DeFi sotto attacco: $16,5 miliardi persi in exploit e la necessità di controlli più rigorosi

Il caso rsETH: un exploit da $200 milioni senza errori nei contratti

Aave ha registrato $200 milioni di debiti irrecuperabili a seguito dell’exploit su rsETH, avvenuto lo scorso 18 aprile. Nonostante i contratti del protocollo non presentassero alcuna vulnerabilità, gli attaccanti hanno compromesso le infrastrutture RPC, costringendo un failover verso nodi infetti tramite attacchi DDoS. Successivamente, hanno iniettato dati falsi in una configurazione 1-di-1 DVN del bridge di KelpDAO per rsETH.

Il messaggio contraffatto ha permesso la creazione di circa 116.500 rsETH, che sono stati poi utilizzati su Aave come collaterale per ottenere prestiti. L’incidente ha evidenziato una discrepanza nei nonce: Ethereum ha accettato il nonce 308, mentre l’endpoint Unichain non aveva superato il 307. Questo ha portato alla formazione di debiti irrecuperabili e ha messo in luce le fragilità del settore DeFi.

DeFi in crisi: $16,5 miliardi persi in exploit storici

Secondo i dati di DefiLlama, gli exploit nel settore DeFi hanno causato perdite cumulative di $16,5 miliardi, di cui $7,7 miliardi direttamente legati a protocolli decentralizzati. Ad aprile, gli attaccanti hanno sottratto oltre $635 milioni in 28 incidenti diversi, il peggior risultato mensile degli ultimi 12 mesi.

Tra i casi più gravi spiccano gli exploit su Drift e il bridge di KelpDAO, che hanno contribuito a una contrazione di quasi $11 miliardi nel valore totale bloccato (TVL) del settore. Parallelamente, i mercati tradizionali stanno guadagnando terreno con stablecoin, treasury tokenizzati e soluzioni di regolamento regolamentate, attirando l’interesse degli investitori istituzionali.

Perché DeFi è finita in questa situazione?

Mitchell Amador, CEO di Immunefi, ha spiegato a CryptoSlate che DeFi ha storicamente priorizzato crescita, integrazioni e velocità rispetto alla sicurezza. L’aggiunta di nuovi asset, bridge, oracoli o dipendenze esterne offre un vantaggio immediato in termini di utilità, ma il rischio associato non si traduce in un segnale di prezzo finché non si verifica un exploit. Questa asimmetria ha relegato audit e best practice a un ruolo secondario per anni, fino a quando gli eventi di aprile hanno concentrato le conseguenze in un solo mese.

Amador ha sottolineato che le pratiche più trascurate includono:

• Igiene e gestione dei multisig: molti team hanno trattato i multisig come una soluzione di sicurezza autonoma, senza considerare il numero di firmatari, la loro indipendenza o i processi di revisione delle transazioni.
• Rafforzamento della supply chain: la sicurezza delle dipendenze esterne, come bridge e oracoli, è spesso sottovalutata.
• Monitoraggio in tempo reale: la mancanza di sistemi di allerta tempestivi può ritardare la risposta agli attacchi.
• Procedure di emergenza: molti protocolli non hanno piani di risposta efficaci per gestire gli exploit in modo rapido ed efficiente.

In un ecosistema composabile come DeFi, il rischio si propaga attraverso le integrazioni con la stessa efficienza con cui fluisce la liquidità. Una configurazione debole di multisig, una scarsa sicurezza dei firmatari o un bridge mal monitorato possono diventare una esposizione sistemica.

Il modello alternativo: sicurezza e compliance fin dalla nascita

Ben Nadareski, CEO di Solstice Finance, ha osservato:

"Il divario di produttività per persona rivela cosa succede quando si eliminano tutte le funzioni non essenziali. Le squadre che vinceranno questa fase saranno quelle costruite su compliance e sicurezza fin dal primo giorno, pronte a operare più velocemente di quanto una banca impieghi per convocare una riunione".

DeFi ha costruito infrastrutture composabili per oltre cinque anni, ma solo ora Wall Street riconosce il loro potenziale come strato infrastrutturale del sistema finanziario del futuro. Il prezzo di questa posizione pionieristica è stato un livello di sicurezza insufficiente, che ora sta costringendo il settore a rivedere le proprie priorità.

Le lezioni dagli exploit di aprile

Gli attacchi di aprile hanno dimostrato che la sicurezza non può più essere un ripensamento. I protocolli DeFi devono adottare un approccio proattivo, implementando:

• Sistemi di monitoraggio avanzati per rilevare anomalie in tempo reale.
• Procedure di emergenza testate e pronte all’uso.
• Audit regolari e isolamento delle dipendenze critiche.
• Collaborazione con entità regolamentate per migliorare la trasparenza.

Solo così il settore potrà recuperare la fiducia degli investitori e consolidare il proprio ruolo nel panorama finanziario globale.