Solana perde meno hacker rispetto alle reti rivali: Certora spiega perché

Mentre i sostenitori della blockchain festeggiano un anno incredibile per il settore, gli attori nefasti dello spazio si sono goduti la loro corsa al rialzo.

Gli analisti riferiscono che il 2025 è stato un anno di grande successo per il gioco sporco. Solo nella prima metà dell'anno, i malintenzionati hanno rubato oltre 1,93 miliardi di dollari in crimini legati alle criptovalute, superando la somma persa in hack e truffe nell'intero 2024.

Ma nonostante i livelli di malvagità senza precedenti nella criptovaluta, Solana è rimasta, almeno tecnicamente, clamorosamente sicura. Mentre le reti EVM hanno subito oltre 220 milioni di dollari di hacking nel 2025, le applicazioni basate su Solana ne sono uscite ampiamente indenni, perdendo circa 18 milioni di dollari in exploit in questa fase dell'anno.

Parlando in esclusiva con Seth Hallem, CEO di Certora, un'azienda leader nel settore della sicurezza blockchain, SolanaFloor ha approfondito i dettagli per andare a fondo di questa vasta discrepanza e scoprire se Solana è davvero uno spazio intrinsecamente più sicuro in cui operare.

Perché Solana subisce un minor numero di hack rispetto all'EVM?

Uno sguardo alla lista di hack di DefiLlama’dipinge un quadro sfortunato. Prendendo un'istantanea di un mese di exploit di criptovalute, è evidente che le catene EVM sono ampiamente sovrarappresentate, soprattutto se confrontate con Solana e le SVM adiacenti. Inoltre, vale la pena notare che l'hack di Solana’Texture di luglio è stato uno dei soli 3 exploit della rete, rispetto alle decine di catene basate su EVM.

Mentre gli hack di borsa, come l'exploit ByBit da 1,4 miliardi di dollari, si classificano costantemente come gli eventi di sicurezza più grandi e dannosi, le falle nella logica del protocollo sono di gran lunga la vulnerabilità più comune sfruttata da attori malintenzionati.

Hallem attribuisce la drastica riduzione del volume di hack e di exploit di Solana all'architettura di programmazione intrinseca di Solana. Costruita utilizzando Rust, in contrapposizione a linguaggi ‘esclusivi’per le criptovalute come Solidity, la programmazione di Solana è un set Lego fondamentale più accessibile e testato rispetto a quello che gli sviluppatori EVM sono tenuti a utilizzare.

“I contratti Solana sono costruiti su Rust, che è un linguaggio di programmazione molto più diffuso e familiare di Solidity. Ogni volta che c'è una curva di apprendimento per uno sviluppatore, c'è un insieme completamente nuovo di regole e pratiche di sicurezza da imparare… Solana è stato sviluppato con concetti come la riusabilità e l'aggiornabilità in mente fin dall'inizio. Questo permette agli sviluppatori di costruire sopra una libreria di blocchi di costruzione in continua crescita. Più si riesce a centralizzare le funzionalità e a riutilizzarle, più si ha la possibilità di investire pesantemente nella sicurezza una volta a beneficio dell'intera comunità.”

Inoltre, Hallem ha sottolineato che, con una rete drammaticamente più grande, il panorama EVM offre un terreno molto più fertile per i nefasti furfanti del ventre oscuro della criptovaluta. La TVL di Ethereum’è ~595% più grande di quella di Solana’senza considerare i Layer-2. 

“Le catene di EVM rimangono un obiettivo più grande e più redditizio - con la crescita di Solana, crescerà anche il numero di attacchi rivolti alle catene Solana.”

Tuttavia, mentre Hallem sottolinea correttamente che la superficie di attacco di Ethereum’è significativamente più grande, il volume di hacking di Solana’è ancora proporzionalmente più piccolo. Il volume di hacking di Ethereum’2025 rappresenta una quota dello 0,22% del suo TVL, rispetto allo 0,12% di Solana.

Quando non si può verificare, di chi ci si può fidare?

Nonostante sia un segno distintivo dell'etica fondamentale delle criptovalute, l'autocustodia è un'arma a doppio taglio. L'economia onchain può anche essere un abbondante terreno di gioco finanziario con opportunità illimitate, ma basta un click disonesto su un link o un'interazione contrattuale ignara per lasciare gli utenti senza nulla.

