Stagioni
Classifica
Notizie
Impara
Ricerca
Classifica
Ecosistema
Portafoglio
yellow banner logo
TRADING
PIATTAFORMA ORA LIVE
INIZIA ORA
yellow shooting stars
background stars

La crisi della sicurezza del Web3 nel 2026: perché i più grandi hack non sono più solo bug degli smart contract

profile-alexey-bondarev
Alexey Bondarev3 ore fa
#Web3 #DeFi #Hacker
La crisi della sicurezza del Web3 nel 2026: perché i più grandi hack non sono più solo bug degli smart contract

L’industria crypto ha perso un record di 3,4 miliardi di dollari in hack nel 2025, ma la storia decisiva non riguarda codice Solidity pieno di bug. Riguarda laptop di sviluppatori compromessi, credenziali cloud rubate, campagne di social engineering che durano mesi e wallet multisig senza timelock.

TL;DR

  • I fallimenti infrastrutturali e operativi hanno generato il 76% di tutte le perdite da hack crypto nel 2025, mentre gli exploit di smart contract hanno rappresentato solo il 12%
  • Gli hacker nordcoreani sponsorizzati dallo Stato hanno rubato 2,02 miliardi di dollari nel 2025, circa il 60% di tutti i furti crypto globali, usando tattiche di spionaggio invece che exploit di codice
  • Audit, bug bounty e qualità del codice on-chain stanno migliorando, ma la superficie d’attacco si è espansa ben oltre ciò che questi strumenti coprono

I numeri indicano che il problema si sta ampliando, non restringendo

Più aziende di sicurezza convergono sulla stessa conclusione: il 2025 è stato l’anno più costoso nella storia della sicurezza crypto. Chainalysis ha riportato 3,4 miliardi di dollari in fondi rubati, in aumento del 55% rispetto ai 2,2 miliardi del 2024. CertiK ha documentato 3,35 miliardi su 630 incidenti. Gli attacchi sono stati meno numerosi rispetto al 2024, ma il payout medio per incidente è salito del 66,6% a 5,32 milioni.

La concentrazione dei dati è estrema. I tre maggiori hack del 2025 hanno rappresentato il 69% di tutte le perdite a livello di servizio. Il breach di Bybit da solo ha sottratto 1,46 miliardi il 21 febbraio 2025, pari a circa il 43% di tutti i furti dell’anno.

Togliendo Bybit, le perdite del 2025 scendono a circa 1,5-1,9 miliardi di dollari. Restano elevate, ma più vicine ai livelli del 2024.

Il pattern rivela un settore in cui la sicurezza sistemica è migliorata per il protocollo medio, mentre i rischi catastrofici di coda dovuti a compromissioni infrastrutturali sono peggiorati drasticamente.

Il primo trimestre 2025 è stato il peggiore nella storia crypto. Immunefi ha tracciato 1,64 miliardi di dollari su 40 incidenti, un aumento di 4,7 volte rispetto ai 348 milioni del Q1 2024. Il CeFi ha rappresentato il 94% delle perdite del Q1, trainato da soli due incidenti: Bybit e Phemex (85 milioni).

Le perdite DeFi sono in realtà diminuite del 69% anno su anno nel Q1. La sicurezza del codice on-chain è realmente migliorata proprio mentre la sicurezza operativa crollava.

I dati dei primi mesi del 2026 mostrano il proseguimento del trend. CertiK ha riportato 501 milioni di dollari in perdite nel Q1 2026 su 145 eventi. L’hack di Drift Protocol del 1° aprile 2026 ha drenato 285 milioni in 12 minuti grazie a un’operazione di social engineering durata sei mesi. Gli attacchi sofisticati mirati alle persone restano il vettore di minaccia principale all’inizio del 2026.

Da leggere anche: Why The U.S. Treasury Is Now Sharing Cyber Threat Data With Crypto Firms

Makina Finance loses millions in Ethereum flash loan oracle exploit (Image: Shutterstock)

I bug degli smart contract contano ancora, ma non sono più tutta la storia

Le vulnerabilità degli smart contract restano la maggioranza degli incidenti per numero, rappresentando il 54,5% di tutti gli exploit. Diversi hack significativi a livello di codice nel 2025 e 2026 hanno dimostrato che i rischi tradizionali on-chain persistono e continuano a evolversi.

