Sulla scia della recente ondata di hackeraggi della DeFi, Certora, azienda leader nella sicurezza della blockchain, ha ospitato giovedì 30 aprile un livestream intitolato "Are We Securing the Wrong Layer?" (Stiamo proteggendo il livello sbagliato?), che ha messo in discussione un assunto di lunga data nella DeFi. Per anni, il settore si è concentrato molto sulle verifiche dei contratti intelligenti come linea di difesa primaria. Tuttavia, i recenti exploit suggeriscono che gli aggressori non si basano più solo sulla rottura della logica del contratto. Al contrario, prendono sempre più di mira i sistemi circostanti che supportano i protocolli.
Il mese di aprile 2026 sottolinea questo cambiamento in modo netto. Il mese ha registrato 29 hack distinti, con un aumento dell'81% rispetto al precedente massimo di 16 incidenti di gennaio, rendendolo il peggior mese del record per gli exploit di crittografia.
Tra gli incidenti più importanti vi sono KelpDAO con 293 milioni di dollari, Drift con 295 milioni di dollari e Rhea con 18 milioni di dollari. Questi eventi non sono accomunati da un'unica falla tecnica. Riflettevano invece un'ampia espansione dei vettori di attacco nell'ecosistema.
Seth Hallem, CEO di Certora, si è unito a Michael Lewellen, Head of Solutions Engineering di Turnkey, per analizzare come si è evoluto il panorama delle minacce e cosa devono fare i team di protocollo per adattarsi. La discussione ha evidenziato un chiaro cambiamento. I rischi per la sicurezza ora si estendono ben oltre il codice onchain, all'infrastruttura offchain, ai processi operativi e al comportamento umano.
Un panorama di minacce in evoluzione
La conversazione si è aperta con una rassegna di recenti exploit di alto profilo. Lewellen ha evidenziato un'impennata di attacchi nel mese di aprile, tra cui quelli che hanno colpito Drift Protocol, KelpDAO e diversi progetti dell'ecosistema Sui. Questi attacchi non si sono basati sulle tradizionali vulnerabilità degli smart contract. Hanno invece sfruttato i punti deboli delle configurazioni, delle infrastrutture e delle pratiche operative del multisig.
In un esempio, gli aggressori hanno utilizzato l 'ingegneria sociale per compromettere i firmatari di multisig. In un altro caso, hanno inserito codice maligno nell'infrastruttura di backend e hanno aspettato il momento giusto per agire. Questi approcci riflettono una tendenza più ampia. Gli aggressori ora si comportano più come minacce persistenti avanzate, investendo tempo e risorse in infiltrazioni a lungo termine piuttosto che in exploit rapidi.
Hallem ha osservato che questo cambiamento rappresenta un campanello d'allarme per il settore. I primi hack della DeFi spesso comportavano semplici errori di codifica. Gli aggressori di oggi dimostrano pazienza, coordinamento e una profonda comprensione del funzionamento dei protocolli su più livelli.
Il ruolo dell'intelligenza artificiale negli attacchi moderni
L'intelligenza artificiale ha ulteriormente accelerato questo cambiamento. Sia Hallem che Lewellen hanno sottolineato che gli strumenti di intelligenza artificiale consentono agli aggressori di analizzare i protocolli a una velocità senza precedenti. Analizzando codici, documentazione e dati pubblici, questi strumenti possono identificare rapidamente i punti deboli e generare potenziali strategie di attacco.
Questa riduzione dei costi di scoperta ha abbassato la soglia di sfruttamento. I protocolli più piccoli con risorse limitate devono ora affrontare lo stesso livello di controllo che un tempo si applicava solo alle piattaforme più grandi.
Allo stesso tempo, l'intelligenza artificiale offre anche vantaggi difensivi. I team di sicurezza possono utilizzare strumenti simili per modellare le minacce, identificare le vulnerabilità e verificare le ipotesi. Tuttavia, questo crea una gara tra attaccanti e difensori. I team che non adottano questi strumenti rischiano di rimanere indietro.