I sostenitori della crittografia predicano il mantra “non fidarti, verifica” alla nausea, ma la realtà è che la stragrande maggioranza degli utenti di blockchain non è in grado di analizzare i contratti onchain e open-source. 

“Non fidarti, verifica” è forse ancora più superfluo su Solana, dove la maggior parte delle applicazioni utilizza protocolli closed-source. Questo lascia gli utenti in una posizione difficile: Se non si è in grado di verificare, come ci si può fidare?

“L'utente finale medio guadagna poco analizzando un contratto Rust, ma dovrebbe essere vigile su chi sono i revisori affidabili nello spazio, su chi ha verificato ogni programma Solana che intende utilizzare e su ciò che il revisore ha detto su quel programma.”

È qui che le aziende di sicurezza affidabili come Certora si guadagnano i loro galloni e si consolidano come eroi non celebrati dell'economia onchain. Hallem paragona gli auditor della sicurezza blockchain agli avvocati esperti del mondo web2, responsabili di astrarre le minuzie incredibilmente complicate dei contratti onchain, di segnalare le potenziali vulnerabilità e di lavorare a fianco dei team di sviluppatori per correggere i vettori di attacco.

“La sicurezza sulla catena è una questione da un trilione di dollari, ed è in definitiva la ragione per cui esistono aziende come Certora. Il modo migliore per pensarci è prendere l'etica del web3 secondo cui "il codice è legge" e applicarla per analogia. La maggior parte di noi non ha né la competenza né la pazienza di leggere ogni legge approvata dal Congresso degli Stati Uniti. Ci affidiamo invece a fonti secondarie più accessibili: articoli di cronaca che spiegano le leggi che ci interessano e, in caso di dubbio, avvocati specializzati nell'interpretazione della legge. Il mondo del web3 è lo stesso: le società di revisione come Certora fungono da intermediari, lavorando con gli sviluppatori dei contratti per garantire la sicurezza, ma agendo anche come interpreti della fiducia per la comunità degli utenti finali.”

Come uno degli auditor di Solana’più affidabili, Certora è innegabilmente uno degli “interpreti di fiducia”preferiti della rete”

.

I giganti della DeFi della Solana, tra cui piattaforme come Jito e Kamino, che detengono diversi miliardi di TVL, si rivolgono abitualmente a Certora per gli audit di sicurezza per garantire la sicurezza dei loro utenti. Ad agosto 2025, Certora ha assicurato oltre 9 miliardi di dollari di fondi su Solana, una cifra che probabilmente è cresciuta nelle ultime settimane in seguito alla recente impennata del prezzo di $SOL&rsquo.

Stare davanti agli hacker

La sicurezza della blockchain è un delicato gioco del gatto e del topo. Gli hacker sviluppano costantemente nuovi vettori e strategie di attacco, il che significa che anche le applicazioni che possono essere considerate ‘sicure’ devono rimanere al passo con le nuove tendenze di exploit. 

Hallem afferma che l'approccio di auditing di Certora’segue un duplice approccio. Tra il team di auditor altamente esperti di Certora’e tecnologie come gli strumenti di verifica formale, la posizione proattiva dell’azienda protegge sia le app che gli utenti. 

“La forza di Certora come auditor si fonda su due pilastri fondamentali: le persone e la tecnologia. Le persone vengono prima di tutto, e siamo orgogliosi di aver messo insieme un gruppo di esperti di sicurezza web3 di talento e di aver fornito loro un ambiente che li incoraggia a fare il loro lavoro migliore. Per mettere i nostri team nella migliore posizione per avere successo, assegniamo sempre almeno due auditor a un progetto e innoviamo costantemente il nostro processo di audit."

Oltre ad assegnare più revisori a ogni progetto, Certora si avvale anche di potenti strumenti di sicurezza per identificare le vulnerabilità. 

“La tecnologia è il secondo pilastro di ciò che facciamo: costruiamo strumenti innovativi e leader del settore che utilizziamo per trovare le vulnerabilità nei contratti intelligenti e, sempre più spesso, per guidare i nostri auditor verso le aree sospette di un contratto che richiedono ulteriori indagini.”

Stack di verifica formale come il Certora Prover, di proprietà dell'azienda, confrontano il bytecode degli smart contract con il comportamento atteso del codice, analizzando gli stati e i percorsi del contratto per evidenziare potenziali vettori di attacco.