L’hack di Cetus Protocol (223 milioni, 22 maggio 2025) è stato un classico errore logico. Un overflow di intero in una libreria matematica condivisa chiamata “integer-mate” ha fatto sì che un controllo di overflow fallisse silenziosamente. L’attaccante ha mintato enormi posizioni di liquidità a costo trascurabile.

Cetus era stato sottoposto a tre audit da MoveBit, OtterSec e Zellic. L’audit di Zellic non aveva trovato problemi oltre a elementi informativi. La vulnerabilità risiedeva in una dipendenza di terze parti e non nel codice proprio di Cetus, illustrando come gli ecosistemi composabili ereditino i rischi dall’intero grafo delle dipendenze.

Altri exploit notevoli di smart contract includono:

  • La reentrancy di GMX v1 (42 milioni, luglio 2025), che dimostra come la reentrancy continui a mietere vittime tramite varianti cross-contract più recenti
  • L’exploit di arrotondamento di Balancer (da 70 a 128 milioni, novembre 2025), che ha accumulato minuscole differenze di arrotondamento su centinaia di batch swap in una classe di attacco economico che gli audit standard mancano del tutto
  • La violazione di invarianti in Yearn Finance (9 milioni, dicembre 2025), in cui un difetto nel calcolo delle share ha eluso sia gli strumenti di analisi statica che i fuzzer

La distinzione critica è che gli exploit degli smart contract tendono a produrre perdite inferiori per singolo incidente. TRM Labs ha calcolato una media di 6,7 milioni per exploit di codice rispetto ai 48,5 milioni per attacco infrastrutturale. Il settore è diventato significativamente più bravo a scrivere codice on-chain sicuro. Ma questi progressi sono oscurati dalla scala catastrofica dei fallimenti operativi.

Da leggere anche: Stablecoin Volume Could Hit $1.5 Quadrillion By 2035, Chainalysis Report Shows

Il livello umano: come il social engineering è diventato un exploit crypto di prima fascia

Gli hacker nordcoreani sponsorizzati dallo Stato rappresentano la singola minaccia più grande per l’industria crypto. Chainalysis ha attribuito 2,02 miliardi di dollari di furti crypto nel 2025 ad attori della DPRK, un aumento del 51% rispetto a 1,34 miliardi nel 2024 e circa il 60% di tutti i furti crypto globali. Il totale cumulato ha raggiunto 6,75 miliardi a fine 2025.

Ciò che rende distintive queste operazioni è la loro pazienza.

L’attacco a Drift Protocol è iniziato con presentazioni a conferenze nell’autunno 2025, è proseguito con mesi di costruzione di relazioni e ha incluso il deposito di oltre 1 milione di dollari di capitale degli stessi attaccanti per stabilire credibilità. Il drain finale è durato 12 minuti.

Le tattiche della DPRK si sono diversificate ben oltre l’hacking diretto:

  • La campagna “Contagious Interview” prende di mira gli sviluppatori tramite false offerte di lavoro su LinkedIn e job board crypto, distribuendo prove di codice truccate che installano backdoor
  • Una società fittizia chiamata “Veltrix Capital” ha distribuito pacchetti npm malevoli progettati per verificare specificamente la presenza di estensioni MetaMask nel browser
  • Nel maggio 2025, la sicurezza di Kraken ha identificato un operatore nordcoreano che si candidava per un ruolo da ingegnere con l’alias “Steven Smith”, con cambi di voce durante il colloquio che suggerivano un coaching in tempo reale
  • Il programma di infiltrazione di lavoratori IT genera secondo le stime ONU tra 250 e 600 milioni di dollari l’anno, con ZachXBT che ha scoperto una rete di 390 account che generava circa 1 milione al mese

Il breach di Coinbase (maggio 2025) ha dimostrato un diverso approccio di social engineering. Dipendenti dell’assistenza clienti all’estero, corrotti, hanno esfiltrato dati personali di 69.000 utenti, consentendo campagne di phishing a valle con un impatto stimato tra 180 e 400 milioni di dollari. Gli smart contract non sono mai stati toccati.

