I protocolli di finanza decentralizzata (DeFi) hanno perso $92,5 milioni in 15 incidenti di hacking separati nell’aprile del 2025. Secondo l’ultimo rapporto mensile della società di sicurezza blockchain Immunefi, ciò rappresenta un aumento del 27,3% su base annua rispetto ad aprile 2024 e più del doppio delle perdite di marzo 2025 di $41,4 milioni.
Questo preoccupante aumento rafforza un consenso crescente tra i professionisti della sicurezza sul fatto che la base tecnica della DeFi rimane pericolosamente vulnerabile nonostante anni di attacchi di alto profilo e ripetuti avvisi da esperti di cybersicurezza. Le cifre di aprile contribuiscono a una statistica ancora più inquietante: le perdite totali di criptovalute da hack ed exploit nel 2025 hanno già raggiunto $1,74 miliardi - superando il totale annuale del 2024 di $1,49 miliardi in soli quattro mesi.
"Quello a cui stiamo assistendo non è solo un picco temporaneo ma una crisi di sicurezza fondamentale nel modo in cui i protocolli decentralizzati sono progettati, distribuiti e mantenuti", spiega Maria Chen, Principal Researcher presso ChainSecurity. "L'industria sta costruendo infrastrutture finanziarie sempre più complesse su codice che non è stato sottoposto allo stesso rigore dei sistemi finanziari tradizionali."
Gli attacchi di aprile hanno colpito principalmente reti blockchain consolidate, con il 100% degli attacchi classificati come exploit tecnici anziché attacchi basati su ingegneria sociale o frode. Tra i 15 incidenti documentati, alcuni si distinguono sia per la loro grandezza che per i vettori di attacco sofisticati impiegati:
Protocollo UPCX: $70 Milioni
La violazione più grande del mese ha colpito UPCX, un protocollo di pagamenti cross-chain che aveva accumulato oltre $300 milioni in valore totale bloccato (TVL) fin dal suo lancio a fine 2024. Il 12 aprile, gli attaccanti hanno identificato una vulnerabilità critica nel meccanismo di verifica dei messaggi cross-chain del protocollo.
Secondo le analisi forensi preliminari della società di intelligence blockchain Chainalysis, l'exploit ha sfruttato un sottile difetto nel modo in cui UPCX validava le firme delle transazioni su diverse chain compatibili EVM. Gli attaccanti hanno eseguito un attacco di precisione durante un periodo di alta congestione di rete, bypassando i passaggi di verifica e autorizzando prelievi fraudolenti da più pool di liquidità simultaneamente.
"L'attacco a UPCX dimostra come i ponti cross-chain continuino a rappresentare alcune delle infrastrutture più vulnerabili nell'ecosistema", osserva Thomas Walton-Pocock, fondatore di Optimism Security Labs. "Nonostante numerosi esempi storici di exploit sui ponti che risalgono agli attacchi a Wormhole e Ronin del 2022, i progetti continuano a sottovalutare la complessità della messaggistica cross-chain sicura."
UPCX ha annunciato un piano di compensazione per gli utenti colpiti, sebbene i dettagli restino in sospeso mentre le indagini continuano.
KiloEx: $7,5 Milioni
KiloEx, un exchange decentralizzato focalizzato sul trading di opzioni, ha perso $7,5 milioni il 19 aprile tramite quello che sembra essere stato un sofisticato attacco di manipolazione degli oracoli di prezzo. L'attaccante ha sfruttato una temporanea riduzione della liquidità in uno dei mercati di riferimento di KiloEx, manipolando il prezzo percepito dei contratti di opzioni KETH/ETH.
Prima ha artificialmente abbassato il prezzo dell'oracolo attraverso una serie di trade coordinati su più piattaforme, poi ha sfruttato il meccanismo di liquidazione automatica di KiloEx, riuscendo a acquistare contratti di opzioni fortemente scontati prima che il prezzo dell'oracolo si ripristinasse.
"Gli attacchi agli oracoli stanno diventando sempre più metodici," osserva Samczsun, un rispettato ricercatore di sicurezza presso Paradigm. "Gli attaccanti moderni comprendono la microstruttura del mercato e possono orchestrare condizioni che tecnicamente non violano nessuna regola di sistema individuale, ma creano comunque opportunità di arbitraggio sfruttabili tra protocolli interconnessi."
