Gli hack nel settore cripto nel 2025 e nei primi mesi del 2026 hanno superato ogni precedente record annuale per valore in dollari, con perdite fino a 3,4 miliardi di dollari in un panorama di bug negli smart contract, compromissioni della supply chain, manipolazioni degli oracoli, furti di chiavi e sabotaggi di natura politica che, nel loro insieme, hanno messo in luce come i punti di fiducia concentrata — non solo il cattivo codice — restino la vulnerabilità più pericolosa dell’industria.
Lo stato degli hack cripto nel 2025–2026
I numeri sono difficili da contestare, anche se variano a seconda della metodologia.
Chainalysis ha stimato che i furti totali di criptovalute nel 2025 abbiano raggiunto i 3,4 miliardi di dollari, rendendolo l’anno peggiore di sempre. TRM Labs e TechCrunch hanno separatamente riportato una cifra di 2,7 miliardi di dollari. CertiK ha pubblicato il suo conteggio per il primo semestre 2025 a 2,47 miliardi di dollari su 344 incidenti, superando già il totale dell’intero 2024, pari a 1,98 miliardi di dollari di perdite nette.
Per contesto, TRM Labs aveva calcolato che nel 2024 erano stati rubati 2,2 miliardi di dollari in tutti gli hack legati alle criptovalute. Ciò significa che solo i primi sei mesi del 2025 hanno superato l’intero anno precedente.
Ciò che rende questo periodo distintivo non è il numero di incidenti. È la concentrazione.
Immunefi ha riportato che il primo trimestre 2025 è stato il peggiore trimestre della storia per gli hack nel cripto, con 1,64 miliardi di dollari persi in appena 40 eventi — un aumento di 4,7 volte rispetto al Q1 2024. Solo due incidenti, Bybit e Cetus, hanno rappresentato circa 1,78 miliardi di dollari, ovvero il 72 percento del totale del primo semestre secondo CertiK.
Le categorie di attacco non sono cambiate molto. Exploit di smart contract, manipolazioni degli oracoli, compromissione di chiavi private, errori operativi degli exchange e cyberattacchi sponsorizzati dagli stati sono tutti presenti. Ciò che è cambiato è la scala. La dimensione media degli hack è raddoppiata nel primo semestre 2025 rispetto allo stesso periodo dell’anno precedente, e i danni si sono concentrati pesantemente in una manciata di eventi catastrofici.
Il filo conduttore che unisce i casi peggiori descritti di seguito non è la complessità. È la fiducia — concentrata in singole chiavi, singoli fornitori, singole strutture di governance o singoli venue di liquidità.
Da leggere anche: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: come un mint non coperto ha trasformato una stablecoin in una crisi di bilancio
Il 22 marzo 2026, un attaccante ha compromesso una chiave privata privilegiata conservata nell’AWS Key Management Service di Resolv e l’ha utilizzata per autorizzare due operazioni di mint fortemente gonfiate sulla stablecoin USR del protocollo.
La prima ha creato 50 milioni di USR contro un deposito di circa 100.000 dollari in USDC (USDC). La seconda ha generato altri 30 milioni.
In totale, circa 80 milioni di token non coperti sono entrati in circolazione. La chiave di mint era un singolo externally owned account — non un multisig — e il contratto non prevedeva limiti massimi di mint, controlli tramite oracolo o validazione degli importi.
L’attaccante ha convertito gli USR creati, passando tramite wstUSR e stablecoin, in circa 11.400 Ether (ETH), per un valore di circa 24–25 milioni di dollari. Il prezzo di USR è crollato fino a 0,025 dollari su Curve Finance in 17 minuti — un calo del 97,5 percento.
Ciò che rende gli exploit sulle stablecoin particolarmente dannosi è che mettono immediatamente a nudo se la collateralizzazione è reale o fragile.
