I principali attacchi crypto del 2025: incidenti che hanno messo in luce i punti deboli del settore

Il 2025 è stato un anno importante per l'industria crypto, ma si è presentato come una lama a doppio taglio se si guarda al quadro generale.

Da un lato, il settore è maturato in termini di adozione istituzionale, con un numero record di fusioni e acquisizioni.

Ci furono 267 operazioni per un totale di 8,6 miliardi di dollari, rendendo quest'anno redditizio per chi si posizionava sul lato giusto dell'operazione.

D'altra parte, le perdite dovute a hack ed exploit hanno raggiunto un record di storie, mettendo in luce quanto ancora debba andare avanti il settore sulla sicurezza.

I dati di aziende di sicurezza come SlowMist e CertiK hanno riportato che il numero di incidenti di sicurezza è diminuito del 50% su base annua, passando da oltre 400 nel 2024 a circa 200 nel 2025.

Ma l'entità delle perdite finanziarie racconta un'altra storia. I fondi totali rubati sono aumentati del 55% rispetto all'anno precedente, raggiungendo oltre 3,4 miliardi di dollari.

Sebbene l'igiene di sicurezza di base, come le revisioni di routine degli smart contract e il rilevamento automatico dei bug, stia eliminando con successo i frutti più facili che gli hacker amatoriali avevano di mira, la natura degli attacchi è cambiata radicalmente.

Gli attaccanti moderni non stanno più lanciando una rete ampia per vulnerabilità di protocollo minori.

Al contrario, gruppi professionalizzati, in particolare il Gruppo Lazarus nordcoreano , stanno passando mesi a ricognizione e infiltrazione infrastrutturale per eseguire singoli attacchi catastrofici.

L'industria si trova ora ad affrontare una crisi di qualità rispetto alla quantità, in cui si verificano meno attacchi, ma quelli che avvengono sono molto più dannosi.

Con l'inizio del 2026, ecco uno sguardo a quattro dei più grandi incidenti di sicurezza del 2025, che hanno messo in luce molti dei punti deboli del settore.

Borsa Bybit: 1,5 miliardi di dollari

L'episodio più importante dell'anno si è verificato presso la exchange crypto Bybit, con sede a Dubai, che è diventato il furto più grande e confermato mai collegato al gruppo Lazarus nordcoreano sostenuto dallo Stato.

Gli attaccanti hanno impiegato mesi a costruire fiducia con uno sviluppatore di Safe{Wallet}, un importante fornitore di infrastrutture multisig, prima di riuscire a introdurre un progetto Docker malevolo che ha silenziosamente creato una backdoor persistente.

Una volta all'interno, gli attaccanti hanno iniettato JavaScript malevolo nel codice frontend dell'interfaccia wallet Safe utilizzata dal team interno di firma di Bybit.

Mentre i dirigenti di Bybit accedevano per firmare quelle che sembravano transazioni interne di routine, l'interfaccia utente mostrava indirizzi e importi corretti dei wallet.

A livello di codice, tuttavia, l'indirizzo di destinazione veniva silenziosamente sostituito con portafogli controllati dall'attaccante.

Sono stati prosciugati circa 1,46 miliardi di dollari a 1,5 miliardi di dollari in ETH, colpendo un gran numero di utenti che sono rimasti esposti a uno dei fallimenti di sicurezza più gravi mai visti nel settore.

L'incidente ha messo in luce un punto debole critico del settore riguardo alla fiducia nell'interfaccia utente, rafforzando che i wallet hardware e le soglie multisig offrono poca protezione se il livello software che presenta i dettagli della transazione è stato compromesso.

Balena Og Bitcoin: 330 milioni di dollari

Ad aprile, una balena Bitcoin dell'era Satoshi che aveva tenuto intatte le proprie monete per oltre un decennio è stata vittima di un devastante attacco di ingegneria sociale che ha causato la perdita di 3.520 BTC, per un valore di circa 330,7 milioni di dollari all'epoca.

L'incidente è rimasto nella storia come il più grande furto individuale nella storia dell'industria, come inquadrato dall'investigatore on-chain ZachXBT.

A differenza degli attacchi che mirano al codice, questo ha utilizzato deepfake alimentati dall'IA e clonazione vocale per aggirare le difese psicologiche della vittima nel corso di diversi mesi.

