I protocolli decentralizzati sono bersagli vulnerabili per gli hacker nordcoreani.

I gruppi di hacker nordcoreani prendono di mira le criptovalute da anni. Lo sfruttamento del ponte Ronin del 2022, del valore di 625 milioni di dollari, è stato un primo campanello d’allarme—ma la minaccia si è solo evoluta.

Solo nel 2025, gli attaccanti affiliati alla Corea del Nord sono stati collegati a una serie di campagne mirate a sottrarre valore e compromettere attori chiave nel Web3: hanno prendendo di mira asset per un valore di 1,5 miliardi di dollari su Bybit attraverso campagne di raccolta credenziali, con milioni già riciclati. Hanno lanciato attacchi malware contro gli utenti MetaMask e Trust Wallet, tentato di infiltrarsi negli exchange tramite falsi candidati di lavoro, e hanno creato società di comodo negli Stati Uniti per prendere di mira sviluppatori di criptovalute.

E mentre i titoli spesso si concentrano su furti su larga scala, la realtà è più semplice—e più compromettente. Lo strato più debole del Web3 non sono i contratti intelligenti, ma gli esseri umani.

Gli attaccanti di stati nazionali non hanno più bisogno di trovare zero-day in Solidity. Puntano alle vulnerabilità operative dei team decentralizzati: cattiva gestione delle chiavi, processi di onboarding inesistenti, collaboratori non verificati che spingono codice da laptop personali e la governance del tesoro gestita tramite sondaggi Discord. Nonostante tutto il parlare della nostra industria su resilienza e resistenza alla censura, molti protocolli rimangono obiettivi facili per avversari seri.

In Oak Security, dove abbiamo condotto oltre 600 audit nei principali ecosistemi, vediamo costantemente questa lacuna: i team investono pesantemente in audit di smart contract ma ignorano la sicurezza operativa di base (OPSEC). Il risultato è prevedibile. Processi di sicurezza inadeguati portano a compromissione degli account dei collaboratori, cattura della governance e perdite evitabili.

L’illusione del Contratto Intelligente: Codice Sicuro, Team Insicuri

Nonostante tutto il denaro e il talento investito nella sicurezza dei contratti intelligenti, la maggior parte dei progetti DeFi ancora non rispetta i fondamentali della sicurezza operativa. L’assunto sembra essere che se il codice ha superato un audit, il protocollo è sicuro. Questa convinzione non è solo ingenua—è pericolosa.

La realtà è che gli exploit di smart contract non sono più il metodo d'attacco preferito. È più facile—e spesso più efficace—prendere di mira le persone che gestiscono il sistema. Molti team DeFi non hanno responsabili della sicurezza dedicati, optando per gestire enormi tesori senza alcuna responsabilità formale per l’OPSEC. Solo questo dovrebbe destare preoccupazione.

Fondamentalmente, i fallimenti di OPSEC non sono limitati ad attacchi da gruppi sponsorizzati dallo stato. Nel maggio 2025, Coinbase ha rivelato che un agente di supporto estero—corrotto da criminali informatici—ha avuto accesso illegale ai dati dei clienti, causando una remediation e un limbo di riscatto da 180 a 400 milioni di dollari. Attori maligni hanno compiuto tentativi simili su Binance e Kraken. Questi incidenti non sono stati causati da errori di programmazione—sono nati da corruzione interna e errori umani in prima linea.

Le vulnerabilità sono sistemiche. Nell’industria, i collaboratori sono spesso inseriti tramite Discord o Telegram, senza controlli di identità, senza provisioning strutturato e senza dispositivi verificabilmente sicuri. Le modifiche al codice spesso vengono caricate da laptop non verificati, con poca o nessuna sicurezza degli endpoint o gestione delle chiavi. Le discussioni sensibili sulla governance si svolgono su strumenti non sicuri come Google Docs e Notion, senza tracce di audit, crittografia o adeguati controlli di accesso. E quando inevitabilmente qualcosa va storto, la maggior parte dei team non ha un piano di risposta, né un responsabile designato per gli incidenti, né un protocollo di comunicazione strutturato—solo caos.

Questa non è decentralizzazione. È negligenza operativa. Ci sono DAO che gestiscono 500 milioni di dollari che fallirebbero un audit base OPSEC. Ci sono tesori protetti da forum di governance, sondaggi Discord e multisig del weekend—inviti aperti per attori malevoli. Finché la sicurezza non sarà considerata una responsabilità a tutto tondo—dalla gestione delle chiavi all’onboarding dei collaboratori—Web3 continuerà a perdere valore attraverso i suoi strati più deboli.

Cosa può imparare DeFi dalla cultura della sicurezza TradFi

Le istituzioni TradFi sono frequenti bersagli di attacchi da hacker nordcoreani e altri—e di conseguenza, banche e società di pagamento perdono milioni ogni anno. Tuttavia, è raro vedere un’istituzione finanziaria tradizionale crollare, o addirittura interrompere le operazioni, a seguito di un cyberattacco. Queste organizzazioni operano con l’assunto che gli attacchi sono inevitabili. Progettano difese a più livelli che riducono la probabilità di attacchi e minimizzano i danni quando si verificano, guidate da una cultura di vigilanza costante che a DeFi manca ancora in gran parte.

In una banca, i dipendenti non accedono ai sistemi di trading da laptop personali. I dispositivi sono rafforzati e monitorati in modo continuo. Controlli di accesso e segregazione dei compiti garantiscono che nessun singolo dipendente possa spostare fondi o distribuire codice in produzione unilateralmente. I processi di onboarding e offboarding sono strutturati; le credenziali sono emesse e revocate con cura. E quando qualcosa va storto, la risposta agli incidenti è coordinata, praticata e documentata—non improvvisata su Discord.

Web3 deve adottare una maturità simile, ma adattata alle realtà dei team decentralizzati.

Questo inizia con l’imposizione di playbook OPSEC fin dal primo giorno, con simulazioni red-team che testano phishing, compromissione dell’infrastruttura e cattura della governance—non solo audit di smart contract—e l’uso di wallet multi-firma supportati da wallet hardware individuali o gestione del tesoro. I team dovrebbero verificare i collaboratori e effettuare controlli preliminari su chiunque abbia accesso a sistemi di produzione o controlli di tesoreria—anche in team che si considerano pienamente “decentralizzati”.

Alcuni progetti stanno iniziando a guidare in questo ambito, investendo in programmi di sicurezza strutturati e strumenti di livello enterprise per la gestione delle chiavi. Altri sfruttano strumenti avanzati di Security Operations (SecOps) e consulenti dedicati alla sicurezza. Ma queste pratiche rimangono l’eccezione, non la norma.

La decentralizzazione non è una scusa per la negligenza

È tempo di affrontare la vera ragione per cui molti team Web3 sono indietro sulla sicurezza operativa: è difficile implementarla in organizzazioni decentralizzate e distribuite a livello globale. I bilanci sono stretti, i collaboratori sono temporanei e la resistenza culturale ai principi di cybersecurity, spesso percepita erroneamente come “centralizzazione”, rimane forte.

Ma la decentralizzazione non è una scusa per la negligenza. Gli avversari di stati nazionali conoscono questo ecosistema. Sono già dentro le porte. E l’economia globale dipende sempre più dall’infrastruttura on-chain. Le piattaforme Web3 devono urgentemente adottare e aderire a pratiche disciplinate di cybersecurity, o rischiano di diventare una fonte di finanziamento permanente per hacker e truffatori che cercano di minarle.

Da soli, i codici non ci difenderanno. Sarà la cultura a farlo.