Executive Summary
Un exploit cross‑chain coordinato ha colpito diversi protocolli DeFi di alto profilo martedì, sottraendo asset per un valore superiore a 2 miliardi di dollari. L’attacco, ora riconosciuto come il più grande hack di criptovalute dell’anno, ha dimostrato come un singolo guasto possa propagarsi nell’ecosistema della finanza decentralizzata, scatenando una ondata di ritiri di panico e alimentando un coro di commenti “DeFi è morto”.
What Happened
Verso le 02:30 UTC del 23 aprile 2024, un attore malevolo ha sfruttato una vulnerabilità in un ponte cross‑chain ampiamente utilizzato per falsificare prove di transazione su più blockchain. Le prove falsificate hanno permesso all’attaccante di coniare token avvolti su Ethereum, Binance Smart Chain e Polygon, per poi scambiarli immediatamente con asset nativi su una serie di piattaforme DeFi di prestito e rendimento. In pochi minuti l’exploit ha compromesso almeno sei protocolli, cancellando circa 2,3 miliardi di dollari di depositi degli utenti.
Gli sviluppatori dei protocolli hanno rapidamente pubblicato avvisi di emergenza, riconoscendo che la violazione derivava da una libreria condivisa usata per verificare le prove cross‑chain. “Il difetto non era isolato a un singolo contratto; si è propagato attraverso un livello di verifica comune,” ha dichiarato Lina Chen, lead engineer del progetto del ponte interessato. I trader sul campo hanno avvertito che l’incidente evidenzia una debolezza strutturale nel modo in cui i progetti DeFi dipendono da codice di interoperabilità a strati sottili.
Nel giro di poche ore dall’attacco, le analisi on‑chain hanno registrato un deflusso netto di 1,1 miliardi di dollari dai principali vault DeFi, mentre gli utenti si sono precipitati a ritirare liquidità. L’esodo rapido ha spinto diverse piattaforme a sospendere i depositi e numerosi pool di liquidità sono scesi sotto soglie critiche, minacciando ulteriori cascade di liquidazione.