Da leggere anche: Cardano Defies Bearish Trend With Record Transactions And Surging Whale Interest

Chiavi, multisig e cloud: la centralizzazione nascosta dentro il Web3

La centralizzazione nascosta del Web3 è forse il rischio sistemico più sottovalutato del settore. Halborn ha rilevato, nella sua analisi dei 100 maggiori hack DeFi, che solo il 19% dei protocolli colpiti usava wallet multisig e appena il 2,4% impiegava cold storage. Gli attacchi off-chain hanno rappresentato l’80,5% dei fondi rubati nel loro dataset.

Trail of Bits ha pubblicato nel giugno 2025 un framework di maturità che descrive quattro livelli di controllo degli accessi per gli smart contract. Il livello 1 usa un singolo externally owned account, il che significa che una chiave privata compromessa equivale a perdita totale. Il livello 2 usa un multisig centralizzato ma mantiene un singolo punto di controllo. I livelli 3 e 4 aggiungono timelock, separazione dei ruoli e, in ultima analisi, un’immutabilità radicale.

Gli hack di Bybit, WazirX e Radiant Capital hanno tutti sfruttato architetture di livello 2. L’hack di Drift Protocol ha messo in luce un altro fallimento di centralizzazione: un multisig 2-su-5 senza alcun timelock sulle funzioni amministrative.

L’infrastruttura cloud introduce un ulteriore vettore di centralizzazione. L’hack di Resolv Labs (25 milioni, marzo 2026) ha coinvolto una compromissione di AWS Key Management Service.

L’attaccante ha avuto accesso all’ambiente cloud in cui era conservata una chiave di firma privilegiata, quindi l’ha usata per mintare 80 milioni di token stablecoin non coperti da riserve.

Resolv aveva superato 18 audit indipendenti degli smart contract e manteneva un bug bounty da 500.000 dollari su Immunefi. Nessuno dei due copriva le policy IAM di AWS.

Molti protocolli “decentralizzati” dipendono interamente da fornitori di infrastruttura centralizzati per le loro interfacce utente. Il frontend di Safe{Wallet} era ospitato su AWS S3/CloudFront senza hashing Subresource Integrity per rilevare modifiche al codice. Questa lacuna ha reso possibile l’attacco a Bybit.

Da leggere anche: [Bloomberg Strategist Predicts Tether Will ] Overtake Both Bitcoin And Ethereum By Market Cap

Il problema del frontend: quando gli utenti vengono hackerati prima ancora che la blockchain venga toccata

Una categoria crescente di attacchi prende di mira i frontend web dei protocolli DeFi invece dei loro contratti on-chain. In tutti i casi documentati, gli smart contract sono rimasti sicuri e operativi. La vulnerabilità risiedeva interamente nel livello di infrastruttura Web2 che collega gli utenti a quei contratti.

Curve Finance ha subito un dirottamento DNS il 12 maggio 2025, quando gli attaccanti hanno ottenuto l’accesso al registrar di domini iwantmyname e modificato la delega DNS per reindirizzare il traffico verso un sito statico dannoso di decoy.

Durante l’interruzione del frontend, gli smart contract di Curve hanno elaborato oltre 400 milioni di dollari di volume on-chain, dimostrando che i contratti funzionavano perfettamente mentre il frontend veniva trasformato in un’arma.

Questo è stato il secondo attacco DNS contro Curve tramite lo stesso registrar. Curve è poi migrata al dominio curve.finance e ha promosso l’adozione dell’ENS da parte dell’intero settore.

Aerodrome e Velodrome (21 novembre 2025) hanno perso circa 700.000 dollari quando il dirottamento DNS ha reindirizzato gli utenti verso siti di phishing. MetaMask e Coinbase Wallet hanno mostrato avvisi entro due minuti dalla prima transazione malevola, ma gli utenti che hanno interagito prima degli avvisi hanno perso fondi.

Ulteriori attacchi DNS hanno colpito Arrakis Finance (gennaio 2025), OpenEden (febbraio 2026) e Neutrl (marzo 2026).

È stato confermato che l’attacco a Neutrl ha avuto origine da un attacco di social engineering contro il provider DNS stesso.

Lo schema è coerente: comprometter il registrar di domini, modificare i record DNS, reindirizzare gli utenti verso un clone di phishing, raccogliere approvazioni di wallet e prosciugare gli asset. I registrar di domini funzionano come punti di fallimento centralizzati per protocolli nominalmente decentralizzati.