Misure di sicurezza immediate per i team DeFi
Un tema centrale della discussione si è concentrato sulla sicurezza operativa. Lewellen ha sottolineato l'importanza della protezione degli endpoint, del controllo degli accessi e del rafforzamento dell'infrastruttura. Molti team si affidano ancora a dispositivi personali, a un monitoraggio minimo e a processi poco definiti. Queste pratiche introducono rischi significativi.
Lewellen ha raccomandato alcune misure immediate. I protocolli dovrebbero
-
Aumentare le soglie di multisig per le azioni critiche
-
Segmentare le autorizzazioni in base al rischio
-
Adottare metodi di autenticazione basati sull'hardware
I team dovrebbero inoltre implementare sistemi di rilevamento degli endpoint, imporre un uso sicuro dei dispositivi e mantenere registri dettagliati per la risposta agli incidenti.
Hallem ha aggiunto che i protocolli devono allineare i processi operativi ai profili di rischio. Non tutte le azioni richiedono lo stesso livello di sicurezza. Le operazioni di routine possono rimanere flessibili, ma le azioni ad alto impatto, come gli aggiornamenti dei contratti, devono essere soggette a controlli più severi e a tempi di approvazione più lunghi.
La sfida di bilanciare sicurezza e decentralizzazione
La discussione ha affrontato anche una tensione all'interno di Web3: il decentramento rimane un valore fondamentale, ma il raggiungimento di una forte sicurezza spesso richiede un coordinamento centralizzato e risorse significative. I piccoli team che gestiscono grandi quantità di capitale devono affrontare sfide particolari per soddisfare queste richieste.
Hallem ha paragonato questa dinamica all'evoluzione del cloud computing. Inizialmente le organizzazioni hanno opposto resistenza alla centralizzazione per problemi di sicurezza, ma alla fine hanno riconosciuto che i grandi fornitori potevano offrire una protezione più forte grazie alla scala. Un cambiamento simile potrebbe verificarsi nell'infrastruttura crittografica, dato che i protocolli cercano soluzioni di sicurezza di livello aziendale.
Verso una sicurezza continua
Una delle conclusioni più chiare del livestream ha riguardato la necessità di pratiche di sicurezza continue. Le verifiche puntuali non possono tenere conto dell'evoluzione delle minacce, dei cambiamenti dell'infrastruttura o delle nuove tecniche di attacco. I protocolli devono invece adottare il monitoraggio continuo, la modellazione regolare delle minacce e la convalida continua dei loro sistemi. Questo approccio tratta la sicurezza come una funzione operativa piuttosto che come una lista di controllo una tantum.
Lewellen ha sottolineato che gli aggressori continueranno ad adattarsi. Se un livello diventa sicuro, ne prenderanno di mira un altro. I protocolli devono quindi avere una visione olistica dei loro sistemi ed eliminare i singoli punti di guasto laddove possibile.
Una nuova realtà di sicurezza per la DeFi
Il livestream di Certora ha sottolineato un cambiamento fondamentale nel modo di intendere la sicurezza della DeFi. I contratti intelligenti rimangono fondamentali, ma non rappresentano più il principale punto di fallimento. L'ecosistema più ampio, che comprende infrastrutture, governance e processi umani, definisce ora la vera superficie di attacco.
Man mano che i protocolli crescono e attirano più capitali, dovranno affrontare avversari sempre più sofisticati. Per affrontare questa sfida non è sufficiente migliorare il codice. Richiede un approccio completo che integri tecnologia, operazioni e consapevolezza umana in una strategia di sicurezza unificata.
Per saperne di più su SolanaFloor
I mercati Onchain rifiutano i nuovi lanci: i debutti di $PRINT e $SPC finiscono male
Meta lancia i pagamenti di $USDC per i creatori su Solana
Circle avrebbe dovuto congelare i fondi rubati?
