Il Protocollo: Bug che può svuotare tutti i tuoi token colpisce "migliaia" di siti

Benvenuti a The Protocol, il riepilogo settimanale di CoinDesk sulle notizie più importanti nello sviluppo tecnologico delle criptovalute. Sono Margaux Nijkerk, una giornalista di CoinDesk.

In questo numero:

• Un nuovo bug di React che può drenare tutti i tuoi token sta impattando "migliaia" di siti web
• Ripple espande la stablecoin RLUSD da 1,3 miliardi di dollari agli L2 di Ethereum tramite Wormhole in una spinta multichain
• Aave DAO Resiste mentre le Commissioni sull'Interfaccia si Allontanano dal Tesoro
• Il progetto NFT Pudgy Penguins conquista la Sphere di Las Vegas con una campagna natalizia

Notizie dalla Rete

BUG CHE POTREBBE SVUOTARE IL PORTAFOGLI INTERESSA MIGLIAIA DI SITI WEB: Un vulnerabilità critica in React Server Components è attivamente sfruttato da diversi gruppi di minaccia, mettendo a rischio immediato migliaia di siti web — incluse piattaforme crypto — con utenti che potrebbero vedere tutti i loro asset drenati, se colpiti. La vulnerabilità, identificata come CVE-2025-55182 e soprannominata React2Shell, consente agli aggressori di eseguire codice da remoto sui server interessati senza autenticazione. I manutentori di React hanno reso noto il problema il 3 dicembre assegnandogli il massimo punteggio di gravità possibile. Poco dopo la divulgazione, GTIG ha osservato una diffusione su vasta scala dello sfruttamento da parte sia di criminali motivati finanziariamente sia di gruppi di hacker sospettati di essere sostenuti da stati, che hanno preso di mira applicazioni React e Next.js non aggiornate in ambienti cloud. I React Server Components sono utilizzati per eseguire parti di un'applicazione web direttamente su un server anziché nel browser dell'utente. La vulnerabilità deriva dal modo in cui React decodifica le richieste in arrivo a queste funzioni lato server. In termini semplici, gli aggressori possono inviare una richiesta web appositamente confezionata che inganna il server facendogli eseguire comandi arbitrari o, in pratica, cedendo il controllo del sistema all'aggressore. Il bug interessa le versioni di React dalla 19.0 alla 19.2.0, inclusi i pacchetti utilizzati da framework popolari come Next.js. La semplice presenza dei pacchetti vulnerabili installati è spesso sufficiente per consentire lo sfruttamento.— Shaurya Malwa Leggi di più.

RIPPLE IN ARRIVO SUGLI ETH L2: Ripple, la società blockchain focalizzata sui pagamenti strettamente collegata all’XRP Ledger (XRP), sta portando la sua stablecoin garantita da dollari statunitensi alle blockchain di layer 2 (L2) di Ethereum, tra cui Optimism, Base di Coinbase, Ink di Kraken e Unichain di Uniswap, in un tentativo di integrare il token da 1,3 miliardi di dollari più profondamente nell’ecosistema multichain. L’azienda ha dichiarato di iniziare con una fase di test prima di un lancio più ampio previsto per il prossimo anno, soggetto all’approvazione normativa del Dipartimento dei Servizi Finanziari di New York (NYDFS). Il progetto pilota integra lo standard Native Token Transfers (NTT) di Wormhole, che consente a RLUSD di muoversi nativamente tra le chain senza wrapping o asset sintetici. Ciò contribuisce a mantenere la liquidità e il controllo regolamentare supportando al contempo una gamma di casi d’uso della finanza decentralizzata (DeFi) su reti ottimizzate per velocità e costi più bassi. Le stablecoin stanno crescendo rapidamente come componente chiave delle infrastrutture della finanza digitale, collegando la finanza tradizionale con l’economia crypto. Rappresentano una classe di criptovalute da 300 miliardi di dollari, con valori ancorati a monete fiat come il dollaro statunitense. — Krisztian Sandor Leggi di più.