Altri Incidenti Significativi
Gli altri exploit di aprile hanno collettivamente totalizzato perdite per $15 milioni:
- Loopscale: $5,8 milioni persi quando gli aggressori hanno sfruttato una vulnerabilità di rientro nel contratto di prestito
- ZKsync: $5,0 milioni drenati attraverso un difetto in un circuito di verifica della prova a conoscenza zero
- Term Labs: $1,5 milioni rubati tramite valori di ritorno non controllati nelle interazioni con contratti intelligenti
- Missione Bitcoin: $1,3 milioni in BTC wrappato presi tramite controlli di accesso impropri
- The Roar: $790.000 persi tramite manipolazione di prestiti lampo
- Impermax: $152.000 drenati via errori di arrotondamento di precisione nei calcoli dei premi
- Zora: $140.000 in asset NFT compromessi attraverso la manipolazione dei metadati
- ACB: $84.000 persi a causa di funzioni di inizializzazione non protette
Ethereum Ancora il Bersaglio Principale
La distribuzione degli attacchi tra le reti blockchain rivela vulnerabilità persistenti anche negli ecosistemi consolidati. Ethereum è rimasto il bersaglio principale, rappresentando cinque incidenti (33,3% del totale), mentre la BNB Chain ha subito quattro attacchi (26,7%). Base, la soluzione layer-2 di Coinbase, ha visto tre exploit significativi (20%), segnando una tendenza preoccupante per la rete relativamente nuova.
"Gli attaccanti vanno dove c'è il denaro, ma danno anche priorità alle reti con punti di integrazione sfruttabili," spiega la Dott.ssa Jenna Rodriguez, professore di crittografia presso il MIT. "Il TVL dominante di Ethereum lo rende un obiettivo perpetuo, ma stiamo assistendo a un'attenzione crescente sulle reti layer-2 come Base proprio perché stanno implementando tecnologie nuove che non sono state testate a sufficienza."
Gli altri incidenti hanno colpito Arbitrum, Solana, Sonic e ZKsync, indicando che nessun ecosistema blockchain è immune alle violazioni della sicurezza. L'incidente singolo di Solana rappresenta un miglioramento significativo rispetto agli anni precedenti, quando la rete ha subito molteplici exploit di alto profilo.
Contesto Storico
Per apprezzare appieno la gravità delle cifre di aprile, è essenziale fornire un contesto storico. I dati di Chainalysis e CipherTrace indicano che le perdite annuali cripto da attacchi hanno seguito una traiettoria preoccupante:
- 2019: $370 milioni
- 2020: $520 milioni
- 2021: $3,2 miliardi
- 2022: $3,8 miliardi
- 2023: $1,7 miliardi
- 2024: $1,49 miliardi
- 2025 (Gen-Apr): $1,74 miliardi
Il ritmo accelerato di quest’anno suggerisce che il 2025 potrebbe potenzialmente superare il record stabilito nel 2022, quando il collasso di Terra/Luna e il conseguente contagio hanno creato una vulnerabilità senza precedenti nell'ecosistema.
"Ciò che è particolarmente preoccupante della corrente ondata di exploit è che avvengono durante un periodo di stabilità del mercato," nota Michael Lewellen, ex responsabile della sicurezza presso Aave. "A differenza del 2022, quando il caos del mercato e le cascata di liquidazioni hanno creato circostanze eccezionali, questi attacchi stanno riuscendo contro protocolli che operano in condizioni normali."
Q1 2025: Preparando il Terreno per l’Aumento di Aprile
Gli exploit di aprile si basano su un primo trimestre già devastante. L'anno è iniziato con uno dei più grandi hack singoli nel mondo della criptovaluta, quando Bybit, un grande exchange centralizzato, ha perso $1,46 miliardi dopo che gli hacker hanno compromesso diverse chiavi private dei portafogli caldi. Sebbene tecnicamente non sia un exploit DeFi, l’incidente di Bybit ha evidenziato persistenti debolezze nelle soluzioni di custodia nell'intero ecosistema cripto.