Also Read: Cloudflare Follows Google, Sets 2029 Deadline To Go Quantum-Proof

Network reverses blockchain rollback decision following developer backlash over $3.9 million exploit (Image: Shutterstock)

Perché gli audit non bastano più

Gli audit standard degli smart contract coprono vulnerabilità a livello di codice: rientranza, overflow, bug nei controlli di accesso e pattern di vulnerabilità noti.

In genere non coprono la sicurezza del frontend e dell’interfaccia utente, l’infrastruttura API e backend, la gestione delle chiavi di amministrazione, i vettori di social engineering, gli attacchi alla supply chain sulle dipendenze, la sicurezza di DNS e domini, o la correttezza del modello economico.

Trail of Bits ha dichiarato esplicitamente, nel giugno 2025, che gli attacchi alle chiavi private sono un vettore emergente che gli audit strettamente focalizzati sugli smart contract e i contest tralasciano regolarmente. La società ha osservato che le aziende di audit native blockchain raramente segnalano come rilievi formali i problemi architetturali di controllo degli accessi.

Le prove sono ampie:

  • Cetus Protocol ha superato tre audit da parte di società di reputazione prima di perdere 223 milioni di dollari a causa di un bug in una libreria matematica di terze parti
  • Resolv Labs ha superato 18 audit indipendenti prima di perdere 25 milioni di dollari tramite una compromissione dell’infrastruttura AWS
  • Il provider di wallet di Bybit, Safe{Wallet}, è stato ampiamente auditato, ma la vulnerabilità era il laptop compromesso di uno sviluppatore
  • L’exploit di arrotondamento di Balancer accumulava errori di arrotondamento sub-wei attraverso sequenze avversariali di batch swap, una classe di attacco che i test standard per operazione non riescono a rilevare

Gli audit restano utili. I protocolli non auditati affrontano circa il 70% di probabilità di exploit nel loro primo anno, contro il 15–20% per quelli auditati. Ma l’affidamento dell’industria alla formula “auditato da X” come certificazione di sicurezza rappresenta in modo fondamentale errato ciò che gli audit in realtà convalidano. Sono istantanee puntuali di correttezza del codice, non valutazioni di sicurezza complete.

Also Read: Bitcoin Can Be Made Quantum-Safe Without An Upgrade, But There's A Catch

Come appare un design più sicuro dopo l’ondata di hack del 2026

Vyper, il linguaggio di smart contract “pythonic” creato da Vitalik Buterin nel 2017, incarna una filosofia di sicurezza attraverso la semplicità che contrasta nettamente con la ricchezza di funzionalità di Solidity. Vyper esclude deliberatamente ereditarietà, modifier, overloading degli operatori e assembly inline.

Fornisce controllo automatico dell’overflow, decorator nonreentrant integrati, array con limiti validati e tipizzazione rigorosa.

Oltre 7.959 contratti Vyper attualmente proteggono più di 2,3 miliardi di dollari in valore totale bloccato.

Il linguaggio ha affrontato una propria crisi di sicurezza nel luglio 2023, quando una vulnerabilità nella guardia contro la rientranza in versioni precedenti del compilatore ha reso possibile l’exploit su Curve Finance. La risposta è stata sistematica: 12 audit con società tra cui ChainSecurity e OtterSec, due esperti di sicurezza assunti a tempo pieno, due programmi di bug bounty e un sistema di monitoraggio dei contratti che indicizza 30.000 contratti su 23 chain.

Lo sviluppo è rimasto attivo tra il 2025 e il 2026. La versione 0.4.2 “Lernaean Hydra” (maggio 2025) ha in particolare vietato la chiamata di funzioni nonreentrant dall’interno di altre funzioni nonreentrant, eliminando un’intera classe di potenziali vulnerabilità.

I principali adottanti includono Curve Finance, Yearn Finance V3 e Velodrome/Aerodrome.

La filosofia di design di Vyper, secondo cui le funzionalità che rimuovi contano più di quelle che aggiungi, è allineata con il consenso di sicurezza emergente. Quando i vettori di attacco dominanti sono umani e operativi piuttosto che a livello di codice, un linguaggio che produce codice più leggibile e auditabile offre veri vantaggi strutturali.