IL DIBATTITO SULL’INTERFACCIA DEL PROTOCOLLO AAVE SI INTENSIFICA: Un dibattito all’interno della DAO di Aave sta sollevando interrogativi su chi controlli l’interfaccia del protocollo e chi ne tragga beneficio finanziario. La questione è emersa dopo che Aave Labs ha integrato l’aggregatore di exchange decentralizzati CoWSwap nell’interfaccia app.aave.com all’inizio di questo mese, sostituendo il precedente routing Paraswap utilizzato per gli swap di collateral. Sebbene il cambiamento sia stato presentato come un miglioramento dell’esperienza utente, offrendo una migliore esecuzione e protezione contro il MEV, i delegati hanno successivamente segnalato che le commissioni relative agli swap non confluiscono più nel tesoro della DAO di Aave. Un lettera aperta da parte del delegato Orbit EzR3aL si è sostenuto che l'integrazione abbia introdotto commissioni front-end di circa 15 a 25 punti base che vengono corrisposte a un destinatario esterno anziché alla DAO. I dati on-chain citati nel post hanno mostrato distribuzioni settimanali di ether legate al meccanismo di commissioni partner di CoWSwap su più reti, potenzialmente ammontanti a milioni di dollari all'anno. Questo surplus è diminuito da allora, poiché il routing si è spostato verso il modello di asta batch di CoWSwap, che dà priorità alla certezza dell'esecuzione rispetto al miglioramento del prezzo. Al centro del dibattito c'è però una distinzione che Aave Labs afferma sia sempre esistita: il protocollo rispetto al prodotto. In un risposta al forum, Aave Labs ha dichiarato che l’interfaccia viene gestita, finanziata e mantenuta in modo indipendente dal protocollo governato dalla DAO. Secondo questo modello, la DAO controlla i parametri on-chain, i tassi di interesse e le commissioni a livello di protocollo, mentre Labs mantiene la discrezionalità sulle funzionalità opzionali a livello applicativo, come il routing degli swap e la monetizzazione dell’interfaccia. «Qualsiasi forma di monetizzazione si applica solo alle funzionalità accessorie», ha scritto Aave Labs, argomentando che questa separazione preserva la neutralità del protocollo ed evita la centralizzazione del controllo economico nel livello base. I critici, tuttavia, sostengono che la realtà pratica sia stata diversa. Marc Zeller dell’Aave Chan Initiative (ACI) ha affermato che vi era un’aspettativa di lunga data secondo cui la monetizzazione legata al frontend aave.com – inclusi il surplus di swap e l’esecuzione assistita da flash loan – avrebbe beneficiato la DAO, soprattutto considerando che il marchio, la legittimità della governance e gran parte dello sviluppo sottostante sono stati finanziati dai detentori di token. — Shaurya Malwa Leggi di più.

I PUDGY PENGUINS CONQUISTANO VEGAS: Una volta un progetto di token non fungibili (NFT) di grande successo durante il boom delle criptovalute del 2021, Pudgy Penguins sta puntando alla visibilità nel mondo reale con una collocazione pubblicitaria di alto profilo alla Las Vegas Sphere durante la settimana di Natale. Solo pochi marchi legati alle criptovalute hanno ottenuto spazi pubblicitari alla Sphere, un enorme locale coperto da LED noto per le sue esposizioni immersive e le performance di artisti come U2 e gli Eagles. A attivazione focalizzata su bitcoin è andato in onda a luglio, ma altri esempi sono stati rari. L’annuncio di Pudgy Penguins sarà trasmesso per diversi giorni a partire dal 24 dicembre e includerà più segmenti animati, secondo una persona a conoscenza dell’accordo. Il marchio ha speso circa 500.000 dollari per la collocazione — una cifra standard per una campagna alla Sphere. «È in un certo senso la dimostrazione che un progetto crypto può superare i confini del settore e toccare il cuore e la mente dei consumatori quotidiani», ha dichiarato Vedant Mangaldas, responsabile della strategia e del brand di Pudgy Penguins, a CoinDesk. Ha aggiunto che l’accordo è stato reso possibile perché il progetto dispone di un «vero business» alle spalle. – Helene Braun Leggi di più.

In altre notizie

• Securitize offrirà quella che definisce la prima piattaforma di trading onchain completamente conforme per azioni pubbliche reali all’inizio del 2026, sfumando i confini tra i mercati tradizionali e l’infrastruttura Web3. Il sistema della società consente agli investitori di possedere direttamente azioni tokenizzate di società pubbliche, emesse e registrate onchain, e negoziabili tramite un’interfaccia basata su blockchain, secondo un annuncio. A differenza dei modelli di token sintetici che tracciano i prezzi delle azioni tramite entità offshore o derivati, l’approccio di Securitize offre la piena proprietà legale. Ogni azione è emessa direttamente dalla società stessa e registrata nel suo registro ufficiale del capitale, ha dichiarato l’azienda. “Non si tratta di un tracciatore di prezzo sintetico né di una promessa di pagamento contro un custode,” ha scritto Securitize nel suo annuncio. “Queste sono azioni reali e regolamentate: emesse onchain, registrate direttamente nel registro del capitale dell’emittente e negoziabili attraverso un’esperienza familiare di scambio in stile Web3.” Ciò significa che i detentori di token ottengono diritti reali da azionisti, inclusi dividendi e privilegi di voto, e i loro asset rimangono sotto custodia diretta, senza intermediari che ri-ipotecano azioni dietro le quinte. Gli asset sono, comunque, soggetti a permessi e possono essere trasferiti solo tra wallet conformi e inseriti in whitelist. — Francesco Rodrigues Leggi di più.
• Il gigante delle carte di credito Visa (V) sta lanciando il regolamento in USDC negli Stati Uniti, consentendo ai partner emittenti e acquisitori di regolare le obbligazioni verso la rete delle carte utilizzando lo stablecoin ancorato al dollaro di Circle. Questa iniziativa segna la fase statunitense di un programma di regolamento in stablecoin che ha raggiunto un tasso annualizzato di 3,5 miliardi di dollari al 30 novembre, secondo un comunicato stampa di Visa. La nuova opzione è pensata per offrire a banche e fintech un trasferimento di fondi quasi istantaneo, un regolamento sette giorni su sette e una liquidità più prevedibile durante i fine settimana e i giorni festivi, mantenendo invariata l’esperienza del consumatore con la carta. — Will Canny Leggi di più.