Altri exploit significativi del primo trimestre includono:
- Protocollo Infini: $50 milioni persi attraverso un attacco di arbitraggio complesso che coinvolgeva più piattaforme di prestito
- zkLend: $9,5 milioni rubati tramite un attacco di prestito lampo che manipolava i valori di collateralizzazione
- Ionic: $8,5 milioni drenati dopo che gli attaccanti hanno ottenuto accesso a funzioni privilegiate attraverso l'ingegneria sociale
Combinati con le cifre di aprile, questi incidenti dipingono il quadro di un'industria che lotta per proteggersi da minacce sempre più sofisticate.
L’Evoluzione dei Vettori di Attacco
I ricercatori di sicurezza hanno notato una netta evoluzione nei metodi di attacco tra il 2024 e il 2025. I primi exploit DeFi spesso prendevano di mira difetti ovvi: funzioni amministrative non protette, chiavi codificate, o semplici vulnerabilità di rientro. Gli attacchi di oggi dimostrano una complessità significativamente maggiore.
"Gli exploit moderni della DeFi puntano sempre più alle assunzioni matematiche alla base del design del protocollo piuttosto che agli errori di implementazione semplici," spiega la Dott.ssa Neha Narula, Direttrice dell'iniziativa per la moneta digitale al MIT. "Gli attaccanti stanno trovando casi limite nei modelli economici, sfruttando squilibri temporanei tra più protocolli e sfruttando interazioni sottili tra sistemi supposti indipendenti."
I comuni vettori di attacco negli ultimi mesi includono:
Vulnerabilità delle Prove a Conoscenza Zero
Man mano che i rollup ZK e le soluzioni di privacy guadagnano adozione, gli attacchi che mirano alle loro fondamenta crittografiche sono aumentati. La perdita da $5 milioni di ZKsync ad aprile esemplifica come anche i sistemi matematicamente rigorosi possano contenere difetti sfruttabili nella loro implementazione.
Exploit dei Ponti Cross-Chain
Nonostante anni di avvertimenti, i protocolli di ponte che collegano diverse blockchain rimangono vulnerabili. La perdita da $70 milioni di UPCX si unisce a una lunga lista di exploit sui ponti, inclusi attacchi storici a Wormhole ($320 milioni), Ronin ($620 milioni), e Nomad ($190 milioni).
Manipolazione degli Oracoli
Gli attacchi agli oracoli di prezzo sono diventati sempre più sofisticati, con gli aggressori che orchestrano complesse manipolazioni di mercato su più piattaforme per distorcere temporaneamente i feed di prezzo.
Attacchi di Governance
Sebbene non prevalenti ad aprile, gli exploit dei meccanismi di governance rappresentano una crescente preoccupazione. Recenti attacchi hanno preso di mira i sistemi di voto, consentendo agli attaccanti di ottenere il controllo decisionale tramite prestiti flash o altri accumuli temporanei di risorse.
Risposta Istituzionale: L'Industria si Adatta
L'industria delle criptovalute non è rimasta passiva di fronte alle crescenti sfide di sicurezza. Diverse risposte istituzionali sono emerse:
Standard di Audit Migliorati
Le principali aziende di audit come Trail of Bits, OpenZeppelin e Consensys Diligence hanno sviluppato metodologie più complete che vanno oltre il controllo del codice per includere simulazioni di attacco economico e formal. Content: verifica.
“Stiamo osservando che i protocolli richiedono audit molto più approfonditi rispetto a un anno fa”, riferisce Yan Michalevsky, fondatore dell'azienda di sicurezza Ottersec. “I progetti ora effettuano tipicamente più audit indipendenti, verifica formale dove applicabile e simulazioni economiche prima del lancio.”
Soluzioni Assicurative
I protocolli assicurativi on-chain come Nexus Mutual e InsurAce hanno ampliato le loro opzioni di copertura, sebbene i premi siano aumentati notevolmente in risposta alla crescente frequenza delle richieste di indennizzo. A maggio 2025, circa $500 milioni in asset DeFi hanno una qualche forma di copertura sugli exploit, rappresentando ancora meno dell'1% del TVL totale nel DeFi.
Escalation della Ricompensa per Bug Bounty
Immunefi segnala che le ricompense per bug bounty sono aumentate in media del 64% anno su anno, con i pagamenti massimi per le vulnerabilità critiche che ora superano regolarmente $1 milione. A marzo 2025, un hacker white-hat ha ricevuto $2,5 milioni per aver identificato una vulnerabilità critica in Uniswap V4, il più grande pagamento di bug bounty nella storia delle criptovalute.