Il pool di collateral originale del protocollo, pari a circa 95 milioni di dollari, è rimasto tecnicamente intatto, ma con 80 milioni di nuovi token non coperti in circolazione, Resolv si è ritrovata con circa 95 milioni di dollari di attivi contro circa 173 milioni di dollari di passività. I protocolli DeFi tra cui Aave, Morpho, Euler, Venus e Fluid hanno adottato misure precauzionali per isolare la loro esposizione.
La reazione a catena — exploit, vendite forzate, perdita del peg, squilibrio tra attivi e passivi, panico — si è dispiegata in meno di un giorno.
Da leggere anche: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: il mega-breach da 1,5 miliardi che ha definito l’anno
Nessun singolo evento nella storia dei furti di criptovalute è paragonabile, in termini di dollari, a ciò che è accaduto a Bybit il 21 febbraio 2025.
L’investigatore on-chain ZachXBT ha segnalato per primo flussi in uscita sospetti superiori a 1,46 miliardi di dollari dal cold wallet Ethereum (ETH) dell’exchange. L’FBI ha in seguito attribuito il furto al cluster TraderTraitor della Corea del Nord, parte del Lazarus Group, e ha fissato la cifra a circa 1,5 miliardi di dollari.
Sono stati rubati circa 401.347 ETH. Una quantità superiore alla somma dei hack di Ronin Network e Poly Network, in precedenza i due più grandi della storia del cripto.
La violazione non è stata un fallimento del codice di Bybit. Le indagini forensi di Sygnia e Verichains hanno ricondotto la causa principale a una compromissione della supply chain di Safe{Wallet}, una piattaforma multisig di terze parti. Gli attaccanti hanno compromesso una workstation macOS di uno sviluppatore di Safe già dal 4 febbraio, rubato token di sessione AWS e, il 19 febbraio, iniettato JavaScript malevolo nell’interfaccia web di Safe.
Il codice si attivava solo quando il cold wallet Ethereum specifico di Bybit iniziava una transazione. Tre dei sei firmatari del multisig hanno approvato la transazione senza accorgersi della manipolazione.
Il CEO di Bybit, Ben Zhou, ha confermato che l’exchange è rimasto solvibile, sostenuto da riserve pre-hack superiori a 16 miliardi di dollari. Nel giro di 72 ore, Bybit ha ripristinato le sue riserve in ETH tramite prestiti di emergenza da Galaxy Digital, FalconX, Wintermute e Bitget. Ma al 20 marzo, circa l’86 percento degli ETH rubati era stato convertito in Bitcoin (BTC) su quasi 7.000 wallet.
La lezione è chiara. Un solo venue, una sola violazione, un singolo evento — e il profilo delle perdite annue dell’intero settore cambia radicalmente. Alcuni dei peggiori fallimenti nel cripto avvengono proprio dove gli utenti danno per scontato che la scala equivalga a sicurezza.
Da leggere anche: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus su Sui: come un exploit da 223 milioni ha congelato un DEX di punta
Nel maggio 2025, Cetus, il più grande exchange decentralizzato sulla rete Sui (SUI), è stato colpito da un exploit che ha drenato circa 223 milioni di dollari dai suoi pool di liquidità. La causa principale è stato un bug di overflow di interi nella libreria matematica di liquidità concentrata del protocollo.
Una funzione confrontava valori rispetto a una soglia errata di un bit, permettendo all’attaccante di depositare un singolo token ma ricevere posizioni di liquidità del valore di milioni.
I validator di Sui hanno adottato la misura straordinaria di congelare circa 162 milioni di dollari di fondi rubati on-chain, mossa approvata da un voto di governance con il 90,9 percento di supporto. Circa 60 milioni erano già stati bridgeati su Ethereum prima del freeze.
Cetus ha ripreso le operazioni dopo 17 giorni di inattività, rifornendo i pool con i fondi recuperati, 7 milioni di dollari dalle proprie riserve di cassa e un prestito di 30 milioni di USDC dalla Sui Foundation.