Also Read: Only 10% Of New CEX Tokens Survive Their First Year, CoinGecko Data Reveals

Cultura della sicurezza vs teatro della sicurezza nel Web3

I bug bounty sono emersi come una delle difese più efficaci in rapporto ai costi. Immunefi ha pagato oltre 112 milioni di dollari in bounty complessivi su più di 3.000 segnalazioni di bug convalidate. I report di gravità critica rappresentano l’87,8% di tutti i pagamenti. La piattaforma sostiene di aver protetto oltre 190 miliardi di dollari di fondi degli utenti.

L’economia dei numeri è convincente. Il totale dei bounty mai pagati (112 milioni di dollari) rappresenta circa il 3,3% delle sole perdite per hack del 2025. Anche un solo exploit prevenuto genererebbe un ROI enorme. I programmi di bounty attivi hanno ora raggiunto una scala significativa, con Usual che offre un massimo di 16 milioni di dollari su Sherlock e Uniswap v4 che offre 15,5 milioni di dollari su Immunefi.

Le piattaforme di audit competitive si sono evolute parallelamente ai bounty tradizionali. Code4rena organizza contest con 16.600 ricercatori registrati e circa 100 partecipanti per audit.

Sherlock opera un modello di ciclo di vita completo che combina contest di audit, bug bounty e copertura assicurativa, avendo messo in sicurezza oltre 100 miliardi di dollari in valore totale bloccato.

Tuttavia, i bug bounty condividono una limitazione fondamentale con gli audit. I dati di Immunefi mostrano che il 77,5% dei pagamenti va alla scoperta di bug negli smart contract. I vettori di attacco più dannosi del 2025, inclusi compromissioni della supply chain, social engineering e violazioni dell’infrastruttura, rientrano in gran parte al di fuori dell’ambito di ciò che i ricercatori di bounty possono testare.

Il settore ha bisogno di strutture di incentivazione equivalenti per la valutazione della sicurezza operativa. La sola revisione del codice non è più allineata al luogo da cui originano le perdite effettive.

Also Read: Gemini Survey Reveals 51% Of Gen Z Adults Worldwide Own Crypto

Cosa dovrebbero fare diversamente utenti, builder e investitori nel 2026

I dati del 2025 e del 2026 rendono chiaro che la sicurezza deve estendersi ben oltre gli audit degli smart contract per abbracciare l’intero stack operativo.

Per i builder di protocolli, il minimo profilo di sicurezza oggi include:

  • Wallet multisig con timelock su tutte le funzioni amministrative
  • Controllo degli accessi basato sui ruoli, con principio del privilegio minimo
  • Firma con hardware wallet per tutte le operazioni privilegiate
  • Monitoraggio continuo per cambiamenti di permessi, upgrade e trasferimenti di alto valore
  • Hashing Subresource Integrity per tutto il codice frontend, oltre a DNSSEC e alla valutazione di alternative basate su ENS ai registrar di domini centralizzati

La sicurezza della supply chain richiede il pinning delle dipendenze, il contenimento della proliferazione di package, il blocco delle pipeline CI/CD con credenziali a breve durata e la verifica degli artifact di rilascio. I piani di risposta agli incidenti dovrebbero essere testati tramite esercitazioni, non scritti e poi dimenticati.

Per gli utenti, le difese pratiche sono semplici. Gli hardware wallet restano essenziali per qualsiasi detenzione significativa. Strumenti di simulazione delle transazioni come Pocket Universe dichiarano 180.000 utenti e oltre 1 miliardo di dollari in fondi protetti.

La revoca regolare delle approvazioni illimitate di token, l’utilizzo di URL salvati tra i preferiti invece di seguire link e il mantenimento di wallet separati riducono tutti il raggio d’azione di una singola firma compromessa.

La lezione del blind signing emersa dall’hack di Bybit vale anche per i singoli individui. Verifica sempre i dettagli della transazione direttamente sul dispositivo di firma, non solo sull’interfaccia che richiede la firma.

Per gli investitori che valutano protocolli, l’etichetta “auditato da X” è necessaria ma radicalmente insufficiente. Indicatori di sicurezza significativi includono molteplici audit da parte di società diverse, programmi di bug bounty attivi con ricompense significative, configurazioni multisig trasparenti con distribuzione geografica, timelock sugli upgrade.funzioni visibili on-chain e una comprovata capacità di risposta agli incidenti.