Regolamentazione e Politiche

• La senatrice statunitense Elizabeth Warren ha ha richiesto un'ulteriore indagine sulla sicurezza nazionale statunitense in un angolo del settore delle criptovalute, specificando preoccupazioni riguardo PancakeSwap, uno scambio decentralizzato che ha segnalato come intento a amplificare le monete emesse da World Liberty Financial Inc., collegata all'ex Presidente Donald Trump. Ha dichiarato lo scambio, che opera su diverse blockchain ed è un protocollo importante sulla chain di Binance, dovrebbe essere esaminato per verificare eventuali collegamenti con «qualsiasi influenza politica impropria da parte dell’Amministrazione Trump sulle decisioni di applicazione della legge», ha dichiarato Warren in una lettera di lunedì al Segretario del Tesoro Scott Bessent e al Procuratore Generale Pam Bondi, chiedendo loro di indagare a riguardo, facendo eco a un simile richiesta a cui ha partecipato il mese scorso riguardo a WLFI. “Mentre il Congresso valuta la legislazione sulla struttura del mercato delle criptovalute — comprese le norme per prevenire che terroristi, criminali e stati canaglia sfruttino la finanza decentralizzata (DeFi) per finanziare le loro attività — è fondamentale capire se si stiano esaminando seriamente questi rischi,” ha scritto Warren, che è il membro democratico di maggior rilievo nella Commissione bancaria del Senato, la quale deve esaminare e approvare la legislazione prima che l’intero Senato possa votarla. — Jesse Hamilton Leggi di più.
• La Federal Deposit Insurance Corporation (FDIC) degli Stati Uniti ha lanciato il prima proposta ufficiale di regolamento derivanti dalla nuova legge che regola gli emittenti di stablecoin, con il suo consiglio che ha votato per aprire un periodo di commenti pubblici di 60 giorni sul suo sistema per la gestione delle domande provenienti dalle banche regolamentate che cercano di emettere stablecoin tramite le loro filiali. L'agenzia — guidata dal Presidente ad interim Travis Hill, nominato anche dal Presidente Donald Trump per la carica permanente — raccoglierà i commenti e li esaminerà prima di poter rilasciare una regola finale. Il martedì proposta, approvato da tutti e tre i membri del consiglio ridotto, stabilirebbe le procedure per l'accettazione delle domande, la loro revisione entro una finestra di approvazione di 120 giorni e l'offerta di un processo di appello per coloro che vengono respinti. "Secondo la proposta, la FDIC adotterebbe un processo di applicazione su misura che permetterebbe alla FDIC di valutare la sicurezza e solidità delle attività proposte da un richiedente in base ai fattori statutari, minimizzando al contempo l'onere regolamentare per i richiedenti," ha detto Hill, la cui nomina potrebbe essere confermata già questa settimana dal Senato. Il Guiding and Establishing National Innovation for U.S. Stablecoins (GENIUS) Act è stata la prima importante legge sulle criptovalute approvata dal Congresso, e ha stabilito un complesso insieme di regolatori per le società che intendono emettere stablecoin, i token collegati al dollaro essenziali per le transazioni nel settore degli asset digitali. Per le istituzioni depositarie assicurate, il regolatore assegnato è la FDIC. — Jesse Hamilton Leggi di più.

Calendario

• 10-12 feb 2026: Consenso, Hong Kong
• 17-21 febbraio 2026: EthDenver, Denver
• 30 marzo-2 aprile 2026: EthCC, Cannes
• 15-16 apr. 2026: Paris Blockchain Week, Parigi
• 5-7 maggio 2026: Consenso, Miami