I responsabili, sospettati di essere un sindacato organizzato operante da un sofisticato call center a Camden, Regno Unito, usando pseudonimi come "Nina" e "Mo", hanno costruito un falso senso di sicurezza con la vittima anziana fingendosi consulenti legali e tecnici affidabili.

Alla fine, gli aggressori indirizzarono la vittima verso un falso portale di "verifica della sicurezza" che imitava il sito ufficiale di supporto di un noto fornitore di wallet, dove la vittima veniva manipolata per inserire le proprie credenziali private o firmare una transazione specifica sul proprio dispositivo hardware sotto la copertura di un "aggiornamento dell'account". I fondi furono immediatamente spostati.

I fondi venivano rapidamente riciclati tramite "peel chain" e convertiti nella privacy coin Monero (XMR), causando un picco di prezzo del 50% nel Monero a causa della domanda improvvisa e enorme.

L'incidente ha infine messo in luce l'estrema vulnerabilità degli individui ad alto patrimonio netto che non dispongono di servizi di custodia di livello istituzionale, dimostrando che nessuna cifratura può proteggere i beni se lo strato umano viene manipolato efficacemente.

Exploit del protocollo Cetus: 223 milioni di dollari

Cetus Protocol, che è il più grande exchange decentralizzato della rete Sui, è stato sfruttato a maggio a causa di un guasto tecnico nella logica degli smart contract.

L'exploiter ha identificato una falla aritmetica critica in una libreria matematica open-source condivisa utilizzata per i calcoli di liquidità, che ha permesso di drenare circa 223 milioni di dollari in asset di liquidità.

In particolare, la funzione è stata progettata per scalare in sicurezza i numeri in punto fisso spostandoli a sinistra di 64 bit.

Tuttavia, conteneva un errore logico nel controllo di overflow. Il confronto ha usato una maschera troppo grande, che permetteva spostamenti bit a bit che avrebbero dovuto essere rifiutati.

Utilizzando un prestito flash per creare una posizione di fornitore di liquidità con un intervallo di tick estremamente ristretto, l'attaccante attivava un overflow aritmetico, più precisamente una troncatura bit a bit, che faceva sì che il contratto calcolasse un deposito richiesto di soli 1 unità di token pur attribuendo all'attaccante una liquidità massiccia.

L'attaccante ha quindi semplicemente rimosso la liquidità, reclamando le vere riserve del pool basandosi sulla contabilità falsamente gonfiata.

Sebbene i validatori di Sui siano riusciti a coordinare un blocco d'emergenza su 162 milioni di dollari degli asset prima che potessero essere scartati, la perdita netta è rimasta comunque una delle più grandi nel 2025.

Ha dimostrato all'ecosistema finanziario decentralizzato che linguaggi moderni e orientati alla sicurezza come Move non sono intrinsecamente immuni ai bug matematici, e ha rafforzato che il rigore matematico rimane un requisito non negoziabile nella progettazione dei protocolli.

Balancer V2: 128 milioni di dollari

Balancer ha subito un sofisticato exploit di ingegneria economica su più chain (Ethereum, Arbitrum e Base) a novembre, quando un attaccante è riuscito a trasformare una piccola discrepanza nel modo in cui il protocollo gestiva il precision rounding durante gli swap interni.

I Composable Stable Pool di Balancer utilizzavano diverse direzioni di arrotondamento per l'upscaling e il downscaling degli importi dei token per proteggere l'Invariant del protocollo, che funge da ancoraggio matematico per l'algoritmo StableSwap, assicurando che il pool mantenga un valore totale e un equilibrio costanti durante gli scambi di attività.

L'attaccante scoprì che spingendo i bilanci del pool in un intervallo specifico da 8 a 9 Wei, si poteva far diminuire la divisione intera fino al 10% del valore tramite errori di arrotondamento verso il basso.

Successivamente, utilizzando un contratto automatizzato, l'attaccante avviava una singola transazione contenente oltre 65 micro-swap.

Ogni swap riduceva ripetutamente qualche Wei di valore, aggravando la perdita di precisione finché la contabilità interna del pool non era completamente distorta.

Di conseguenza, potevano sfruttare la perdita di precisione composta fino a quando la contabilità interna del pool non era completamente distorta, dopodiché potevano coniare token LP a un prezzo soppresso e riscattarli istantaneamente per il loro valore completo, estraendo milioni senza attivare alcun controllo di sicurezza del protocollo.