L’assenza di questi indicatori dovrebbe funzionare come un chiaro campanello d’allarme, indipendentemente dalla storia di audit.

Also Read: From Joke To ETF? PEPE's Wall Street Moment Raises Big Questions

Conclusione

Il panorama della sicurezza crypto del 2025 e 2026 rivela un paradosso. La tecnologia sta diventando più sicura mentre il settore perde più denaro che mai.

Le perdite dovute a exploit di smart contract sono diminuite man mano che la qualità del codice on-chain migliora grazie a strumenti migliori, più audit, piattaforme di revisione competitive e a un design dei linguaggi attento alla sicurezza come Vyper. Ma questi progressi sono stati sopraffatti da una rapida escalation degli attacchi alle infrastrutture e alle operazioni.

I modelli di sicurezza costruiti solo attorno alla revisione del codice ora coprono circa il 12% dell’effettiva esposizione alle perdite. Il restante 88% risiede nei laptop degli sviluppatori, nelle credenziali AWS, nei registrar di domini, nei dispositivi dei firmatari multisig, nei processi di assunzione dei dipendenti e nelle pipeline di deployment dei frontend. Sono problemi Web2 che richiedono difese Web2 applicate a organizzazioni Web3 che spesso non hanno la cultura di sicurezza istituzionale per implementarle.

I protocolli che sopravvivranno alla prossima ondata di attacchi sponsorizzati dagli stati saranno quelli che metteranno in sicurezza non solo il loro codice, ma anche le loro persone, la loro infrastruttura e le loro assunzioni di fiducia come un sistema connesso. Qualsiasi altra cosa è teatro della sicurezza travestito da decentralizzazione.

Read Next: The U.S. Is Redefining Stablecoins — Here's What The New Rules Do

Disclaimer e avvertenza sui rischi: Le informazioni fornite in questo articolo sono solo per scopi educativi e informativi e sono basate sull'opinione dell'autore. Non costituiscono consulenza finanziaria, di investimento, legale o fiscale. Gli asset di criptovaluta sono altamente volatili e soggetti ad alto rischio, incluso il rischio di perdere tutto o una parte sostanziale del tuo investimento. Il trading o il possesso di asset crypto potrebbe non essere adatto a tutti gli investitori. Le opinioni espresse in questo articolo sono esclusivamente quelle dell'autore/autori e non rappresentano la politica ufficiale o la posizione di Yellow, dei suoi fondatori o dei suoi dirigenti. Conduci sempre la tua ricerca approfondita (D.Y.O.R.) e consulta un professionista finanziario autorizzato prima di prendere qualsiasi decisione di investimento.
Articoli di Ricerca Correlati
I più grandi exploit cripto del 2025–2026: che cosa è andato davvero storto
Analisi dei più grandi exploit cripto 2025–2026, cause ricorrenti, bug, furti di chiavi e punti di fiducia concentrata che hanno amplificato i danni.
Perché gli exploit sui DEX costano 3,1 miliardi di dollari nel 2025: analisi di 12 principali hack
Oct 27, 2025
Analisi dei principali exploit sui DEX nel 2025 e delle perdite per 3,1 miliardi di dollari. Perché falliscono anche i protocolli auditati e quali pattern tecnici si ripetono.
Trading off-chain vs on-chain: cosa sta spostando le cripto dai CEX ai DEX?
Ascesa dei DEX: volumi in forte crescita, Layer 2 economici e rischi di custodia sui CEX stanno spingendo il trading on-chain contro quello off-chain.
L’economia nascosta del farming di giveaway di memecoin
Le fee minime di Solana permettono giveaway di memecoin usati per crescere in fretta, manipolare algoritmi e, spesso, truffare gli utenti.
Heatmap della regolamentazione crypto: quando la rivoluzione viene regolata
May 31, 2025
Regole, politica e capitali istituzionali stanno trasformando la ribellione cypher-punk in un sistema criptato ma centralizzato.
La crisi della sicurezza del Web3 nel 2026: perché i più grandi hack non sono più solo bug degli smart contract | Yellow.com