“Anche gli attaccanti stanno innovando e per cercare di stare al passo seguiamo due strade diverse. La prima consiste nell'assicurarsi di essere sempre al corrente degli ultimi vettori di attacco e di come questi possano avere un impatto sui nostri clienti, ma si tratta in definitiva di una prospettiva reattiva. La seconda è quella di utilizzare la verifica formale, la tecnologia di base di Certora, per garantire matematicamente l'assenza di intere categorie di guasti che possono rendere un contratto vulnerabile.”

La verifica formale è ampiamente sostenuta dai leader della sicurezza di Solana, tra cui il fondatore di Kamino Marius Ciubotariu e, naturalmente, il padre fondatore di Solana Labs Anatoly Yakovenko.

Responsabilità del revisore

Una delle più grandi idee sbagliate che permeano lo spazio crittografico è l'idea che i protocolli controllati siano impermeabili agli exploit. La scomoda realtà è che gli audit sulla sicurezza della blockchain non sono affatto una garanzia che determinati protocolli e applicazioni siano sicuri da usare.

Al contrario, i cripto-nativi dovrebbero vedere gli audit come uno sforzo genuino e onesto fatto da esperti per proteggere le persone al meglio delle loro capacità. Hallem ritiene che se un protocollo sottoposto ad audit viene violato, l'onere e la responsabilità dell'exploit ricadono in ultima analisi sull'applicazione, non sull'auditor.

“I revisori svolgono un ruolo chiave nello stabilire la fiducia dell'ecosistema web3, e in questa posizione la reputazione di una società di revisione è fondamentale. Proprio come un revisore fiscale, penso che la responsabilità di un revisore non riguardi il fatto che un protocollo sia stato violato o meno, ma piuttosto l'onestà o meno del revisore. Molte aziende sono riuscite a nascondere con successo ai propri revisori fiscali i paradisi fiscali e altre manovre illegali e, fintanto che il revisore ha compiuto uno sforzo in buona fede per condurre una verifica accurata e completa, la responsabilità di tali scelte ricade sull'azienda, non sul revisore. Nello spazio web3, sentiamo l'obbligo di fare un'analisi approfondita del codice dei nostri clienti e di produrre un rapporto onesto sulle nostre scoperte. Tuttavia, siamo ancora solo consulenti dei nostri clienti - non abbiamo il pieno controllo delle loro decisioni su quale software rilasciare e come - e data la natura di ciò che facciamo, il nostro lavoro è sempre incompleto - gli attaccanti innovano e le vulnerabilità si basano sempre più su interazioni che vanno oltre il codice che controlliamo.”

A parte i paragoni con Web2, Hallem fa un'osservazione pertinente sul ruolo degli auditor blockchain in un settore che ama giocare al gioco delle colpe. Nonostante tutti i progressi compiuti nel settore della blockchain, i partecipanti devono rimanere critici, vigili e obiettivi, senza fidarsi ciecamente delle applicazioni e delle società di sicurezza.

“La vera risposta alla sicurezza del web3 va ben oltre l'audit come singolo punto di fallimento: il settore ha bisogno di una soluzione più ampia e completa alle sfide di sicurezza del web3, e come azienda Certora mira a fornire questo quadro più ampio. Le vulnerabilità dei contratti intelligenti non scompariranno, ma possiamo imparare da altri settori dove una combinazione di tecnologie e una mentalità di "difesa in profondità" ha prodotto un approccio a più livelli che ci permette di sentirci sicuri nelle nostre interazioni online. Lo stesso può e deve valere per il web3, man mano che il settore matura.”

La crittografia rimarrà probabilmente, almeno per il prossimo futuro, il selvaggio west della finanza. Finché l'economia onchain continuerà a offrire terreno fertile per gli exploit e il denaro senza permesso, lo spazio continuerà a essere afflitto da attori nefasti ed estrattivi. 

Ma così come i cattivi attori persisteranno, i buoni attori fungono da contrappeso. Le società di sicurezza come Certora, pur non essendo una garanzia di sicurezza assoluta, rappresentano probabilmente la migliore difesa contro il gioco sporco.

Leggi di più su SolanaFloor

Perché Star Atlas ha bisogno di un proprio Layer-1?

Ecco tutto quello che potreste esservi persi dell'estate di Star Atlas

SolanaFloor incontra il CEO di Star Atlas Michael Wagner