Alessio | Wolf of Ballarò@WolfofBallaro
Sai quanto mi sono costati finora gli exploit in DeFi?
Circa il 6% del portafoglio attuale.
Ma continuo a usare e credere nella DeFi, nonostante i problemi strutturali.
La domanda dopo un altro exploit è sempre la stessa:
LA DEFI È MORTA?
No, ma abbiamo tre grandi problemi👇
---------------------
1. ERRORE UMANO
Qualche giorno fa @ResolvLabs è stato bucato.
Qualcuno ha depositato $200K in $USDC e ha coniato 80 milioni di $USR, la stablecoin del protocollo.
Li ha scaricati sul mercato e se n'è andato con circa $25M in $ETH.
Sai qual è la cosa inquietante? Il contratto ha funzionato esattamente come previsto.
Non c’è stato alcun bug, il design dello Smart Contract consentiva di sfruttare quella vulnerabilità.
Un errore gravissimo, alla luce del sole.
Sì, perché il codice è pubblico e chiunque può consultarlo.
Ma diciamoci la verità, quanti lo fanno o ne sono capaci?
Se partiamo dal presupposto che ogni investitore debba saper leggere Solidity, possiamo aspettare all’infinito l’arrivo di nuovi utenti e istituzioni.
L’ideale sarebbe avere dei rigidi standard di sicurezza e supervisione dei protocolli.
Forse l’AI sarà di aiuto in questo senso.
Ma di certo l’AI può essere un grande aiuto per noi comuni mortali incapaci di leggere una riga di codice.
Quando studio un nuovo protocollo mi faccio aiutare da un paio di AI a interpretarne i contratti.
Non è una soluzione impeccabile, ma per me è molto meglio che depositare alla cieca e incrociare le dita.
C’è però una fragilità della DeFi che sarà quasi impossibile risolvere, perché è anche la sua caratteristica più interessante.
---------------------
2. EFFETTO CONTAGIO
La straordinarietà della DeFi sta nel poter comporre strategie e prodotti finanziari in pacchetti che possono, a loro volta, essere usati come collaterale.
Ma questa è anche la sua più grande vulnerabilità e ce lo ha ricordato il tragico contagio del Novembre 2025.
Lo scorso anno, a inizio Novembre, qualcuno ha sfruttato un bug nelle pool di @Balancer.
Stiamo parlando di un bug segnalato nel 2021 da Trail of Bits e mai corretto del tutto.
L'attaccante lo ha utilizzato per drenare circa $128M da 9 chain diverse.
Ma la tragedia era appena iniziata.
Infatti un altro protocollo, @StreamDefi, aveva un'esposizione enorme a quelle pool e la loro stablecoin $xUSD è crollata a $0.43 in poche ore.
Altri $93M coinvolti.
La valanga ha travolto anche @ElixirProtocol che deteneva $68M in $xUSD.
Quella posizione rappresentava il 65% delle riserve della loro stablecoin deUSD. Quando $xUSD è crollata, anche $deUSD è scesa sotto $0.10.
Da lì sono partite liquidazioni a cascata su Euler, Morpho, Gearbox, Silo.
Sono state trascinate negli abissi anche altre stablecoin e le perdite totali hanno superato i $200M.
Uno sfacelo.
Questo è un esempio della violenza con cui possono crollare i castelli di mattoncini della DeFi.
La composability è un superpotere, ma rischia anche di essere il canale attraverso cui il contagio si propaga a vista d’occhio.
Qui c’è veramente poco da fare perché è una caratteristica e un rischio by design del settore.
L’unica protezione che ho trovato è una gestione maniacale dei miei asset e un’accurata segregazione dei portafogli.
Ogni portafoglio ha una sua funzione e una sua gerarchia: Tesoreria, prestito, rendimenti, farming e alto rischio.
La Tesoreria è il portafoglio più alto in gerarchia e lavora come una sorta di banca centrale personale:
- Cresce e sottrae liquidità agli altri portafogli quando devo abbassare il rischio.
- Si comprime fornendo gradualmente liquidità, quando voglio aumentare l'esposizione al rischio.
