dell’implementazione di un proxy aggiornabile che avrebbe potuto portare a un potenziale blocco dei fondi degli utenti.”
Mitchell Amador, fondatore e CEO di Immunefi
Amador continua: “Lo hanno divulgato tramite il programma di bug bounty di Wormhole, ospitato da Immunefi, e abbiamo facilitato un pagamento di 10 milioni di dollari senza che i fondi degli utenti andassero persi. Questo è il più grande bounty software mai esistito: una somma di denaro che cambia la vita e che funge da incentivo per gli hacker a divulgare responsabilmente le vulnerabilità invece di sfruttarle.”
Le Uniche Sfide di Sicurezza di Web3
“L’aspetto della composabilità è particolarmente critico e spesso trascurato. Nella finanza tradizionale, i sistemi sono per lo più isolati, ma i protocolli DeFi sono progettati per interagire tra loro come blocchi Lego.”
Mitchell Amador
Amador sottolinea che questo crea una complessità esponenziale in cui una vulnerabilità in un protocollo può propagarsi attraverso un intero ecosistema. Dati recenti dall’analisi di Halborn mostrano che gli attacchi off-chain hanno rappresentato l’80,5% dei fondi rubati nel 2024.
Il Lato Umano delle Negoziazioni con gli Hacker
“Fare affidamento sul cambiamento di cuore di un hacker non è una strategia praticabile per la sicurezza dei protocolli.”
Mitchell Amador
Amador spiega che la realtà è che le negoziazioni post-exploit sono un’ultima risorsa, non una strategia di sicurezza. Ciò di cui DeFi potrebbe avere bisogno è un sistema in cui i ricercatori di sicurezza più abili non diventino mai attaccanti in primo luogo.
Minacce Emergenti e Quadri Legali
“La manipolazione degli oracoli è poco discussa. Gli attaccanti possono sfruttare feed di dati deboli per ingannare i contratti, drenando fondi o destabilizzando gli stablecoin.”
Mitchell Amador
Amador avverte che gli attacchi di manipolazione degli oracoli sfruttano una debolezza fondamentale nel modo in cui i protocolli DeFi ricevono dati esterni, rendendoli più difficili da rilevare e prevenire attraverso audit di sicurezza tradizionali.
Etica e Evoluzione Futura
“I nostri oltre 120 milioni di dollari in pagamenti dimostrano che gli incentivi finanziari funzionano.”
Mitchell Amador
Amador conclude che le aziende daranno priorità agli incentivi economici, collaborando con gli hacker come partner. Questo approccio collaborativo consentirà incentivi economici adeguati e meccanismi di governance trasparenti, e potrebbe eventualmente diventare lo standard per qualsiasi organizzazione crypto che cerca di proteggere la propria piattaforma.
Informazioni su Amador
Mitchell Amador è il fondatore e CEO di Immunefi, una piattaforma di sicurezza on-chain, che collabora con protocolli come Chainlink, Ethereum Foundation, Optimism e Arbitrum.