Quando un venue di liquidità di punta si rompe, la credibilità dell’intera chain ne risente. Prezzi dei token, reputazione della chain, fiducia degli utenti e necessità di interventi di emergenza da parte degli attori dell’ecosistema — il raggio d’azione del danno va ben oltre il solo protocollo.
Da leggere anche: Brazil Freezes Crypto Tax Rules
GMX: perché un top venue di perpetual ha comunque perso oltre 42 milioni
Nel luglio 2025, GMX è stato sfruttato per oltre 42 milioni di dollari tramite una vulnerabilità di reentrancy cross-contract nella sua versione V1 su Arbitrum. La funzione responsabile dell’esecuzione degli ordini di chiusura accettava un indirizzo di smart contract come parametro invece di richiedere un normale wallet.
Durante la fase di rimborso in ETH, l’esecuzione passava al contratto malevolo dell’attaccante, consentendo una reentrancy che manipolava i dati di prezzo interni fino a circa 57 volte al di sotto del prezzo di mercato reale.
GMX ha offerto una ricompensa white hat del 10 percento, pari a circa 5 milioni di dollari, con una scadenza di 48 ore e una minaccia di azione legale. L’attaccante restituì circa 37,5–40,5 milioni di dollari in più tranche, trattenendo la ricompensa. In seguito GMX completed un piano di compensazione da 44 milioni di dollari per i detentori di GLP colpiti.
Il fatto che i fondi siano stati restituiti non significa che il sistema abbia funzionato. L’inquadramento come white-hat, le offerte di bounty e i recuperi parziali possono attenuare la reazione del mercato senza rimuovere il fallimento di sicurezza sottostante.
La vulnerabilità era stata ironicamente introdotta durante una patch del 2022 per un bug precedente. GMX V2 non è stato interessato.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: quando un hack crypto diventa guerra geopolitica
Nel giugno 2025, Nobitex, il più grande exchange di criptovalute iraniano, è stato hacked per circa 90 milioni di dollari su più blockchain, tra cui Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) e TON (TON).
Il gruppo di hacker filo-israeliano Gonjeshke Darande, noto anche come Predatory Sparrow, si è claimed assunto la responsabilità.
L’attacco è avvenuto durante ostilità militari attive tra Israele e Iran.
Non si è trattato di un furto a scopo finanziario. I fondi rubati sono stati sent verso vanity burner address contenenti messaggi anti-IRGC senza alcuna chiave privata recuperabile — bruciando di fatto 90 milioni di dollari come dichiarazione politica.
Il giorno successivo, gli attaccanti hanno released pubblicato l’intero codice sorgente di Nobitex, la documentazione dell’infrastruttura e la ricerca interna sulla privacy.
Alcuni hack nel mondo crypto non sono affatto attacchi mirati al profitto. Sono sabotaggio, segnalazione, o cyberwarfare. Questo li rende diversi dagli exploit di protocollo in praticamente ogni dimensione: motivazione, metodo, conseguenze e impossibilità di recupero. Nobitex ha reported dichiarato una ripresa parziale delle operazioni in seguito, ma i volumi delle transazioni in entrata sono crollati di oltre il 70 percento su base annua all’inizio di luglio.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: l’exploit che ha colpito il borrowing DeFi tramite i cauldron collegati a GMX
Il 25 marzo 2025, un attaccante ha drained svuotato circa 6.260 ETH — per un valore di circa 13 milioni di dollari — dai mercati di lending di Abracadabra Finance, noti come cauldron. I cauldron presi di mira usavano token di liquidity pool GMX V2 come collaterale, e l’exploit si basava su una tecnica di auto-liquidazione assistita da flash loan che sfruttava errori di tracciamento dello stato all’interno dei contratti gmCauldron.
I fondi rubati sono stati bridgeati da Arbitrum a Ethereum. PeckShield è stata tra le prime società di sicurezza a segnalare l’incidente. GMX ha confermato che i propri contratti non erano stati interessati.