Attenzione Regolatoria
Gli organismi di regolamentazione di tutto il mondo hanno preso nota della crisi della sicurezza. Il quadro normativo dell'Unione Europea sui mercati delle cripto-attività (MiCA), completamente attuato all'inizio del 2025, ora richiede che i protocolli DeFi che operano in giurisdizioni europee soddisfino standard di sicurezza minimi.
Negli Stati Uniti, la SEC ha utilizzato le violazioni della sicurezza come giustificazione aggiuntiva per azioni di controllo contro i protocolli considerati offrire titoli non registrati. Il presidente della SEC Gary Gensler ha affermato di recente: “La frequenza di questi attacchi dimostra esattamente perché le protezioni per gli investitori devono estendersi a questi nuovi prodotti finanziari.”
Prevenzione Tecnica: La Strada da Seguire
Gli esperti di sicurezza concordano ampiamente su diversi miglioramenti tecnologici necessari per affrontare le cause profonde delle vulnerabilità nel DeFi:
Verifica Formale
Le tecniche di verifica formale, che dimostrano matematicamente la correttezza del codice rispetto alle specifiche, sono viste sempre più come essenziali per i componenti principali dei protocolli. Benché richiedano molte risorse, la verifica formale può eliminare intere classi di vulnerabilità.
“L'industria ha bisogno di andare oltre il modello audit-and-launch verso garanzie di sicurezza matematicamente provate”, sostiene Manuel Araoz, fondatore di Zeppelin Solutions. “Per i protocolli che gestiscono miliardi di fondi degli utenti, nulla di meno della verifica formale dovrebbe essere accettabile.”
Monitoraggio della Sicurezza Decentralizzato
I sistemi di monitoraggio runtime in grado di rilevare modelli di transazioni anomale stanno guadagnando terreno. I protocolli come Forta Network forniscono un monitoraggio decentralizzato che può segnalare attività sospette su più catene, consentendo potenzialmente risposte di emergenza più rapide.
Timelocks e Interruttori di Emergenza
L'implementazione di ritardi obbligatori per significativi movimenti di fondi e la sospensione automatica dei protocolli durante condizioni anomale potrebbero mitigare l'impatto di futuri exploit.
Framework di Sicurezza Standardizzati
Diversi gruppi industriali stanno sviluppando framework di sicurezza standardizzati specifici per il DeFi, tra cui l'alleanza DeFi Security Alliance di Open Zeppelin e il consorzio per la sicurezza dei contratti intelligenti dell'Ethereum Foundation.
Bilanciare Innovazione e Sicurezza
I dati sugli exploit di aprile 2025 offrono un promemoria forte che le sfide di sicurezza della criptovaluta sono ancora pressanti. Con perdite dall'inizio dell'anno pari a $1,74 miliardi già superiori a tutto il 2024, l'industria affronta un punto di svolta critico.
“La sfida fondamentale che affronta il DeFi non è tecnica - è culturale”, conclude il Dr. Narula. “L'industria dà priorità alla velocità dell'innovazione rispetto alla sicurezza, e finché questo equilibrio non cambierà, continueremo a vedere questi titoli.”
Affinché il DeFi raggiunga l'adozione mainstream e la partecipazione istituzionale, le pratiche di sicurezza devono maturare per corrispondere all'enorme responsabilità finanziaria che questi protocolli hanno assunto. L'innovazione senza permesso che ha alimentato l'evoluzione rapida della criptovaluta deve essere bilanciata con pratiche di sicurezza rigorose appropriate per un'infrastruttura finanziaria che gestisce miliardi di fondi degli utenti.
Man mano che l'industria entra nel secondo terzo del 2025, tutti gli occhi saranno puntati su se i protocolli riusciranno a implementare misure di sicurezza più robuste senza sacrificare l'apertura e la composabilità che rendono il DeFi rivoluzionario. Il risultato di questa sfida tecnica e culturale determinerà probabilmente se la finanza decentralizzata diventerà un sistema finanziario globale trasformativo o rimarrà perpetuamente vulnerabile agli exploit.