Gli white hat di Web3 guadagnano milioni superando di gran lunga gli stipendi da 300K nel cybersecurity

I migliori esperti di sicurezza informatica, noti come “white hats”, che individuano vulnerabilità nei protocolli decentralizzati del Web3 stanno guadagnando milioni di dollari, superando di gran lunga lo stipendio massimo di 300.000 dollari previsto per i ruoli tradizionali nel settore della cybersecurity.

Mitchell Amador, cofondatore e CEO della piattaforma di bug bounty Immunefi, ha dichiarato a Cointelegraph che il loro sistema di classificazione mostra ricercatori con guadagni annuali da milioni di dollari, rispetto ai salari medi nel settore della cybersecurity che variano tra 150.000 e 300.000 dollari.

Nel contesto delle criptovalute, il termine “white hats” indica hacker etici pagati per segnalare vulnerabilità nei protocolli di finanza decentralizzata (DeFi). A differenza dei ruoli tradizionali con salario fisso, questi professionisti scelgono autonomamente le loro aree di indagine, gestiscono i propri tempi e guadagnano in base all’importanza delle scoperte effettuate.

Finora, Immunefi ha facilitato oltre 120 milioni di dollari in pagamenti a seguito di migliaia di segnalazioni, con trenta ricercatori che sono già diventati milionari. Secondo Amador, la piattaforma protegge più di 180 miliardi di dollari in valore totale bloccato (TVL) nei programmi attivi, offrendo ricompense che possono arrivare fino al 10% per bug critici.

L’azienda sottolinea che le ricompense milionarie riflettono il fatto che molti protocolli gestiscono decine o centinaia di milioni di dollari in rischi derivanti da singole vulnerabilità.

Immunefi ha ufficialmente creato trenta milionari grazie alle sue iniziative.

Un Bug Bounty da 10 Milioni di Dollari Salva Miliardi

Il più alto pagamento singolo mai assegnato a un white hat nel mondo Web3 è stato di 10 milioni di dollari, riconosciuto a un hacker che ha scoperto una falla critica nel ponte crosschain di Wormhole. Secondo Amador, quella vulnerabilità avrebbe potuto causare la perdita di miliardi di dollari.

Tuttavia, nonostante la scoperta, nel 2022 Wormhole ha subito un attacco sulla sua rete Solana che ha sottratto 321 milioni di dollari, diventando il più grande furto di criptovalute dell’anno. Nel febbraio 2023, la società di infrastrutture Web3 Jump Crypto, insieme a Oasis.app, ha effettuato un’operazione di “contro-hack” nei confronti dell’autore dell’attacco, recuperando un totale di 225 milioni di dollari.

Amador ha spiegato che le vulnerabilità di natura critica sono associate alle ricompense più elevate; i migliori ricercatori hanno guadagnato tra 1 e 14 milioni di dollari in base alla gravità e all’impatto dei bug scoperti. Questi specialisti sono definiti “hacker 100x” perché riescono a identificare falle che sono sfuggite agli altri.

Nel passato, gli errori dei contratti intelligenti hanno caratterizzato gli anni iniziali della DeFi, mentre nel 2025 si è assistito a un aumento degli attacchi “no-code” quali ingegneria sociale, compromissione delle chiavi private e inefficienze nella sicurezza operativa. Nonostante questa evoluzione, i ponti crosschain rimangono i bersagli più redditizi a causa della loro complessità e delle ingenti somme che movimentano.

Progetti a Maggior Rischio

Si sono delineati schemi ricorrenti nelle tipologie di progetti più colpiti dalle violazioni. Secondo Amador, i protocolli DeFi che gestiscono grandi valori totali bloccati e non dispongono di programmi solidi di bug bounty sono i più vulnerabili.

L’esperto ha inoltre avvertito che i team in fase iniziale che si affrettano a lanciare i propri prodotti senza adeguate misure di sicurezza, così come gli attori consolidati che diventano eccessivamente rilassati, sono soggetti a rischi elevati.

Gli Hacker Hanno Rubato 163 Milioni di Dollari ad Agosto

Secondo dati recenti, gli attacchi informatici e le truffe nel settore delle criptovalute hanno causato perdite pari a 163 milioni di dollari ad agosto, registrando un aumento del 15% rispetto ai 142 milioni di luglio.

Nonostante l’incremento economico dei danni, il numero complessivo degli attacchi ha mostrato una tendenza al ribasso, con soli 16 episodi a fronte di 20 nel mese di giugno. La maggior parte delle perdite deriva da due grandi incidenti: una frode di ingegneria sociale da 91 milioni rivolta a un investitore in Bitcoin e una violazione della piattaforma turca Btcturk che ha sottratto 50 milioni di dollari.