Abracadabra ha offerto un bug bounty del 20 percento. Si è trattato del secondo grande hack del protocollo; un exploit da 6,49 milioni di dollari aveva hit colpito Abracadabra nel gennaio 2024.
L’episodio illustra il rischio di composability. Un protocollo può sembrare sicuro preso singolarmente, ma diventare vulnerabile tramite integrazioni e dipendenze.
Per gli utenti DeFi, ciò che sta “sotto il cofano” — quali tipi di collaterale un protocollo accetta, quali contratti esterni richiama — conta più del brand di alto livello in cui depositano.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid e JELLY: drama sulla struttura di mercato e interrogativi sulla centralizzazione
Il 26 marzo 2025, un attaccante ha opened aperto una posizione short da 4,1 milioni di dollari sul memecoin illiquido JELLY su Hyperliquid, insieme a due posizioni long di compensazione, quindi ha pompato il prezzo spot del token di oltre il 400 percento.
Quando lo short è stato liquidato, il vault automatizzato HLP di Hyperliquid ha ereditato la posizione in forte perdita, e le perdite non realizzate del vault hanno raggiunto circa 13,5 milioni di dollari.
I validator di Hyperliquid hanno quindi force-closed chiuso forzatamente tutte le posizioni su JELLY, regolando al prezzo di ingresso originale dello short dell’attaccante di 0,0095 dollari anziché ai 0,50 dollari riportati dagli oracle esterni.
La manovra è stata eseguita in due minuti e ha revealed rivelato che il protocollo si basava su soli quattro validator per set.
Lo scandalo qui non è solo la perdita.
La CEO di Bitget, Gracy Chen, ha definito pubblicamente Hyperliquid “FTX 2.0”. Il total value locked del protocollo è crollato da 540 milioni a 150 milioni di dollari nel mese successivo, e il token HYPE è sceso del 20 percento. In seguito Hyperliquid è upgraded passato al voto on-chain dei validator per le decisioni di delisting degli asset.
Cosa succede quando una venue “decentralizzata” agisce in modo centralizzato in una crisi? Questa domanda è utile per qualsiasi pubblico di ricerca anche quando la perdita in dollari è inferiore ai più grandi breach. Ha messo in luce una linea di faglia nella credibilità.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: rischio di infinite mint e perché la bassa liquidità può mascherare un bug più grande
Nel giugno 2025, Meta Pool ha suffered subito un exploit di smart contract che ha permesso a un attaccante di mintare 9.705 mpETH — per un valore di circa 27 milioni di dollari — senza depositare alcun collaterale in ETH.
La vulnerabilità risiedeva nella funzione di mint ERC-4626. L’attaccante ha aggirato il normale periodo di cooldown tramite la funzionalità di fast unstake del protocollo.
Ma la perdita effettiva è stata di soli circa 132.000 dollari. La liquidità esigua nelle relative pool di swap su Uniswap ha fatto sì che l’attaccante potesse estrarre solo 52,5 ETH.
Un bot MEV ha front-runnato parte dell’attacco, estraendo circa 90 ETH di liquidità che sono stati poi restituiti al protocollo. I 913 ETH originariamente messi in stake dagli utenti sono rimasti al sicuro presso gli operatori di SSV Network.
A volte il bug è molto peggiore della perdita realizzata. Il percorso di exploit in questo caso implicava danni teoricamente catastrofici, ma la scarsa liquidità ha limitato l’estrazione. Questa distinzione è importante per chi valuta il rischio DeFi, e dà a questo caso maggiore profondità rispetto a una semplice classifica per entità delle perdite in dollari.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: sostenuto da a16z, ma comunque sfruttato
Il 28 maggio 2025, Cork Protocol è stato exploited sfruttato per circa 12 milioni di dollari. L’attaccante ha estratto 3.761 wstETH sfruttando vulnerabilità nella logica beforeSwap del Cork Hook e controlli di accesso mancanti.
La causa principale è stata la mancanza di validazione degli input combinata con la creazione permissionless di mercati senza adeguate protezioni, che ha consentito all’attaccante di creare un mercato falso usando un token DS legittimo come asset di redenzione.