Man mano che l’esposizione al rischio aumenta, la liquidità aumenta sugli altri portafogli in quest’ordine: prestito, rendimenti, farming e alto rischio.
In questo modo riesco a contenere le perdite in eventi come l’effetto contagio dopo l’hack di Balancer.
La strategia e una corretta gestione dei propri fondi può fare la differenza, ma non ci assicura dagli errori di distrazione.
Questo è il terzo grande problema del nostro settore.
---------------------
3. AVVISO ROSSO
Puoi essere il peggiore trader di tutti i tempi, ma difficilmente riusciresti a perdere $50M in pochi secondi.
Il 12 Marzo scorso pare che qualcuno abbia accettato (e vinto) questa sfida.
Questa entità ha deciso di scambiare $50M di $aEthUSDT in $AAVE tramite l’interfaccia di @aave da smartphone.
Il percorso suggerito da @CoWSwap finiva in una pool di SushiSwap con $73.000 di liquidità.
Settantatremila dollari per uno swap da cinquanta milioni. Cosa poteva andare male?
L'interfaccia si è limitata a mostrare un avviso rosso, permettendo però lo scambio.
L'utente ha confermato e 12 secondi dopo aveva $36.000 di controvalore in $AAVE.
Il 99,93% del capitale bruciato in una transazione.
In questa storia ci sono tante cose che fanno bestemmiare, tra queste:
- Non ci si muove in DeFi da smartphone, qualsiasi sia la cifra in gioco. Punto.
- Il vecchio frontend di Aave aveva un cap rigido sullo slippage al 30%. Ma quel cap non è stato inserito nel nuovo sistema.
- Credo che nel 2026 un protocollo non debba permettere di effetturare transazioni del genere.
Sì, qui non stiamo parlando di hack ma di un imperdonabile errore di frontend.
Qualcosa di inammissibile per un settore che da anni si prepara ad accogliere miliardi di nuovo capitale.
Magari non sarai d’accordo, ma io lo vedo come un difetto che non possiamo permetterci.
Certo, le soluzioni esistono e ti consiglio di usarle:
- Aggregatori di swap come quello di @JumperExchange, LlamaSwap o @TitanTrade_ su Solana non consentono gli swap quando lo slippage è estremo.
- @RabbyWallet simula sempre la transazione prima di confermare e ti lancia un alert se qualcosa non funziona.
- RPC privati come Flashbots Protect per evitare il front-running sulle tue transazioni
Queste sono degli eccellenti tappabuchi, ma questo rimangono finché il design della DeFi rimane rotto.
---------------------
CONCLUSIONE - PERCHÉ SONO ANCORA QUI
I problemi di cui ti ho parlato sono davvero gravi e, se non sai come difenderti, possono essere fatali per il tuo portafoglio.
Io oggi ho imparato ad affrontarli, ma qual è l’incentivo ad accedere alla DeFi per la nuova utenza che arriverà, se non c’è un tentativo di risolvere queste grandi criticità?
Quando ho iniziato a muovermi in DeFi ho perso una bella fetta del portafoglio pochi mesi dopo la prima transazione onchain.
Ma in quel momento il gioco valeva la candela. O, per meglio dire, il rendimento valeva il rischio.
Nel 2026 gli asset TradFi ritenuti senza rischio e i rendimenti DeFi sono più vicini che mai.
Allora qual è il premio al rischio?
Per me la libertà finanziaria, la possibilità di costruire strategie e di sfruttare opportunità 24/7 da ogni parte del globo, rimangono degli incentivi straordinari.
Ma siamo sicuri che per la nuova utenza varrà lo stesso?
Credo di sì, ma sarà necessario puntare sulla tecnologia, che finora ha sempre funzionato, minimizzando l’impatto umano.
Non eliminando l’intervento umano, ma minimizzandolo.
Penso che siamo più vicini che mai alla fase di espansione del nostro settore, ma ci sono dei nodi cruciali da sciogliere.
E questo è il momento.
LA DEFI NON È MORTA.
Il 6% per me è il prezzo del biglietto per il prossimo grande step evolutivo finanziario e continuerò a operare, a sbagliare e a raccontarti tutto su The WolfLetter.
Il link lo trovi nel mio profilo 🍻
