Come è noto, i migliori white hat che si dedicano all'individuazione di vulnerabilità nei protocolli decentralizzati nel Web3 guadagnano milioni, superando di gran lunga il tetto salariale di 300.000$ previsto dai ruoli tradizionali nel campo della sicurezza informatica.
“La nostra classifica riporta che i ricercatori guadagnano milioni all'anno, rispetto ai tipici stipendi nel campo della sicurezza informatica che si aggirano tra i 150.000 e i 300.000$”, illustra a Cointelegraph Mitchell Amador, co-fondatore e CEO della piattaforma bug bounty Immunefi.
Nel mondo crypto, i “white hat” sono hacker etici retribuiti per rivelare le vulnerabilità nei protocolli della finanza decentralizzata (DeFi). A differenza dei ruoli aziendali retribuiti, tali ricercatori selezionano i propri obiettivi, stabiliscono il proprio orario di lavoro e guadagnano in base all’impatto delle loro scoperte.
Finora, Immunefi ha facilitato pagamenti per oltre 120 milioni di dollari su migliaia di segnalazioni. Trenta ricercatori sono già diventati milionari.
“Stiamo proteggendo oltre 180 miliardi di dollari di valore totale bloccato nei nostri programmi”, sostiene Amador, aggiungendo come la piattaforma offra ricompense fino al 10% per bug critici. “Tali pagamenti milionari riflettono la realtà in cui molti protocolli hanno in stake decine o centinaia di milioni a causa di singole vulnerabilità”, afferma.
Correlato: Il nuovo malware ModStealer prende di mira i wallet crypto su tutti i sistemi operativi
Taglia di $10 milioni ha permesso di risparmiare miliardi
Il pagamento più consistente mai effettuato a un white hat Web3 è ammontato a 10 milioni di dollari, assegnati a un hacker che ha individuato una falla fatale nel bridge cross-chain di Wormhole. Amador ritiene che tale vulnerabilità avrebbe potuto causare perdite per miliardi di dollari.
Nonostante la vulnerabilità fosse stata scoperta, nel 2022 Wormhole ha subito un attacco da 321 milioni di dollari al suo bridge Solana, il più grande hacking crypto dell'anno. A febbraio 2023, la società di infrastrutture Web3 Jump Crypto e Oasis.app hanno condotto un “counter exploit” sull'hacker del protocollo Wormhole, recuperando un totale di 225 milioni di dollari.
Amador sottolinea come le vulnerabilità critiche siano quelle che garantiscono i compensi più elevati. I migliori ricercatori hanno ottenuto tra 1 e 14 milioni di dollari, a seconda della gravità e della portata delle loro scoperte. “Si tratta di hacker 100 volte più bravi degli altri, in grado di trovare vulnerabilità che altri non riescono a individuare”, precisa.
Mentre i primi anni della DeFi sono stati afflitti da bug negli smart contract, il 2025 ha registrato un aumento degli exploit “no-code” come l’ingegneria sociale, chiavi compromesse e lacune nella sicurezza operativa. Nonostante tale evoluzione, i bridge rimangono gli obiettivi più redditizi a causa della loro complessità cross-chain e delle ingenti somme che proteggono.
È emerso un modello ricorrente nei tipi di progetti che vengono violati più spesso. “I protocolli DeFi che gestiscono un TVL significativo e che non dispongono di programmi di ricompensa efficaci risultano i più esposti”, commenta Amador. Inoltre, avverte che i team in fase iniziale che si affrettano a entrare nel mercato senza misure di sicurezza, così come gli operatori affermati che si adagiano sugli allori, corrono rischi elevati.
Crypto hacker rubano $163 milioni ad agosto
Come riportato da Cointelegraph, gli attacchi hacker e le truffe crypto hanno causato perdite per 163 milioni di dollari nel mese di agosto, un incremento del 15% rispetto ai 142 milioni di luglio. Nonostante il picco, il numero complessivo di incidenti ha registrato una tendenza al ribasso, con solo 16 attacchi registrati rispetto ai 20 di giugno.
La maggior parte delle perdite è stata causata da due gravi incidenti. Tra questi figurano una truffa di social engineering da 91 milioni di dollari ai danni di un Bitcoiner e una violazione da 50 milioni di dollari dell'exchange turco Btcturk.