Cork aveva ricevuto investimenti da a16z crypto e OrangeDAO nel settembre 2024.
La lezione è semplice. Investitori istituzionali, supporto di venture capital di primo livello e branding curato non eliminano il rischio tecnico. I lettori non dovrebbero confondere la qualità del fundraising con la sicurezza del protocollo, e gli audit — per quanto approfonditi — non sono garanzie. Tutti i contratti sono stati immediatamente messi in pausa dopo la rilevazione, ma il denaro era ormai perso.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: la manipolazione degli oracle come debolezza ricorrente della DeFi
Nell’aprile 2025, KiloEx ha lost perso circa 7–7,5 milioni di dollari su Base, opBNB e BNB Smart Chain dopo che un attaccante ha sfruttato una vulnerabilità di access control nel contratto MinimalForwarder della piattaforma. Il difetto consentiva a chiunque di chiamare le funzioni di impostazione dei prezzi.
L’attaccante ha manipolato l’oracle per riportare un prezzo estremamente basso per ETH — 100 dollari — quando apriva posizioni con leva, quindi ha chiuso a 10.000 dollari.
KiloEx ha offered offerto un white-hat bounty del 10 percento, pari a 750.000 dollari. Quattro giorni dopo, l’attaccante ha restituito tutti i fondi rubati e KiloEx ha annunciato che non avrebbe intrapreso azioni legali.
La piattaforma è ripartita dopo una pausa di 10 giorni e ha published pubblicato un piano di compensazione per gli utenti le cui operazioni erano rimaste aperte durante l’interruzione.
Questo è il caso più lineare per spiegare il rischio degli oracle. Dati di prezzo errati possono permettere agli attaccanti di aprire e chiudere posizioni a valori falsati. Molti exploit presentati come sofisticati sono ancora costruiti su vecchi “mattoni di base”: feed di prezzo difettosi, assunzioni prevedibili, scarsa validazione. La manipolazione degli oracle rimane una delle debolezze più persistenti della DeFi.
Also Read: Gold's WorstWeek Since 1983
Cosa rivela il modello
I 10 casi sopra citati differiscono per meccanismo, scala e motivazione. Ma condividono uno schema strutturale.
Gli incidenti finanziariamente più devastanti — Bybit e Resolv — non sono stati causati affatto da bug on-chain. Sono stati fallimenti a livello di infrastruttura: in un caso, una macchina di sviluppo compromessa, nell’altro, un’unica chiave di minting non protetta conservata in un’infrastruttura cloud. I danni in entrambi i casi sono stati catastrofici proprio perché esistevano punti di fiducia centralizzata dove gli utenti presumevano che non ci fossero.
Gli exploit a livello di protocollo come Cetus e GMX hanno effettivamente coinvolto bug nel codice, ma il raggio d’azione è stato determinato dalle risposte di governance — se i validatori potessero congelare i fondi, se le negoziazioni per le bounty avessero successo e se gli attori dell’ecosistema intervenissero con finanziamenti di emergenza.
Nobitex non è stato un exploit di protocollo in alcun senso significativo; è stato un atto di sabotaggio geopolitico.
Il quadro complessivo non è incoraggiante. Meno incidenti non significano meno danni. La gravità media è in aumento. La sola Corea del Nord ha accounted per oltre 2 miliardi di dollari di furti nel 2025, un aumento del 51 percento anno su anno.
Il perimetro di sicurezza che conta di più nel crypto si è spostato dalla logica on-chain all’infrastruttura off-chain, alla gestione delle chiavi e alla sicurezza operativa umana.
Per utenti retail, investitori in token e team di protocollo, i dati suggeriscono la stessa conclusione. La domanda non è più se gli smart contract di un protocollo siano stati auditati. La domanda è dove si concentra la fiducia — e cosa succede quando quella fiducia si rompe.
Read Next: Bitcoin Mining Difficulty Falls 7.76%